Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности

Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности
В последнее время от Банка России поступило несколько важных сообщений касающихся обеспечения информационной безопасности финансовых учреждений. Некоторые инициативы мы уже описывали в одной из наших прошлых статей . В октябре стало известно, что ЦБ в настоящее время ведет активную разработку ГОСТ по информационной безопасности, который станет обязательным для всех участников банковский системы РФ с 2017 года.  На этом фоне снова возникли  слухи о переводе СТО БР ИББС  из разряда рекомендательных в обязательные. Помимо этого регулятор опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», в котором некогда ранее добровольные пункты перешли в разряд обязательных, это касается и отчетности в FInCERT и ужесточении требований к АРМ посредством которых обрабатываются платежные операции

Банк России ведет разработку ГОСТ по информационной безопасности
Как стало известно из источника , Банк России в настоящее время ведет работу по подготовке национальных стандартов в области информационной безопасности.

«Документ прошел согласование в рамках комитета 122 , и на этой неделе будет рассмотрен на очной сессии, а далее в рамках обычной процедуры, которая установлена в Росстандарте, на утверждение в виде ГОСТа. Формируя ГОСТ, мы можем помещать ссылки на него в свои нормативные документы, и тогда ГОСТ становится обязательным к исполнению в полном объеме», — уточнил Артем Сычев, замначальника главного управления безопасности и защиты информации Банка России в своем интервью 3 октября.

Очень важно заметить, что согласно российскому законодательству, все национальные стандарты (они же ГОСТ ы) имеют в своей основе добровольное применение, кроме стандартов принятых специально для оборонной продукции и защиты сведений, составляющих государственную тайну или иной информации ограниченного доступа.

Недавно был принят Федеральный законом №162-ФЗ «О стандартизации в Российской Федерации» , согласно котрого с 1 июля 2016 года национальный стандарт, определяющий требования по защите сведений ограниченного доступа (для кредитных организаций – в первую очередь защита банковской тайны), является обязательным для исполнения.

Сычев так же поясняет - «В новых стандартах мы делаем упор на обязательность, например, проведения тестов на проникновение, то есть упор в сторону реальной практической безопасности», и он еще добавил, что в ГОСТе будут даны «базовые определения таким угрозам, как спам, скимминг, фишинг и другим».

«В национальных стандартах речь также идет обо всех финансовых организациях, не только кредитных. Суть в том, что от масштаба риска зависит масштаб тех обязательных требований, которые должны исполняться и проверяться», — подчеркнул Артем Сычев.

СТО БР ИББС -  станет ли он обязательным?

По словам Георгия Лунтовского ,  первого заместителя председателя Банка России, в настоящий момент
к действующим стандартам Банка России (имеется в виду СТО БР ИББС) присоединилось 511 банков РФ, это 75% от всех банков страны.«Хотелось бы, чтобы было 100%», — сказал он в минувшую пятницу.

Следует сказать, что СТО БР ИББС, согласно действующему законодательству, носит только рекомендательный характер. Однако, этот стандарт и иные документы по стандартизации (к примеру, те же РС-ки , письма ЦБ и др.) подлежат обязательному исполнению в финансовых учреждениях, в том случае если они добровольно принимают решение о присоединении к стандарту.

Как отмечала Ирина Каншина , возможно расширение области действия СТО БР ИББС и на некредитные финансовые организации, что позволит сделать шаг к превращению рекомендательного стандарта в обязательный. Тем более, что в состав ТК-122 входят представители нескольких крупнейших системо-образующих российских банков, которые приняли решение по внедрению СТО БР в практику.

На подобный вопрос в своем время высказывался и Алексей Лукацкий, вот его пост от февраля 2016 года

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России.

Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла.. Сейчас ситуация меняется, о чем и говорили на Уральском форуме. - пишет Алексей.

Проект положения «О требованиях к защите информации в платежной системе Банка России»
В недавнем времени Центральный Банк России опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», сообщает издание «Коммерсантъ». Как многие могут заметить документ весьма похож на уже существующий П-382 , однако, имеет ряд принципиальных отличий и новшеств.

Так согласно опубликованному тексту документа, все банки в обязательном порядке должны информировать ведомственный центр мониторинга FinCERT об уже свершившихся или потенциально возможных киберинцидентах по отношению к банкам втечение трех часов с момента обнаружения индикаторов компрометации. Упор сделан именно на однозначную обязанность - финансовые организации, подвергшиеся кибератаке или иной компрометации, должны незамедлительно присылать уведомление на электронную почту fincert@cbr.ru, даже в том случае, если финансовое учреждение до этого момента не участвовало в информационном обмене с FinCERT.

Еще несколько рекомендаций получили статус обязательных требований. Так. например, если компьютер подключен к платежной системе, он должен быть недоступен (изолирован) внутри локальной сети банка. Кроме того, все АРМы, участвующие в осуществлении платежей в ЦБ, должны постоянно мониториться на предмет модификации ПО илипопыток подключения к неизвестным серверам.

В то же время ЦБ оставляет за банками право решать, сообщать ли о киберинцидентах, связанных исключительно с банком. Например, в такой ситуации: банк может не докладывать в ЦБ о проводимой на него DDoS-атаке, но, однозначно обязан уведомить FinCERT в кратчайшие сроки обо всех инцидентах, затрагивающих инфраструктуру ЦБ.

После публикации новых требований все банки, умолчавшие об инцидентах, могут быть соответственным образом наказаны - меры могут быть строгими, вплоть до отключения от системы БЭСП и крупного штрафа до 1% от размера уставного капитала.

Об этом более подробно можно почитать в одной из наших предыдущей статей .

Банк России банки БЭСП защита КБР П-382 проект СТО БР ИББС Сычев финансы ЦБ Центробанк
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события