Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности

Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности
В последнее время от Банка России поступило несколько важных сообщений касающихся обеспечения информационной безопасности финансовых учреждений. Некоторые инициативы мы уже описывали в одной из наших прошлых статей . В октябре стало известно, что ЦБ в настоящее время ведет активную разработку ГОСТ по информационной безопасности, который станет обязательным для всех участников банковский системы РФ с 2017 года.  На этом фоне снова возникли  слухи о переводе СТО БР ИББС  из разряда рекомендательных в обязательные. Помимо этого регулятор опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», в котором некогда ранее добровольные пункты перешли в разряд обязательных, это касается и отчетности в FInCERT и ужесточении требований к АРМ посредством которых обрабатываются платежные операции

Банк России ведет разработку ГОСТ по информационной безопасности
Как стало известно из источника , Банк России в настоящее время ведет работу по подготовке национальных стандартов в области информационной безопасности.

«Документ прошел согласование в рамках комитета 122 , и на этой неделе будет рассмотрен на очной сессии, а далее в рамках обычной процедуры, которая установлена в Росстандарте, на утверждение в виде ГОСТа. Формируя ГОСТ, мы можем помещать ссылки на него в свои нормативные документы, и тогда ГОСТ становится обязательным к исполнению в полном объеме», — уточнил Артем Сычев, замначальника главного управления безопасности и защиты информации Банка России в своем интервью 3 октября.

Очень важно заметить, что согласно российскому законодательству, все национальные стандарты (они же ГОСТ ы) имеют в своей основе добровольное применение, кроме стандартов принятых специально для оборонной продукции и защиты сведений, составляющих государственную тайну или иной информации ограниченного доступа.

Недавно был принят Федеральный законом №162-ФЗ «О стандартизации в Российской Федерации» , согласно котрого с 1 июля 2016 года национальный стандарт, определяющий требования по защите сведений ограниченного доступа (для кредитных организаций – в первую очередь защита банковской тайны), является обязательным для исполнения.

Сычев так же поясняет - «В новых стандартах мы делаем упор на обязательность, например, проведения тестов на проникновение, то есть упор в сторону реальной практической безопасности», и он еще добавил, что в ГОСТе будут даны «базовые определения таким угрозам, как спам, скимминг, фишинг и другим».

«В национальных стандартах речь также идет обо всех финансовых организациях, не только кредитных. Суть в том, что от масштаба риска зависит масштаб тех обязательных требований, которые должны исполняться и проверяться», — подчеркнул Артем Сычев.

СТО БР ИББС -  станет ли он обязательным?

По словам Георгия Лунтовского ,  первого заместителя председателя Банка России, в настоящий момент
к действующим стандартам Банка России (имеется в виду СТО БР ИББС) присоединилось 511 банков РФ, это 75% от всех банков страны.«Хотелось бы, чтобы было 100%», — сказал он в минувшую пятницу.

Следует сказать, что СТО БР ИББС, согласно действующему законодательству, носит только рекомендательный характер. Однако, этот стандарт и иные документы по стандартизации (к примеру, те же РС-ки , письма ЦБ и др.) подлежат обязательному исполнению в финансовых учреждениях, в том случае если они добровольно принимают решение о присоединении к стандарту.

Как отмечала Ирина Каншина , возможно расширение области действия СТО БР ИББС и на некредитные финансовые организации, что позволит сделать шаг к превращению рекомендательного стандарта в обязательный. Тем более, что в состав ТК-122 входят представители нескольких крупнейших системо-образующих российских банков, которые приняли решение по внедрению СТО БР в практику.

На подобный вопрос в своем время высказывался и Алексей Лукацкий, вот его пост от февраля 2016 года

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России.

Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла.. Сейчас ситуация меняется, о чем и говорили на Уральском форуме. - пишет Алексей.

Проект положения «О требованиях к защите информации в платежной системе Банка России»
В недавнем времени Центральный Банк России опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», сообщает издание «Коммерсантъ». Как многие могут заметить документ весьма похож на уже существующий П-382 , однако, имеет ряд принципиальных отличий и новшеств.

Так согласно опубликованному тексту документа, все банки в обязательном порядке должны информировать ведомственный центр мониторинга FinCERT об уже свершившихся или потенциально возможных киберинцидентах по отношению к банкам втечение трех часов с момента обнаружения индикаторов компрометации. Упор сделан именно на однозначную обязанность - финансовые организации, подвергшиеся кибератаке или иной компрометации, должны незамедлительно присылать уведомление на электронную почту fincert@cbr.ru, даже в том случае, если финансовое учреждение до этого момента не участвовало в информационном обмене с FinCERT.

Еще несколько рекомендаций получили статус обязательных требований. Так. например, если компьютер подключен к платежной системе, он должен быть недоступен (изолирован) внутри локальной сети банка. Кроме того, все АРМы, участвующие в осуществлении платежей в ЦБ, должны постоянно мониториться на предмет модификации ПО илипопыток подключения к неизвестным серверам.

В то же время ЦБ оставляет за банками право решать, сообщать ли о киберинцидентах, связанных исключительно с банком. Например, в такой ситуации: банк может не докладывать в ЦБ о проводимой на него DDoS-атаке, но, однозначно обязан уведомить FinCERT в кратчайшие сроки обо всех инцидентах, затрагивающих инфраструктуру ЦБ.

После публикации новых требований все банки, умолчавшие об инцидентах, могут быть соответственным образом наказаны - меры могут быть строгими, вплоть до отключения от системы БЭСП и крупного штрафа до 1% от размера уставного капитала.

Об этом более подробно можно почитать в одной из наших предыдущей статей .

Банк России банки БЭСП защита КБР П-382 проект СТО БР ИББС Сычев финансы ЦБ Центробанк
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события