Итоги VI Уральского форума по ИБ банков

Итоги VI Уральского форума по ИБ банков
VI Уральский форум по информационной безопасности банков  дал очень много новой информации. В этом посте я попробую рассказать про основные новости и мысли, озвученные участниками конференции.

РКН
  • Актуализация перечня иностранных государств, обеспечивающих  адекватную защиту прав субъектов ПДн, ( Приказ №274 ) происходит ежегодно. В этом году тоже будет.
  • Готовятся законопроекты по обязательству уведомления уполномоченного органа (РКН) о случившихся инцидентах с ПДн (особенно утечках ПДн), а также штрафах при отсутствии такого уведомления. Ждем итоговый документ...
  • Ожидаем много правок в 152-ФЗ (передача третьим лицам, трансграничная передача, меры защиты и пр.).
  • Ожидаем увеличение штрафов за обработку ПДн без согласия субъектов. Также высокая вероятность появления штрафов за утечку ПДн и увеличение штрафов за невыполнение требований по обработке и защите ПДн.
  • На данный момент более 80% кредитных организаций подали уведомление в РКН о начале обработки ПДн, многие из них, однако, уже требуют актуализации.
  • РКН считает, что не требуется согласие на обработку ПДн родственников сотрудников если объем собираемых данных не превышает форму Т2.
  • РКН считает, что при заключении договоров с субъектами ПДн, в которых есть необходимые поля про обработку ПДн, отдельно заключать согласие не нужно.
  • РКН при проверках кроме положений 152-ФЗ обращает особое внимание на требования ПП687. Многие организации не выполняют именно их...

ФСТЭК России

ФСБ России
  • Заканчивается пересмотр проекта приказа по защите ПДн (про использование СКЗИ),  Итоговую версию ожидаем в конце февраля. Экспертное сообщество подготовило много замечаний и предложений, из них принято менее 15%...
  • ФСБ России считает обязательным использование сертифицированных СКЗИ для защиты ПДн, менять подход не собираются.
  • ФСБ России не собирается разрабатывать рекомендации по разработке модели угроз, рекомендуют обращаться к лицензиатам.
  • Планируется изменение подхода по сертификации СКЗИ. Уходят от сертификации криптобиблиотек, собираются сертифицировать СКЗИ целиком.

ЦБ РФ
  • В мае ожидаем новую редакцию СТО БР ИББС 1.0 (и 1.2), она гармонизирована с 382-П и обновленными требованиями по защите ПДн (ПП1119 и Приказ 21). Подробнее см.презентацию Выборнова .
  • В новой редакции СТО БР ИББС 1.0 угрозы 1 и 2 типа для ПДн признаны не актуальными: "п. 7.11.4.С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать не актуальными для организаций БС РФ".
  • ЦБ РФ подготовил методику составления модели угроз и согласовал ее со ФСТЭК России, сейчас идет согласование с ФСБ России.
  • Планируется пересмотр 382-П, об этом в своей презентации рассказал  Прохоров .Будут добавлены положения про безопасность банкоматов и платежных терминалов, микропроцессорных платежных карт, системы интернет-банкинга и системы мобильного банкинга. Кстати, еще рекомендую посмотреть презентацию Грициенко про практику проведения аудита по 382-П.
  • Сычев: СТО БР ИББС и 382-П по сути разные документы, направленные на разные вещи. 382-П - обязателен, СТО БР ИББС - свод "лучших практик", которые ЦБ РФ готовили "для себя", банки их используют на свой "страх и риск".
  • Подготовлены проекты РС БР ИББС (подробнее в презентации Велигуры ):
    • "Менеджмент инцидентов ИБ". Помимо общих рекомендаций по построению процесса в документе приводится примеры событий ИБ и набора классификаторов инцидентов. Документ планируют скоро утвердить.
    • "Предотвращение утечек информации". Документ содержит описание элементов модели угроз и рекомендации по защите и реагированию, а также моменты, связанные с анализом социальных сетей (выявление негативной для банков информации и утечек данных). Документ планируют утвердить до конца года.
  • Подготовлен проект РС по информационной безопасности на всех этапах жизненного цикла приложений. Документ ожидаем в мае. На тему безопасности информационных систем довольно интересные презентации подготовили Окулесский и Егоркин .
  • Подготовлены и находятся на рассмотрении 2 РС: по защите виртуализации и ресурсному обеспечению.
  • 258 форму по инцидентам с платежными картами планируют отменить / интегрировать с 203 формой.
  • Планируется создание банковского CERT (центра прогнозирования и реагирования на инциденты). При этом его видение у ЦБ РФ пока не достаточно конкретно. Банки самостоятельно объединились в "клуб антидроперов" (уже более 500 банков) и довольно эффективно обмениваются информацией о мошеннических действиях. Однако ЦБ РФ считает такую деятельность незаконной.

Прочее
  • Вышел перевод  PCI DSS 3.0 и PA-DSS 3.0
  • Планируется реализация надзорных функций ФСТЭК России и ФСБ России в рамках ПП-584 (защита платежных систем). Об этом многие забыли / не думали, но похоже, что проверки начнутся.
  • Банки могут случайно "попасть" под новую редакцию законопроекта по КВО (критически важные объекты). Надо внимательно будет посмотреть итоговую версию документа. подробнее в презентации  Грицая .
  • Банки считают, что в рамках информационной безопасности у них слишком много требований и "бумажной" работы. Многие из обязательных документов можно было бы не делать без ущерба для информационной безопасности. Вообще, было бы хорошо создать методические рекомендации о том, как разрабатывать и пересматривать внутренние документы по ИБ банков, а также иметь шаблоны таких документов, но регуляторы не планируют их разрабатывать... Вот, кстати, все требования:

Итого, новостей и идей мы получили много. Основные регуляторы (ФСТЭК России, РКН и ЦБ РФ) в целом активно взаимодействуют с профессиональным сообществом и стараются решать проблемы и задачи компаний. ФСБ России пока что придерживается "запретительной политики" и практически не готовит рекомендации. А жаль...
Система требований и рекомендации по информационной безопасности банков развивается, а это не может не радовать.


Еще рекомендую посмотреть:

ИБ и БС Места и события ПДн Приказ17
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире