Уральский форум. Часть 4. Новости Банка России

Уральский форум. Часть 4. Новости Банка России
Переходим к новостям Банка России, озвученным на Уральском форуме. Также, как и в предыдущих 3-х частях пройдусь по ним тезисно с дополнениями и комментариями:
  • Развитие ИБ в финансовой отрасли Банк России видит за счет тематик ПДн и банковской тайны, банковского CERT, ИБ виртуализации и облаков. По крайней мере именно такие направления озвучены были от имени первого зампреда ЦБ Лунтовского. Однако судя по озвученным планам, все-таки будут и другие направления для активности ЦБ.
  • ЦБ планирует расширить действие СТО на все отрасли, которые попали под ЦБ после слияния с ФСФР. Детали этого расширения озвучены не были; как и сроки.
  • Постепенно идет сдвиг в сторону реального управления рисками. Этот тезис был озвучен без какой-либо детализации, но судя по всему ГУБЗИ хочет уйти от порочной практики установления требований по ИБ за банки, чтобы дать последним возможность самостоятельно выбирать защитные меры исходя из имеющихся рисков. По сути ГУБЗИ, как мне кажется, хочет распространить на СТО подход из 379-П, в котором именно банки определяют свои риски и меры по управлению ими. Разумеется какой-то базовый уровень требований по ИБ останется, но банки должны получить больше свободы. Правда, не все в ЦБ разделяют такой подход ГУБЗИ. Будем подождать :-)

  • Новая версия СТО 1.0/1.2 гармонизирована с 382-П, ПП-1119, ФЗ-261 и 21-м приказом ФСТЭК. Полное соответствие достигнуто по алгоритму оценки, частным показателям и срокам оценки (раз в два года).
  • Предположительно с 01.05.14 новые версии СТО и РС будут введены в действие. При этом в ГУБЗИ уже есть планы по очередному витку развития СТО за счет расширения 7-го раздела и возможного пересмотра 8-го раздела в связи с изменениями в ISO27К.
  • На ТК122 единогласно утверждены РС по менеджменту инцидентов и ИБ на этапах жизненного цикла АБС. Также на ТК122 в настоящий момент рассматриваются РС по ИБ виртуализации и ресурсному обеспечению ИБ. И наконец, ЦБ готовит РС по DLP-решениям и мониторингу информации в соцсетях. В совокупности с законопроектом о запрете распространения клеветы в Интернете о проблемах у банков, последняя РС и есть та причина, которая позволила СМИ заявлять о том, что ЦБ будет контролировать социальные сети. РС по DLP на рассмотрение ТК122 вынесут в мае, а принятие ее планируется к концу года.
  • Исходя из получаемой статистики от банков и анализа иных нормативных документов ЦБ в лице департамента НПС решил обновить 382-П.
  • Планируемые изменения в 382-П делятся на 4 больших направления - банкоматы и платежные терминалы, платежные карты, Интернет и мобильный банкинг. Требования к банкоматам сильно пересекаются с письмом 34-Т от марта 2013 года. Требования к Интернет-банкингу похожи на августовское письмо 146-Т. Требования к мобильному банкингу похожи на предыдущий пункт с дополнительными требованиями к распространению мобильных приложений через репозитории. Ну а по картам основное изменение касается обязательного применения с 1-го января 2015 года чиповых карт EMV (пока совмещенных с магнитной полосой). 

  • 258-ю форму (по инцидентам с платежными картами) отчетности планируется отменить и внести необходимую информацию в 203-ю форму. Сроки для такого изменения пока не определены. Изменение частоты подачи отчетности по 203-й форме не планируется, но такая возможность рассматривается в перспективе. ДНПС также сообщил, что не видит проблемы в двойной нагрузке на банки по отправке отчетности в ЦБ и оператору платежной системы - все останется как есть. 
  • Внутренняя инструкция по проведению проверок 382-П (157-Т) может быть будет сделана открытой. Правда уверенности в голосе замдиректора ДНПС, г-на Прохорова, когда он это говорил я не услышал :-) Да и учитывая, что сроки подачи 202-й формы отчетности уже прошли, большого смысла в опубликовании 157-Т я не вижу.

  • Число требований, которые должны выполнять кредитные организации возрастает - помимо приведенных на слайде банка "Возрождение" могут добавиться требования к КВО (о них я писал в понедельник), а еще требования операторов платежных систем. И хотя уже неоднократно возникал к ЦБ вопрос о том, что требования 382-П и требования операторов платежных систем часто не стыкуются и надо бы привести все к единому знаменателю, тема остается открытой.
Пожалуй, это все ключевые новости, озвученные Банком России на Уральском форуме. Нам осталось только рассмотреть новости, связанные с банковским CERTом и ряд других событий, не относящихся к какой-то конкретной теме.

ЗЫ. На сайте конференции выложены все презентации с форума.
виртуализация законодательство DLP управление инцидентами НПС стандарты персональные данные Банк России
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь