Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Уральский форум по банковской ИБ за 15 минут

1,302 views

Published on

Презентация, описывающая 4 дня Уральского форума по банковской ИБ.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Уральский форум по банковской ИБ за 15 минут

  1. 1. Бизнес-консультант по безопасности Уральский форум за 15 минут …ну не за 15 J Алексей Лукацкий 22 февраля 2019
  2. 2. Почему описывать 11-ю Магнитку тяжело и легко одновременно?
  3. 3. ИБ от/для/в ЦБ
  4. 4. Уровни ИБ Методологическая составляющая Надзорная составляющая Инфраструктурный уровень Защита инфраструктурыпо комплексуГОСТ Надзор подразделений ИБ Банка России Система внешнего аудита Уровень приложений ►ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки безопасности информационных технологий, компоненты доверия к безопасности ►Профиль защиты для оценки уязвимости в банковских приложениях ► Анализ уязвимостей приложений, критичных с точки зрения наличия уязвимостей (сертификация): - приложения клиентов - фронт-приложения ► Сертификация ФСТЭК России Уровеньтехнологии обработкиданных ►Обеспечение целостности информации на технологических участках ее обработки ►Протоколирование действий на технологических участках ►Взаимодействие с клиентами финансовых организаций ►Ведение баз данных об инцидентах ИБ, в том числе на основе претензионной работы ► Анализ показателей уровня риска по операциям на технологических участках ► Анализ показателей, формируемых на основе претензионной работы 8| домен УР – «управление киберриском» домен ЗИ – «защита информации» домен СО – «мониторинг киберрисков и ситуационная осведомленность» домен ОНД – «обеспечение непрерывности выполнения бизнес- и технологических процессов финансовых организаций в случае реализации информационных угроз» домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» домен УИ – «управление инцидентами ИБ» - идентификация клиентов - получение подтверждения финансовых (банковских) операций - направление уведомлений о совершенных операциях Крупными мазками
  5. 5. Финтех
  6. 6. Планы ЦБ на финтех 2019-го года • Расширение на другие сектора, запуск мобильного приложения на iOS • I этап — переводы с неограниченным количеством клиентов P2P и Me2Me • II этап — переводы С2B и C2G • Утверждение концепции • Подготовка законопроекта • Запуск пилотного проекта • Подготовка технологических и правовых условий, запуск платформ Опытно-промышленная эксплуатация сервисов: • электронные закладные • цифровые банковские гарантии • цифровые аккредитивы Цифровой профиль Финансовый маркетплейс и регистратор финансовых транзакций Биометрическая идентификация Система быстрых платежей Технологии распределенных реестров — Мастерчейн
  7. 7. Сравним с прошлым годом Система передачи финансовых сообщений Единая система идентификации и аутентификации Перспективная платежная система Сквозной идентификатор клиента Платформа быстрых платежей Платформа на основе технологии распределенных реестров Платформа для регистрации финансовых сделок Финансовый маркетплейс Национальная система платежных карт Биометрическая платформа Платформа для облачных сервисов Новые платформы Развивающиеся платформы Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема Физические лица Банки НФО Финтех- компании Юридические лица Open API Open API Open API Open API Open API Экосистема Экосистема Экосистема Экосистема ? ? ? ?
  8. 8. Цифровой профиль в том числе Единая биометрическая система Организации – потребители данных Пользователь ЦИФРОВОЙ ПРОФИЛЬ – ЕСИА 2.0 КС1Мобильное приложение ГИС ОКЭП Подпись из облака привязана к мобильному телефону Поставщики данных СМЭВ Цифровые ID и реестр ссылокСистема идентификации Цифровые согласияЦифровые документы КС3 (физические и юридические лица) Подготовлены изменения в 63-ФЗ, устанавливающие возможность использования ОКЭП, а также ее получения посредством удаленной идентификации
  9. 9. КС3 на каналах связи грядет везде • Код безопасности (Континент) • Инфотекс (VipNet) • Амикон (ФПСУ-IP) • Элвис+ (Застава) • С-Терра • Крипто-Про • Фактор-ТС (Dionis) • РКСС (Н-160) • ТСС (DCrypt) • ИВК (Крипто) • Голлард (М-543) • Системпром (Бартизан) На 22.02.2019
  10. 10. Мастерчейн 1. Доказательство аутентичности цепочки. Однозначный алгоритм для единственно верной версии РР. 2. Отсутствие влияния данных внутри цепочки на логику алгоритма консенсуса. 3. Возможность расчета цены компрометации системы с высокой точностью. 4. Управляемый доступ узлов к сети. 5. Использование российских сертифицированных алгоритмов криптографической защиты информации. 1. Децентрализованная депозитарная система для учета закладных 2. Know Your Customer 3. Распределенный реестр цифровых банковских гарантий 4. Цифровой аккредитив
  11. 11. Как финансовые продукты продаются сегодня?! Клиент Подбор вклада на сайтах-агрегаторах Заявка на открытие вклада на сайте банка Оформление в офисе
  12. 12. Как финансовые продукты будут продаваться завтра?! Клиент Подбор вклада Оформление вклада Отображение активов клиента + Маркетплейс
  13. 13. Безопасность облачной платформы Безопасность маркетплейса Безопасность мобильных устройств и приложений Безопасность Big Data Безопасность аутсорсинга + а также персональные данные, идентификация, ЭП
  14. 14. ЕБС
  15. 15. Чем регулируется безопасность ЕБС? А где ФСТЭК?
  16. 16. 3 сценария защиты ЕБС Собственное решение Типовое решение от Ростелекома Облачное решение НЕТ СОГЛАСОВАННЫХ ФСБ ПРОДУКТОВ Подтверждение ФСБ Не нужно разрабатывать Не нужны тематические исследования Риски Стоимость от 25 млн. руб. от 5 млн. руб. от 1 млн. руб./год Срок внедрения от 6 месяцев 2-3 месяца 3-4 кв. 2019 запуск + 2-3 месяца Зачем? Доверие Торопимся
  17. 17. Криптография не закрывает всю модель угроз Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13
  18. 18. «Валентинка» МР-4 Рекомендации, но фактически обязательны к исполнению Даже покупка типового решения от Ростелекома не снимает необходимости выполнения процессов ИБ
  19. 19. 382-П
  20. 20. Ключевые сроки последней редакции 382-П Требование Сроки Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020 Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018 Разделение контуров 01.01.2020 Применение в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ 01.01.2024 Применение в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ 01.01.2031 Применение в значимых платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ 01.01.2031 Применение в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах 01.01.2031
  21. 21. Некоторые вопросы • Методика проведения анализа уязвимостей и пентестов • Методика оценки уязвимостей банковских приложений в условии ДСПшности ФСТЭК • Отсутствие сертификации HSM по требованиям МПС • Квантовые компьютеры и 2031-й год
  22. 22. НКЦКИ
  23. 23. Как информировать ГосСОПКУ?
  24. 24. ФинЦЕРТ
  25. 25. АСОИ ФинЦЕРТ До 01.07.2018 Настоящее время Создана 1-я очередь АСОИ ФинЦЕРТ 2019 2-я очередь АСОИ ФинЦЕРТ § Обмен с участниками по e-mail (получение информации в формате XLSX) § Локальная автоматизация работы экспертов § Функционирование базовых процессов § Обмен с Участниками через защищенный портал, ЛКУ, e-mail § Автоматизация ключевых процессов ФинЦЕРТ § Автоматизированное взаимодействие с ГосСОПКА; § Реализация функционала «Фид-антифрода» для Участников (прототип) § Обмен с участниками через защищенный портал, e-mail и по API § Предоставление Участникам возможности передачи через ЛК дампов и логов для последующего анализа в ФинЦЕРТ § Автоматическое взаимодействие с ГосСОПКА § Поддержка функционала для реализации 167-ФЗ в полном объеме
  26. 26. Новые сервисы АСОИ ФинЦЕРТ 2-й очереди • Предоставление Участникам сервиса ЛКУ по проверке ВПО (включая специализированную песочницу) • Предоставление Участникам сервиса передачи через ЛК «дампов» сетевого трафика и лог-файлов web-серверов для последующего анализа в ФинЦЕРТ • Сервис автоматического взаимодействия Участников с ГосСОПКА • Сервис уведомлений о критических инцидентах по SMS • Автоматизация взаимодействия с АСОИ ФинЦЕРТ посредством API • Сервис предоставления Участникам машиночитаемых IOC и агрегированных баз данных • Сервис обмена электронными сообщениями между ФинЦЕРТ и Участниками с использованием электронной подписи
  27. 27. Справится ли АСОИ с СТО 1.5? Показатель Значение Количество принятых ЭСУ не менее 10000 шт. в сутки Пиковое значение принятых ЭСУ не более 2500 шт. в час Количество созданных, автоматизированно классифицированных и агрегированных тикетов не более 40 шт. в минуту Объем принимаемых файлов через личный кабинет до 2 Гб Планируемое количество одновременно работающих пользователей не менее 4000
  28. 28. Антифрод
  29. 29. Возможности «Фид-Антифрод» Доступная маршрутизация операций без согласия Перевод с карты на карту через сервисы банка-отправителя Перевод со счета на счет Без маршрутизации (только репортинг) Перевод с карты на карту через иные сервисы Переводы, связанные с оплатой товаров и услуг с использованием POS терминалов Перевод на электронный кошелек Пополнение остатка средств абонента радиотелефонной связи Иные реквизиты получателя Получение фидов Специальный код номера паспорта Специальный код СНИЛС ИНН Номер карты Номер телефона Номер счета + БИК Номер кошелька Получение сведений о повышенном риске для отдельной операции в рамках осуществления переводов денежных средств Возможность для ОПДС принятия мер, направленных на выполнение мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента Выявление операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента, до принятия распоряжения к исполнению
  30. 30. Планы развития «Фид-Антифрод» • Оптимизация маршрутизации • Оптимизация внутреннего перечня критериев • Гармонизация СТО БР 1.5 с текущими форматами системы • Развитие API для автоматического направления сведений об ОБС в ФинЦЕРТ • Оптимизация перечная анализируемых параметров • Оптимизация подходов к обработке статусов ОБС (автоматизация изменения статуса при возврате, при отказе от заявления) • Развитие API для автоматического получения фидов • Оптимизация перечня фидов и формирование условий для получения обратной связи по их эффективности
  31. 31. Операционные риски
  32. 32. Операционные риски
  33. 33. Трансформация системы управления операционным риском 34 Положение о СУОР Новые требования к отчетности по ОР Порядок расчета величины ОР с учетом статистики потерь и качества СУОР 2019 2020 Ø Компонента потерь (ILM) для расчёта капитала на ОР Ø Детальные требования к организации СУОР Ø Детальные требования к данным о потерях от ОР и ИБ Ø Стресс-тестирование ОР и ИБ 2021 Начало применения подхода Basel III к расчету капитала под ОР
  34. 34. Новое положение о СУОР
  35. 35. Сколько вешать в граммах?
  36. 36. Рискориентированный подход - регулярная отчетность об инцидентах - результаты проверок подразделениями ИБ Банка России - протоколирование действий на технологических участках - информация, содержащаяся в базах данных Показатели защищенности инфраструктуры Показатели защищенности приложений Показатели риска по операциям - результаты проверок подразделениями ИБ Банка России Источники Состав операционных рисков финансовых организаций показатели, характеризующие уровень несанкционированных финансовых операций показатели , характеризующие непрерывность предоставления финансовых услуг показатели, характеризующие финансовые потери клиентов финансовых организаций ПоказателиоперационнойстабильностиПоказателифинансовойстабильности
  37. 37. Надзор
  38. 38. Жизненный цикл ИБ с точки зрения надзора Необходимость включения нового вида организации в контур надзора Комплекс подготовительных мероприятий к включению в контур надзора Включение в контур надзора Формирование профиля риска реализации информационных угроз Надзор за реализацией системы управления риском и капиталом с учетом профиля риска • Кредитная организация • Некредитная финансовая организация • ФинТех-проект • субъект национальной платежной системы • Определение типового состава показателей профиля риска поднадзорной организации • Разработка методик применения надзорных мер реагирования • Формирование нормативно- методологической базы знаний Нормативное закрепление (часть 1): • состава и содержания технологических мер обеспечения защиты информации; • мер анализа уязвимостей программного обеспечения; • уровня защиты по ГОСТ; • правил протоколирования. Нормативное закрепление (часть 2): • требований проведения оценки соответствия по ГОСТ; • правил претензионной работы; • правил информирования ФинЦЕРТ о несанкционированных финансовых операциях. Осуществление дистанционного надзора (мониторинга) показателей: ПНО – показатель уровня несанкционированных операций; ПОН – показатель операционной надежности; ПОС – показатель оценки соответствия требованиям ГОСТ; ИФ – показатель уровня информационного фона. Этап 1 Этап 2 Этап 3 Этап 4 Этап 5
  39. 39. Дистанционный надзор Показатель уровня несанкционированных операций Показатель операционной надежности Показатель уровня информационного фона Инспекционные проверки Показатель качества корпоративного управления ПНО ПОН ИФ ККУ R (ПНО, ПОН, ПОС, ИФ, ККУ) формирование зон Источники Формы отчетности Показатель оценки соответствия требованиям ГОСТ ПОС Внешний аудит Сейчас Информационный обмен с ФинЦЕРТ (для субъектов НПС) Участие всех субъектов надзора в информационном обмене с ФинЦЕРТ Сбор исходных данных Применение технологий BigData Целеваямодель Профиль риска поднадзорной организации
  40. 40. Отчетность
  41. 41. Развитие форм отчетности о рисках и инцидентах ИБ 203-я отчетность 203-я и 258- я отчетность Отчетность по 552-П Отчетность по 382-П 203-я и 258- я отчетность Отчетность по 552-П Отчетность по антифроду t Отчетность в ГосСОПКУ 2012+ 2016+ 2018+ Отчетность по рискам
  42. 42. Стандартизация и направления регулирования ИБ
  43. 43. Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
  44. 44. Стандарты по защите информации ГОСТ 57580.1 ГОСТ 57580.2 Стандарты по ОИБ и управлению рисками Общие положения Оценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование информационных сервисов Оценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с ФинЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации Оценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации Оценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
  45. 45. Повышение квалификации
  46. 46. Планы по совершенствованию процесса повышения квалификации в 2018 году Профессиональные стандарты Образовательные стандарты Система независимой аттестации специалистов +8 ПС в области ИБ +9 ФГОС для разных уровней подготовки в области ИБ +1 new! типовая программа* профессиональной переподготовки специалистов в области ИБ для КФС Дополнительные профессиональные программы Сертификаты международных независимых организаций (CISA, CISM, CISSP, COBIT, CGEIT, CRISC и другие) + new! планируется разработка системы аттестации специалистов и руководителей подразделений ИБ +1 new! типовая программа профессиональной переподготовки руководителей в области ИБ для КФС +1 new! ПС по кибербезопасности +2 new! ФГОС для разных уровней подготовки в области ИБ для КФС
  47. 47. Проект профстандарта Создана рабочая группа по разработке Проекта ПС Разработана функциональная карта профессиональной деятельности Разработан проект ПС (первый релиз) Приглашение СПК ИТ о создании совместной рабочей группы Профессионально-общественные обсуждения Анализ предложений и замечаний, доработка Проекта Подготовка комплекта документов, представление на утверждение в Минтруд, НСПК Июль 2018 Сентябрь 2018 Декабрь 2018 Декабрь 2018 Февраль – апрель 2019 Май – Август 2019 Сентябрь – Ноябрь 2019 Проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере» Подготовлен детальный план по разработке и внедрению профессионального стандарта
  48. 48. Программа профподготовки Программа профессиональной переподготовки прошла экспертизу в вузах: • ФУ при Правительстве РФ • МГТУ им. Н.Э. Баумана • МИФИ • Санкт-Петербургский политехнический университет имени Петра Великого Цель: формирование компетенций, необходимых работникам службы ИБ КО и НФО для выполнения новых функций в своей профессиональной деятельности. Продолжительность обучения: 512 ч.
  49. 49. Повышение культуры ИБ в стране Целевая аудитория • Младшая школа (1-4 классы) • Средняя и старшая школа (5-11 классы) • Старшая школа (9-11 профильные классы), профильные колледжи • Студенты непрофильных специальностей • Студенты профильных специальностей • Экономически активное население РФ (>23-55<) • «Серебряный возраст» 55+ и люди с особыми потребностями Цели: • Обучение населения основам кибергигиены • Повышение уровня киберграмотности населения • Борьба с социальной инженерией
  50. 50. Новые проекты нормативных актов по ИБ от Банка России
  51. 51. Замена 552-П • Защита в соответствие с 382-П с учетом нового Положения ССНП и СБП – как операторы по переводу денежных средств (ОПДС) ОПКЦ – как операторы услуг платежной инфраструктуры (ОУПИ) • Сегментирование объектов инфраструктуры для ССНП и СБП уровень защиты – 2 (по ГОСТ 57580.1) для ОПКЦ уровень защиты – 1 (по ГОСТ 57580.1) • Меры защиты определяются самостоятельно по ГОСТ 57580.1 • Применение СКЗИ в соответствие с 63-ФЗ, ПКЗ- 2005 и документацией на СКЗИ !
  52. 52. Безопасность НФО • Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков • Уровни защиты информации (по ГОСТ 57580.1) 3-й – системно значимые инфраструктурная организация финансового рынка по 3341-У 1-й – микрофинансовые организации, ломбарды, кредитные потребкооперативы, жилищные накопительные кооперативы, сельскохозяйственные кредитные потребкооперативы 2-й – все остальные • + повтор положений 382-П !
  53. 53. Блокировки сайтов • Проект федерального закона «О внесении изменений в статью 151 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» блокировка по решению Банка России фишинговых сайтов блокировка по решению Бланка России сайтов, предоставляющих финансовые услуги без соответствующей лицензии Банка России блокировка сайтов, связанных с распространением вредоносного ПО !
  54. 54. Взаимодействие с операторами связи • Проект федерального закона «О внесении изменений в Федеральный закон от 7 июля 2003 года № 126-ФЗ «О связи» (в части защиты прав и законных интересов пользователей услуг)» подтверждение принадлежности абонентского номера конкретного клиента кредитной организаций в единой информационной системе противодействие мошенничеству в финансовой сфере через выстраивание единого канала обмена данными о мобильном устройстве, абоненте номера мобильного телефона между операторами связи и банками !
  55. 55. Иные планы по нормотворчеству • Регулирование требований по применению цифровых технологий на финансовом рынке с учетом требований безопасности (цифровые финансовые активы, искусственный интеллект, большие данные, киберфизические системы, системы распределенного реестра) • Совершенствование механизмов использования усиленной квалифицированной электронной подписи и законодательства, регулирующего деятельность удостоверяющих центров • «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» !
  56. 56. Персданные
  57. 57. Новинки законодательства по ПДн • Законопроект об ответственности оператора ПДн за действия и бездействие обработчика ПДн • Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора • Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных • Регулирование больших пользовательских данных • «Оборотные» штрафы (?)
  58. 58. В качестве заключения
  59. 59. Спасибо! alukatsk@cisco.com

×