Документ представляет обзор изменений в области информационной безопасности в 2014 году, включая меры по минимизации рисков, связанных с уязвимостью OpenSSL (Heartbleed). Также затрагиваются требования к операционным системам, сертификациям и антивирусной защите, а также рекомендации по работе с персональными данными и резервными копиями. В нем обсуждаются обновления и обязательные процедуры для кредитных организаций в свете новых регуляций.

1. Что год грядущий нам готовит?
Обзор изменений в сфере ИБ в 2014 году
Артем Агеев
@4rt3m

2. Агеев Артем Александрович
• Руководитель проекта BugHunt
• Заместитель генерального директора ООО «РосИнтеграция» по
информационной безопасности
• Личный блог www.itsec.pro
• Твиттер @4rt3m
• A.ageev@rosint.net

3. http://www.cbr.ru/press/pr.aspx?file=18042014_165029intern1.htm
Критическая уязвимость OpenSSL (Heartbleed)
Информационное сообщение ЦБ РФ от 18 апреля 2014г.
О мерах по минимизации риска, связанного с наличием
уязвимости в программном обеспечении «OpenSSL»
 проверить свои сервера https://filippo.io/Heartbleed/
 обновить OpenSSL
 сменить криптографические ключи в порядке, определенном в
соответствии с пунктом 2.9.3 Положения Банка России № 382-П
 довести до клиентов информации о рекомендуемых мерах по
снижению возможных рисков в соответствии с пунктом 2.12.3
Положения Банка России № 382-П

4. * Кроме Windows XP Embedded
http://support.microsoft.com/lifecycle/?c2=1173
 патчей больше не будет!
 техподдержка не поможет
 новые версии ПО и драйверов
будут/могут быть несовместимы
 в продаже нет
30% всех ПК в мире
с 8 апреля беззащитны

5. Стандарт безопасности данных индустрии платежных карт (PCI DSS)

6. Информационное сообщение ФСТЭК России от 7 апреля 2014 г. N 240/24/1208
http://fstec.ru/component/content/article/64-normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informatsionnoe-soobshchenie-fstek-rossii5
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННОЙ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS XP В
УСЛОВИЯХ ПРЕКРАЩЕНИЯ ЕЕ ПОДДЕРЖКИ
РАЗРАБОТЧИКОМ
 необходимо усилить защиту имеющихся аттестованных
ИС с Windows XP и запланировать переход на более
современную ОС до декабря 2016 года;
 все системы с Windows XP, аттестованные до 8 апреля
2014 года, должны пройти дополнительные
аттестационные испытания в рамках действующих
аттестатов.

7. СТО БР ИББС 1.0 – 2014. Общие положения
СТО БР ИББС 1.2 – 2014. Методика оценки
РС БР ИББС 2.Х – 2014. Обеспечение информационной безопасности на стадиях
жизненного цикла автоматизированных банковских систем
РС БР ИББС 2.Х – 2014. Менеджмент инцидентов информационной
безопасности

8. Положение 382-П
• Обязательные требования для всех участников
НПС
• Обязательная оценка соответствия до февраля
2014 года, и потом каждые 2 года
• ЦБ РФ обещал подумать над опубликованием
внутреннего регламента по контролю за
исполнением 382-П

9. Положение 397-П
• Кредитная организация обязана предоставить резервные копии
электронных баз данных по запросу из ЦБ
• банк обязан обеспечить хранение резервных копий не менее 5 лет
(п.1.2. Положения);
• резервные копии должны позволять получить необходимую
информацию за любой заданный операционный день (п.3.3.
Положения) в течение срока хранения;
• должна быть обеспечена возможность определения даты операций
(сделки) и номера соответствующего лицевого счета;
• должна быть обеспечена возможность восстановления временной
последовательности событий и действий пользователей по
внесению изменений в электронные базы данных, а также
возможность идентификации лиц, которые вносили данные
изменения;
• в кредитной организации должны быть назначены ответственные за
ведение, хранение и защиту резервных копий электронных баз
данных;
• должны быть разработаны и утверждены соответствующие
внутренние регламенты.

10. Письмо ЦБ от 24 марта 2014 г.
N 49-Т про антивирусы
• регулярно проводить обучающие мероприятия;
• органы управления КО должны не реже 1 раза в
квартал рассматривать результаты антивирусных
мероприятий;
• разработать требования по антивирусной защите
клиентов ДБО;
• информировать клиентов ДБО о вирусной
активности;
• и другие рекомендации…

11. Письмо ЦБ от 14 марта 2014 г. N 42-
Т
Персональные данные
Территориальным учреждениям Банка России при
осуществлении надзора за деятельностью кредитных
организаций следует учитывать случаи выявления
недостатков в деятельности, связанных с исполнением норм
Федерального закона от 27.07.2006 N 152-ФЗ, и
рассматривать их как негативный фактор при оценке
качества управления кредитной организацией, в том числе
оценке организации системы внутреннего контроля в
соответствии с Положением Банка России от 16.12.2003 N
242-П "Об организации внутреннего контроля в кредитных
организациях и банковских группах".

12. Роскомнадзор
• Методические рекомендации по обезличиванию
• Штрафы за ПДн пока не увеличили
http://rkn.gov.ru/news/rsoc/news17877.htm
Кадровые вопросы
http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc
О ксерокопиях паспортов и фотографиях в личном деле
• Разъяснения Роскомнадзора

13. ФСТЭК
• Отменен приказ ФСТЭК/ФСБ/Мининформсвязи
55/86/20 («приказ трёх»)
• Методические рекомендации по защите ГИС от
11 февраля 2014 года
• Разработаны документы по защите виртуальных
и облачных инфраструктур, но ещё не
утверждены

14. Спасибо за внимание!