Successfully reported this slideshow.
Your SlideShare is downloading. ×

Новая триада законодательства по финансовой безопасности

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 63 Ad

Новая триада законодательства по финансовой безопасности

Download to read offline

Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1

Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1

Advertisement
Advertisement

More Related Content

Slideshows for you (20)

Similar to Новая триада законодательства по финансовой безопасности (20)

Advertisement

More from Aleksey Lukatskiy (17)

Advertisement

Новая триада законодательства по финансовой безопасности

  1. 1. Бизнес-консультант по безопасности Новая триада законодательства финансовой кибербезопасности Алексей Лукацкий
  2. 2. О чем мы будем говорить? КИИ ГОСТ 382-П
  3. 3. Критическая информационная инфраструктура
  4. 4. Ключевые сущности ФЗ-187 КИИ Субъект КИИ Объект КИИ
  5. 5. Субъект ли я или право имею?.. • Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат ИС, ИТС, АСУ, функционирующие в сфере… !
  6. 6. Сферы, в которых есть КИИ 1. Здравоохранение 2. Наука 3. Транспорт 4. Связь 5. Энергетика 6. Банковская сфера и финансовые рынки 7. ТЭК 8. Атомная энергетика 9. Оборонная промышленность 10. Ракетно-космическая промышленность 11. Горнодобывающая промышленность 12. Металлургическая промышленность 13. Химическая промышленность 14. Обеспечение взаимодействия между пп.1-13 !
  7. 7. Есть ли у меня объекты КИИ? • Множество разных ИС АБС Процессинг ДБО Кадры Бухгалтерия Web-сайт СКУД и др. • Такие системы являются объектами КИИ, но скорее всего незначимыми !
  8. 8. А вот в ПП-127 говорится о критических процессах… • Есть два подхода От закона: все ИС – это объекты КИИ От ПП-127: только те ИС, которые обслуживают критические процессы – это объекты КИИ • А какая разница? !
  9. 9. Процедура категорирования 1. Определение всех процессов 2. Выявление критических процессов 3. Определение объектов, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, формирование перечня объектов КИИ, подлежащих категорированию 4. Оценка последствий 5. Установление соответствия объектов КИИ значениям показателей критериев и присвоение одной из категорий
  10. 10. У кого могут быть значимые объекты? • 31 финансовая организация с участием государства • 1 банк как стратегическое предприятие и стратегическое АО • 11 системно значимых кредитных организаций • 4 системно значимые инфраструктурные организации финансового рынка • 8 операторов услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем
  11. 11. Финансовые организации с участием государства • Банк России • Сбербанк • Внешэкономбанк • Национальный Клиринговый Центр • ВТБ • Россельхозбанк • Газпромбанк • Глобэкс (как дочка ВЭБ) • Связь-Банк (как дочка ВЭБ) • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства) • Российский капитал (как дочка АИЖК) • ВБРР • Почта Банк (как дочка ВТБ и Почты России) • РНКБ (как дочка Росимущества) • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ) • Крайинвестбанк • Дальневосточный Банк • Акибанк • Алмазэргиэнбанк • Московское Ипотечное Агентство • Росэксимбанк • БМ-Банк • Русь • Хакасский Муниципальный Банк • Банк Казани • Почтобанк (не путать с Почта Банк) • Новикомбанк • НСПК • Открытие • Бинбанк • Ростбанк • Уралприватбанк Оценка автора
  12. 12. Системно значимые кредитные организации • АО ЮниКредит Банк • Банк ГПБ • Банк ВТБ • АО «АЛЬФА-БАНК» • ПАО Сбербанк • ПАО «Московский Кредитный Банк» • ПАО Банк «ФК Открытие» • ПАО РОСБАНК • ПАО «Промсвязьбанк» • АО «Райффайзенбанк» • АО «Россельхозбанк» Оценка автора
  13. 13. Системно значимые инфраструктурные организации финансового рынка • Центральный депозитарий • Расчетный депозитарий • Репозитарий • Центральный контрагент Оценка автора
  14. 14. Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС • Русславбанк и ВТБ (для CONTACT) • НСПК, Банк России (для Visa) • Платежный центр, Золотая корона (для Золотой короны) • Национальный расчетный депозитарий (для НРД) • НСПК, Банк России (для MasterCard) • ВТБ (для ПС ВТБ) • Сбербанк (для ПС Сбербанка) • Рапида, ВТБ (для Рапиды) Оценка автора Не путать с национально значимыми ПС!
  15. 15. Нюансы категорирования • Категорируется не субъект, а объект КИИ • Разные объекты могут иметь разные категории • Последствия оцениваются для отдельного объекта КИИ • Ни с кем согласовывать перечень не надо ! Вы помните ПП-584?
  16. 16. Что надо еще делать для выполнения закона? ☔ Категорирование Обеспечение ИБ (ФСТЭК) Обнаружение атак (ФСБ) Присоединение к ГосСОПКЕ
  17. 17. Чем будет регулироваться ГосСОПКА? Пока проекты приказов
  18. 18. Порядок информирования ФСБ об инцидентах • Информировать надо обо всех инцидентах на всех объектах КИИ (а не только на значимых) • Информация отправляется через инфраструктуру НКЦКИ или посредством почтовой, факсимильной, электронной или телефонной связи • Формат определяется НКЦКИ • Если субъект КИИ – финансовая организация, то информирование в два адреса – ФСБ и ЦБ Об этом же говорит и новая редакция 382-П
  19. 19. Почему ФинЦЕРТ – не центр ГосСОПКИ? • ФинЦЕРТ не является ни ведомственным, ни корпоративным центром ГосСОПКА и финансовые организации должны самостоятельно направлять данные об инцидентах в ГосСОПКУ !
  20. 20. Обмен данными с ГосСОПКОЙ • Обмен информацией об инцидентах между субъектами КИИ не позднее 24-х часов с момента обнаружения между собой и дублированием через НКЦКИ • Обмен посредством почтовой, факсимильной, электронной и телефонной связи или инфраструктуры НКЦКИ • Информация иностранным организациям направляется через НКЦКИ 12 часов - в случае принятия положительного решения об этом 24 часа – в случае отказа
  21. 21. Как передаются сведения об инцидентах? Субъекты с значимыми объектами • Через техническую инфраструктуру НКЦКИ • Если подключение к инфраструктуре отсутствует, то посредством почтовой, факсимильной, электронной или телефонной связи Иные субъекты • Посредством почтовой, факсимильной, электронной или телефонной связи • При наличии подключения к технической инфраструктуре НКЦКИ – через нее
  22. 22. Какие сведения получает ГосСОПКА? • Информация из реестра значимых объектов КИИ • Информация об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости • Информация об исключении объекта КИИ из реестра значимых объектов КИИ, а также об изменении категории значимости значимого объекта КИИ • Информация по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов КИИ о нарушении требований по обеспечению безопасности значимых объектов КИИ, в результате которого создаются предпосылки возникновения компьютерных инцидентов Эти сведения предоставляются ФСТЭК в течение 5 дней
  23. 23. Какие сведения получает ГосСОПКА? • О компьютерных инцидентах, произошедших на объектах КИИ Дата, время и место Наличие связи между инцидентом и атакой Связь с другими инцидентами Состав технических параметров инцидента Последствия • Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, представление которой субъектами КИИ и иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными, согласовано с НКЦКИ
  24. 24. Как субъекты реагируют на инциденты? • Реагирование на КИ с задействованием собственных сил и средств • Информирование ФСБ для получения практической помощи • Ждать каких-то методических рекомендаций пока не стоит – ориентируйтесь на документы Банка России по управлению инцидентами
  25. 25. Кому и как отправлять данные об инцидентах? • По 552-П и проекту 382-П данные об инцидентах надо направлять в ФинЦЕРТ • По ФЗ-187 данные об инцидентах надо направлять в ГосСОПКУ и ФинЦЕРТ • Проект стандарта СТО БР ИББС 1.5 определяет формат информационного обмена об инцидентах Стандарт согласован с ФСБ
  26. 26. О каких инцидентах нужно сообщать? 1. ВПО (включая APT и бот-агентов) 2. Несанкционированный доступ 3. Эксплуатация уязвимости 4. DoS/DDoS 5. Перебор паролей 6. Центр управления бот-сети 7. Фишинг (мошенничество) 8. Вредоносный ресурс 9. Запрещенный контент 10.Сканирование ресурсов 11.Спам 12.Нарушение политики безопасности 13.Другое Для каждого типа инцидента описывается свой объем информации ! Об этом типе инцидентов в последнее время много писали СМИ
  27. 27. Технические средства ГосСОПКА • Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на КИ обеспечивают следующие задачи: Средства обнаружения атак Средства предупреждения атак Средства ликвидации последствий атак и реагирования на компьютерные инциденты Средства поиска признаков атак Средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак Средства криптографической защиты такой информации Одно или несколько средств
  28. 28. Требования к техническим средствам ГосСОПКА • Отсутствие принудительного обновления ПО и управления с территории иностранного государства • Отсутствие возможности несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю) • Возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями • Обеспечение гарантийной и технической поддержкой российскими организациями без участия иностранных организаций и организаций с иностранными инвестициями • Отсутствие недекларированных возможностей в ПО
  29. 29. Требования к средствам в части обнаружения атак • Сбор и первичная обработка информации, поступающей от источников событий информационной безопасности • Автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак) • Ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов SIEM???
  30. 30. Требования к средствам в части предупреждения атак • Сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации • Сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов • Учет угроз безопасности информации Сканеры уязвимостей и анализаторы векторов атак???
  31. 31. Требования к средствам в части ликвидации последствий атак • Учет и обработка компьютерных инцидентов • Управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак • Обеспечение взаимодействия с НКЦКИ • Информационно-аналитическое сопровождение IRP???
  32. 32. Требования к СКЗИ • СКЗИ должны быть сертифицированными
  33. 33. Порядок, технические условия установки и эксплуатации техсредств ГосСОПКИ • Документ определяет порядок и техусловия установки и эксплуатации техсредств ГосСОПКИ, за исключением средств поиска признаков атак у операторов связи и в банковской сфере и иных сферах финансового рынка • Установка средств согласовывается субъектом с НКЦКИ • Установка, прием в эксплуатацию, эксплуатация осуществляются субъектом КИИ или привлекаемой по договору организацией
  34. 34. Порядок реагирования на инциденты • Субъект осуществляет реагирование на инциденты в соответствие с разработанным планом Для значимых объектов - обязательно • Один раз в год осуществляется тестирование плана (киберучения) • Может понадобиться согласование с 8-м Центром ФСБ регламента взаимодействия с подразделениями ФСБ для реагирования на инциденты В каких случаях нужно взаимодействие с ФСБ непонятно
  35. 35. Надо ли мне защищаться, если у меня нет значимых объектов КИИ? • Необходимо обеспечить информирование ГосСОПКИ и Банка России (если речь идет о финансовых организациях) об инцидентах • Необходимо содействовать сотрудникам ФСБ при расследовании инцидентов • Порядок информирования и содействия должны быть еще разработаны
  36. 36. ФСТЭК vs ФСБ ФСТЭК • Требования по защите отдельных объектов КИИ • Надзор за выполнением требований по защите • Требования к средствам защиты ИС/ИТС/АСУ ФСБ • Требования к центрам ГосСОПКИ • Требования к техническим средствам центров ГосСОПКИ • Оценка состояния защищенности • Требования по обнаружению и реагированию на атаки Предотвращение Обнаружение Реагирование
  37. 37. Обратите внимание! Значимые Незначимые Объекты КИИ Требования по безопасности ФСТЭК предъявляются только к значимым объектам КИИ Незначимые объекты КИИ могут продолжать относиться к ИСПДн, АСУ ТП, АБС и т.п.
  38. 38. Обратите внимание! Незначимый объект 21-й приказ 31-й приказ (v2014) 17 приказ ГОСТ ЦБ 382-П PCI DSS ... Действующие документы по ИБ ФСТЭК, Банка России, ФСБ, Минкомсвязи продолжают действовать!
  39. 39. Что подготовила ФСТЭК? • Требования к созданию системы безопасности значимых объектов КИИ (общие требования для субъектов КИИ) Приказ №235 • Требования по безопасности значимых объектов КИИ (по аналогии с 17-м и 31-м приказами ФСТЭК) Приказ №239
  40. 40. Ключевые моменты • Привлекаемые для защиты организации должны быть лицензиатами • Оценка соответствия средств защиты в форме сертификации, испытаний или приемки • Средства защиты должны иметь поддержку • Не допускается Удаленный или локальный бесконтрольный доступ или обновление внешними лицами Передача информации разработчику средства защиты без контроля со стороны субъекта КИИ
  41. 41. Требования по защите • Сопоставимы с требованиями 21/31-го приказов, но имеются и определенные отличия: Ориентация только на значимые объекты 3 категории значимости Перечисление списка объектов защиты Более детальный раздел по анализу и моделированию угроз Разработка ПО осуществляется в соответствие с ГОСТом на SDLC Анализ уязвимостей, в том числе в коде ПО, архитектуры и конфигурации Информирование и обучение персонала
  42. 42. Новые требования по защите • Анализ сетевого трафика (NTA) • Анализ действий пользователей (UEBA) • Проведение внутреннего и внешнего аудита • Антивирус для почты и иных сервисов • Антивирусы разных производителей • Песочница • Защита от DDoS В остальном сопоставимо с требованиями 21-го приказа
  43. 43. 4793-У (новое 382-П)
  44. 44. Новая редакция 382-П • Установление правил организации работ и оценки соответствия АБС и приложений, применяемых для перевода денежных средств • Отказ от самооценки • Разделение контуров подготовки и подтверждения поручений на осуществление перевода денежных средств • Информирование об инцидентах и новое понятие инцидента • Переход на российскую криптографию в НПС и для защиты ПДн
  45. 45. Информирование об инцидентах • Вводится обязанность по информированию ЦБ об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации о инцидентах • Перечень инцидентов будет опубликован на сайте Банка России (СТО 1.5?) • Порядок уведомления должен быть согласован с ФСБ • Статус СТО 1.5??? • Протокол обмена, формат карточки инцидента???
  46. 46. Оценка соответствия банковского ПО • Прикладное ПО, используемое для осуществления переводов денежных средств, должно быть сертифицировано ФСТЭК или в отношении которого проведен анализ уязвимостей по ОУД4 • Где взять столько испытательных лабораторий? • Разработчики готовы? • ФСТЭК отказывается от «Общих критериев» • Agile-разработка? • Постоянные обновления банковского ПО под регулярно обновляемые требования ЦБ • Оценка проводится лицензиатами ФСТЭК
  47. 47. Разделение контуров • Применяются при осуществлении переводов денежных средств с использованием сети «Интернет» и (или) размещении клиентских компонентов на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода
  48. 48. …и его альтернатива • Альтернатива: • ограничение максимальной суммы перевода денежных средств за одну операцию и (или) за определенных период времени • определение перечня возможных получателей денежных средств • определение временного периода, в который могут быть совершены переводы денежных средств • определение географического местоположения устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений • определение перечня устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений, на основе идентификаторов указанных устройств • определение перечня предоставляемых услуг, связанных с осуществлением переводов денежных средств
  49. 49. Переход на российскую криптографию • Все значимые платежные системы (например, Сбербанк, Visa, Master Card и НСПК) должны перейти на • Российскую криптографию • Отечественные HSM и иные СКЗИ с поддержкой зарубежных алгоритмов, согласованных с ФСБ • Банкоматы, POS-терминалы, ДБО… • Сертификация отечественных СКЗИ в МПС??? • Мгновенно перейти нельзя – поддержка двух систем шифрования?
  50. 50. Сроки Требование Сроки Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020 Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018 Разделение контуров 01.01.2020 Применение в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ 01.01.2024 Применение в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ 01.01.2031 Применение в значимых платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ 01.01.2031 Применение в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах 01.01.2031
  51. 51. Будущая редакция 382-П • Изменение идеологии • Исключение технических вопросов обеспечения информационной безопасности • Установление нормативных ссылок на ГОСТ • Установление только технологических и организационных требований
  52. 52. ГОСТ 57580.1
  53. 53. Новый ГОСТ • Положения настоящего стандарта, предназначены для использования кредитными организациями и некредитными финансовыми организациями • Объектами стандартизации разрабатываемого проекта национального стандарта являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации • ГОСТ 57580.1-2017
  54. 54. Выбор защитных мер • Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает • выбор базового состава мер • адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС • уточнение (включает дополнение или исключение) • дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами Базовый уровень Адаптация (уточнение) базового набора Дополнение уточненного адаптированного набора Компенсационные меры
  55. 55. Уровни защиты • Стандарт определяет три уровня защиты информации: • уровень 3 – минимальный • уровень 2 – стандартный • уровень 1 – усиленный • Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от: • вида деятельности финансовой организации, состава реализуемых бизнес- процессов и (или) технологических процессов • объема финансовых операций • размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий • значимости финансовой организации для финансового рынка и национальной платежной системы
  56. 56. Защитные меры/процессы • «Обеспечение защиты информации при управлении доступом»: • управление учетными записями и правами субъектов логического доступа • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа • защита информации при осуществлении физического доступа • идентификация, классификация и учет ресурсов и объектов доступа • «Обеспечение защиты вычислительных сетей»: • сегментация и межсетевое экранирование вычислительных сетей • выявление сетевых вторжений и атак • защита информации, передаваемой по вычислительным сетям • защита беспроводных сетей
  57. 57. Защитные меры/процессы • «Контроль целостности и защищенности информационной инфраструктуры» • «Антивирусная защита» • «Предотвращение утечек информации, защита машинных носителей информации (МНИ)» • «Управление инцидентами защиты информации»: • мониторинг и анализ событий защиты информации; • обнаружение инцидентов защиты информации и реагирование на них; • «Защита среды виртуализации» • «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
  58. 58. Сертификация средств защиты и прикладного ПО
  59. 59. Можно ли отказаться от сертификации?
  60. 60. Дорожная карта стандартизации по ИБ Банка России • Домен УКР – «управление киберриском» • Домен ЗИ – «защита информации» • Домен СО – «мониторинг киберрисков и ситуационная осведомленность» • Домен ОНД – «обеспечение непрерывности выполнения бизнес и технологических процессов финансовых организаций в случае реализации информационных угроз» • Домен УА – «управлением киберриском при аутсорсинге и использовании сторонних информационных услуг (сервисов)» • Домен УИ – «управление инцидентами ИБ»
  61. 61. Стандарты по защите информации ГО СТ 57580.1 ГО СТ 57580.2 Стандарты по ОИБ и управлению рисками О бщ ие положения О ценка соответствия Аудит ИБ Аутсорсинг и использование информационных сервисов Аутсорсинг Использование инф ормационных сервисов О ценка соответствия Стандарты по управлению инцидентами Требования и меры организации Сбор и анализ технических данных Взаимодействие с Ф инЦЕРТ (СТО 1.5) Стандарт по непрерывности Требования и меры реализации О ценка соответствия Мониторинг киберрисков и ситуационная осведомленность Требования и меры реализации О ценка соответствия Направления стандартизации Банка России Источник: план работы ПК1 ТК122
  62. 62. Подводим итоги • ЦБ получает новые полномочия по регулированию вопросов кибербезопасности финансовых организаций (не только банков) и будет усиливать работы в этом направлении • ФСБ тормозит процесс реализации мер по информированию об инцидентах, что приводит к неопределенности • ФСТЭК не будет вмешиваться в процесс ИБ финансовых организаций (исключая, возможно, ЗОКИИ) • Требования ГОСТ 57580.1 и 239-го приказа пересекаются на 100% в части технической реализации • В 239-м больше защитных мер • В ГОСТ больше организационно-процессных мер • Сертификация средств защиты не является обязательной, в отличие от СКЗИ и прикладного финансового ПО (привет, PA DSS)
  63. 63. Спасибо! alukatsk@cisco.com

×