russian finance security regulations

1 © 2011 Cisco and/or its affiliates. All rights reserved.

Регулирование ИБ в банковской индустрии России Алексей Лукацкий, бизнес-консультант по безопасности

© 2011 Cisco and/or its affiliates. All rights reserved. 2/34

1000 банков

Центральный банк

ФСТЭК, ФСБ, РКН, PCI Council

ФЗ «О техническое регулировании»


• 2000 год - Начаты работы по созданию Стандарта.

• 2003 год - Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов

• 2004 год - Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ по г. СПб

• 2005 год - Проведена апробация в опытной зоне (12 +2 региональных подразделений)

• 2005 год - Стандарт внедрен в нескольких банках

• 2006 год - По результатам апробации подготовлена и введена в действие вторая редакция Стандарта

• 2006 год - Создана ассоциация ABISS и открыта специализированная страничка на сайте Банка России в Интернет

• 2007 год - Приняты четыре документа – сформирован первичный блок Комплекса


СТО 1.0

ISO 27xxx

Документы ЦБ

Мнение ФСБ

Члены ТК 362


СТО

Общие положения

1.0-2010

v4

Аудит ИБ 1.1-2007

v1

Методика оценки

соответствия 1.2-2010

v3

РС

Рекомендации по

документации в области ИБ

2.0-2007 v1

Руководство по самооценке соответствия

ИБ 2.1-2007

v1

Методика оценки рисков

2.2-2009 v1

Требования по ИБ ПДн 2.3-2010

v1

Отраслевая частная

модель угроз безопасности

ПДн 2.4-2010

v1

• СТО – стандарт организации

• РС – рекомендации по стандартизации


• ISO определяет меры по защите исходя из оценки рисков

• Набор защитных мер в СТО обязателен к применение

Оценка рисков позволяет добавить защитные мероприятия, но не уменьшить их перечень

• Требования СТО адаптированы к банкам

Преимущественно крупным

ISO

27000

27001

27002

27003

27014

СТО 1.0

Глава 3. Термины

Глава 8. Система менеджмента ИБ

Глава 7. Система ИБ

Глава 8 в части осознания


• СТО позволяет формировать численные оценки

• СТО вводит единые критерии оценки по частным показателям

• СТО позволяет сравнивать различные банки

• СТО вводит новое руководство по самооценке

ISO

27002

27004

27006

27008

СТО

СТО 1.0. Глава 9. Проверка

СТО 1.2. Оценка соответствия

СТО 1.1. Аудит ИБ

РС 2.1 Самооценка


• Результаты аудита уровня ИБ банка демонстрируют соответствие четвертому уровню по пятиуровневой шкале соответствия требованиям СТО БР ИББС-1.0-2010

• Банк России рекомендует по методике оценки СТО БР ИББС-1.2-2010 иметь организациям БС РФ уровень не ниже 4-го

Рис. 1. Круговая диаграмма оценок по

групповым показателям


20%

80%

Выбор метода оценки соответствия

Внешний аудит

Самооценка


• Банк России уже провел первичную оценку рисков и разработал набор защитных мер в СТО 1.0

• Под специфику конкретного банка можно провести свою оценку рисков и разработать свои защитные меры

ISO

27001

27005

СТО

СТО 1.0. Глава 8. СМИБ

РС 2.2. Оценка рисков

РС 2.4. Модель угроз ПДн


• Как отраслевой регулятор Банк России не наделен (пока) законодателем правом нормативного регулирования вопросов информационной безопасности в кредитных организациях

• В связи с этим Банк России вынужден: Разрабатывать и внедрять стандарты, имеющие рекомендательный статус, создавать механизмы их внедрения

Ограничиваться разработкой рекомендаций для банков

Использовать договорные механизмы взаимодействия с банками

Опираться на требования по безопасности, изложенные в техдокументации на оборудование, в основном, криптографическое.

При этом в целом, нормативное регулирование носит кусочный и не сбалансированный характер, приводящий к ослаблению системы безопасности в целом и росту расходов

13


• 2006 год – Принят № 152-ФЗ «О персональных данных»

• 2007 год – Начало отчета по реализации требований ФЗ

• 2008 год – Разработка первичных технических требований

• 2009 год – Осмысление требований, общее отрезвление, начало разработки отраслевых норм, учитывающих требования по защите ПД

• 2010 год (июль) – Согласование отраслевых норм (стандартов) с регуляторами, выпуск «Письма шестерых»

• 2010 год (декабрь) – Перенос сроков реализации ст.25 ФЗ 152 на полгода

• 2011 год – Работа с перспективой внедрения над новой редакцией ФЗ «О персональных данных»


• СТО формирует единый набор требований для защиты КТ, БТ и ПДн

• Процесс оценки соответствия также унифицирован для всех видов защищаемой информации

• СТО уже вводит требования по защите ПДн (ISO 2910x – пока проект)

ISO

27002

29100

29101

СТО

РС 2.3. Защита ИСПДн

СТО 1.0. Раздел 7.10


СТО

ФСТЭК

ФСБ


20

25

30

35

40

45

50

2007 2010

Приняли

Планируют


• Максимальные темпы проста присоединения были в октябре 2010 (через 3 месяца после принятия СТО)

• Можно ожидать присоединения 75-80% банков

• Отказались внедрять стандарт, но не отказались выполнять ФЗ-152 5-10%

• Заняли выжидательную позицию 10-15%, в основном мелкие банки

• По мнению Банка России это, видимо, предельные значения метода убеждения

• В случае нормативного принуждения показатели были бы гораздо выше

20


21

Оценки, содержащиеся

в Подтверждении соответствия

Уровни соответствия

0 0 - 0,25

I 0,25 - 0,5

II 0,5 - 0,7

III 0,7 - 0,85

IV 0,85 - 0,95

V 0,95 - 1

Регуляторы % организаций

Роскомнадзор 4,5 9 28,8 25,9 3 28,8

ФСТЭК России 1.5 12,1 27,3 28,8 19,7 10,6

ФСБ России 0 6,5 22,6 24 32,4 14,5

Итоговый уровень (Банк России) 5,7 35,7 22,8 18,6 14,3 2,9

• На приведение банка в соответствие с требованиями стандартов требуется несколько лет

• Оценка соответствия тоже требует времени


• РС «Требования по обеспечению безопасности СКЗИ» (план)

• РС «Методика классификация активов» (план)

• РС «Методика назначения и описания ролей» (план)

Классификатор 0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн


• В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»

ТК 122 соответствует ISO TC 68 “Financial Services»

• Базовая организация – Центральный банк

• В связи с определенными разногласиями работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках одного из подкомитетов ТК 122

24


25

Наименование технического комитета (ТК)/

подкомитета (ПК)

Соответствующие структуры ИСО

Специализация технического комитета (подкомитета) по виду продукции, услуг

ТК 122 «Стандарты финансовых

операций»

ISO/TC 68 “Financial Services”

Стандарты финансовых операций

ТК122/ПК № 1 «Безопасность финансовых (банковских) операций»

ISO/TC 68/SC 2 “Security management and general banking operations”

Обеспечение безопасности банковской деятельности и финансовых операций

ТК122/ПК № 2 «Технологии операций на финансовых рынках»

ISO/TC 68/SC 4 “Securities and related financial instruments”

Стандарты осуществления операций с ценными бумагами и производными финансовыми инструментами

ТК122/ПК № 3 «Технологии основных финансовых (банковских) операций»

ISO/TC68/SC 7 “Core banking”

Автоматизация исполнения основных банковских операций, в том числе связанных осуществлением платежей и переводом денежных средств

ТК122/ПК № 4 «Пластиковые карты и иные розничные банковские услуги»

ISO/TC 68/SC 7/WG 9 “Cards and related retail financial services“

Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей

ТК122/ПК № 5 «Мобильные платежи»

ISO/TC 68/SC 7/WG 10 “Mobile payments“

Стандартизация технологий осуществления мобильных платежей


• Упор на отраслевые стандарты

Разработанные в рамках ТК 122

• Будут разрабатываться новые требования по безопасности

Платежные системы, ДБО…

• Банк России станет официальным регулятором

СТО станет обязательным к применению

• Саморегуляция также возможна

26


• ABISS - сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0, его последующих версий и дополнений, а также других стандартов, положений и методических указаний БР, регламентирующих вопросы информационной безопасности организаций банковской системы РФ

13 организаций-консультантов – членов ABISS

9 организаций консультантов – кандидатов в члены ABISS

40 кредитных организаций

7 образовательных учреждений


ЦБ

ABISS

Консультанты Банки


ABISS

Консультанты Банки

ФСТЭК ФСБ ЦБ РКН


• Под саморегулированием понимается самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил

• Саморегулирование в соответствии с настоящим Федеральным законом осуществляется на условиях объединения субъектов предпринимательской или профессиональной деятельности в саморегулируемые организации


Стандарт Объект

защиты

Статус Обязательность Санкции Оценка

соответствия

ISO 270хх Вся КИ Международный

стандарт

Рекомендация Нет Аудит

СТО БР БТ, КТ,

ПДн

Отраслевой

стандарт

Рекомендация

(де-юре)

Обязательный

(де-факто)

Нет Аудит,

самооценка

ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует

PCI DSS БТ, ПДн Международный

стандарт

Обязательный

(де-юре)

Рекомендация

(де-факто)

Штраф Аудит,

самооценка

Спасибо

за внимание!

russian finance security regulations

Technology

cisco andor

iso iso

iso tc

related financial instruments

2010v1 v1 v1

core banking

pci council

pci dss