SlideShare a Scribd company logo

Russian Finance Security Regulations

Aleksey Lukatskiy
Aleksey Lukatskiy
1 of 34
Download to read offline
Регулирование ИБ в банковской индустрии России Алексей Лукацкий, бизнес-консультант по безопасности © 2011 Cisco and/or its affiliates. All rights reserved. 1
1000 банков Центральный банк ФСТЭК, ФСБ, РКН, PCI Council ФЗ «О техническое регулировании» © 2011 Cisco and/or its affiliates. All rights reserved. 2/34
© 2011 Cisco and/or its affiliates. All rights reserved. 3
• 2000 год - Начаты работы по созданию Стандарта. • 2003 год - Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов • 2004 год - Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ по г. СПб • 2005 год - Проведена апробация в опытной зоне (12 +2 региональных подразделений) • 2005 год - Стандарт внедрен в нескольких банках • 2006 год - По результатам апробации подготовлена и введена в действие вторая редакция Стандарта • 2006 год - Создана ассоциация ABISS и открыта специализированная страничка на сайте Банка России в Интернет • 2007 год - Приняты четыре документа – сформирован первичный блок Комплекса © 2011 Cisco and/or its affiliates. All rights reserved. 4/34
Документы ЦБ ISO 27xxx СТО 1.0 Мнение ФСБ Члены ТК 362 © 2011 Cisco and/or its affiliates. All rights reserved. 5/34
СТО РС Отраслевая Рекомендации Руководство Общие Методика частная Аудит ИБ по по самооценке Методика Требования положения оценки модель угроз 1.1-2007 документации соответствия оценки рисков по ИБ ПДн 1.0-2010 соответствия безопасности в области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • СТО – стандарт организации • РС – рекомендации по стандартизации © 2011 Cisco and/or its affiliates. All rights reserved. 6/34
• ISO определяет меры ISO СТО 1.0 по защите исходя из оценки рисков 27000 Глава 3. Термины • Набор защитных мер в СТО обязателен к 27001 Глава 8. Система применение менеджмента ИБ Оценка рисков Глава 7. Система позволяет добавить 27002 ИБ защитные мероприятия, но не уменьшить их Глава 8 в части перечень 27003 осознания • Требования СТО адаптированы к 27014 банкам Преимущественно крупным © 2011 Cisco and/or its affiliates. All rights reserved. 7/34
• СТО позволяет формировать ISO СТО численные оценки СТО 1.0. Глава 9. 27002 • СТО вводит единые Проверка критерии оценки по СТО 1.2. Оценка частным показателям 27004 соответствия • СТО позволяет сравнивать 27006 СТО 1.1. Аудит ИБ различные банки 27008 РС 2.1 Самооценка • СТО вводит новое руководство по самооценке © 2011 Cisco and/or its affiliates. All rights reserved. 8/34
• Результаты аудита уровня ИБ банка демонстрируют соответствие четвертому уровню по пятиуровневой шкале соответствия требованиям СТО БР ИББС- 1.0-2010 • Банк России рекомендует по методике оценки СТО БР ИББС-1.2-2010 иметь организациям БС РФ уровень не ниже 4-го Рис. 1. Круговая диаграмма оценок по групповым показателям © 2011 Cisco and/or its affiliates. All rights reserved. 9/34
Выбор метода оценки соответствия 20% Внешний аудит Самооценка 80% © 2011 Cisco and/or its affiliates. All rights reserved. 10/34
• Банк России уже провел первичную оценку рисков и ISO СТО разработал набор защитных мер в СТО 27001 СТО 1.0. Глава 8. 1.0 СМИБ • Под специфику РС 2.2. Оценка 27005 рисков конкретного банка можно провести свою РС 2.4. Модель оценку рисков и угроз ПДн разработать свои защитные меры © 2011 Cisco and/or its affiliates. All rights reserved. 11/34
© 2011 Cisco and/or its affiliates. All rights reserved. 12/34
• Как отраслевой регулятор Банк России не наделен (пока) законодателем правом нормативного регулирования вопросов информационной безопасности в кредитных организациях • В связи с этим Банк России вынужден: Разрабатывать и внедрять стандарты, имеющие рекомендательный статус, создавать механизмы их внедрения Ограничиваться разработкой рекомендаций для банков Использовать договорные механизмы взаимодействия с банками Опираться на требования по безопасности, изложенные в техдокументации на оборудование, в основном, криптографическое. При этом в целом, нормативное регулирование носит кусочный и не сбалансированный характер, приводящий к ослаблению системы безопасности в целом и росту расходов © 2011 Cisco and/or its affiliates. All rights reserved. 13 13/34
© 2011 Cisco and/or its affiliates. All rights reserved. 14
• 2006 год – Принят № 152-ФЗ «О персональных данных» • 2007 год – Начало отчета по реализации требований ФЗ • 2008 год – Разработка первичных технических требований • 2009 год – Осмысление требований, общее отрезвление, начало разработки отраслевых норм, учитывающих требования по защите ПД • 2010 год (июль) – Согласование отраслевых норм (стандартов) с регуляторами, выпуск «Письма шестерых» • 2010 год (декабрь) – Перенос сроков реализации ст.25 ФЗ 152 на полгода • 2011 год – Работа с перспективой внедрения над новой редакцией ФЗ «О персональных данных» © 2011 Cisco and/or its affiliates. All rights reserved. 15/34
• СТО формирует единый набор требований для защиты КТ, БТ и ПДн ISO СТО • Процесс оценки РС 2.3. Защита 27002 соответствия также ИСПДн унифицирован для СТО 1.0. Раздел всех видов 29100 7.10 защищаемой информации 29101 • СТО уже вводит требования по защите ПДн (ISO 2910x – пока проект) © 2011 Cisco and/or its affiliates. All rights reserved. 16/34
ФСБ ФСТЭК СТО © 2011 Cisco and/or its affiliates. All rights reserved. 17/34
© 2011 Cisco and/or its affiliates. All rights reserved. 18/34
50 45 40 35 Приняли Планируют 30 25 20 2007 2010 © 2011 Cisco and/or its affiliates. All rights reserved. 19/34
• Максимальные темпы проста присоединения были в октябре 2010 (через 3 месяца после принятия СТО) • Можно ожидать присоединения 75-80% банков • Отказались внедрять стандарт, но не отказались выполнять ФЗ-152 5-10% • Заняли выжидательную позицию 10-15%, в основном мелкие банки • По мнению Банка России это, видимо, предельные значения метода убеждения • В случае нормативного принуждения показатели были бы гораздо выше © 2011 Cisco and/or its affiliates. All rights reserved. 20 20/34
Уровни соответствия Оценки, содержащиеся в Подтверждении соответствия 0 I II III IV V 0 - 0,25 0,25 - 0,5 0,5 - 0,7 0,7 - 0,85 0,85 - 0,95 0,95 - 1 Регуляторы % организаций Роскомнадзор 4,5 9 28,8 25,9 3 28,8 ФСТЭК России 1.5 12,1 27,3 28,8 19,7 10,6 ФСБ России 0 6,5 22,6 24 32,4 14,5 Итоговый уровень (Банк России) 5,7 35,7 22,8 18,6 14,3 2,9 • На приведение банка в соответствие с требованиями стандартов требуется несколько лет • Оценка соответствия тоже требует времени 21 © 2011 Cisco and/or its affiliates. All rights reserved. 21/34
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн • РС «Требования по обеспечению безопасности СКЗИ» (план) • РС «Методика классификация активов» (план) • РС «Методика назначения и описания ролей» (план) © 2011 Cisco and/or its affiliates. All rights reserved. 23/34
• В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг» ТК 122 соответствует ISO TC 68 “Financial Services» • Базовая организация – Центральный банк • В связи с определенными разногласиями работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках одного из подкомитетов ТК 122 © 2011 Cisco and/or its affiliates. All rights reserved. 24 24/34
Наименование Соответствующие Специализация технического комитета технического комитета (ТК)/ структуры ИСО (подкомитета) по виду продукции, услуг подкомитета (ПК) ТК 122 ISO/TC 68 «Стандарты финансовых Стандарты финансовых операций “Financial Services” операций» ТК122/ПК № 1 ISO/TC 68/SC 2 Обеспечение безопасности банковской «Безопасность финансовых “Security management and general деятельности и финансовых операций (банковских) операций» banking operations” ТК122/ПК № 2 ISO/TC 68/SC 4 Стандарты осуществления операций с «Технологии операций на финансовых “Securities and related financial ценными бумагами и производными рынках» instruments” финансовыми инструментами Автоматизация исполнения основных ТК122/ПК № 3 ISO/TC68/SC 7 банковских операций, в том числе связанных «Технологии основных финансовых “Core banking” осуществлением платежей и переводом (банковских) операций» денежных средств ТК122/ПК № 4 ISO/TC 68/SC 7/WG 9 Стандартизация процессов расчетов с «Пластиковые карты и иные “Cards and related retail financial использованием банковских карт и розничные банковские услуги» services“ инструментов розничных платежей ТК122/ПК № 5 ISO/TC 68/SC 7/WG 10 Стандартизация технологий осуществления «Мобильные платежи» “Mobile payments“ мобильных платежей 25 © 2011 Cisco and/or its affiliates. All rights reserved. 25/34
• Упор на отраслевые стандарты Разработанные в рамках ТК 122 • Будут разрабатываться новые требования по безопасности Платежные системы, ДБО… • Банк России станет официальным регулятором СТО станет обязательным к применению • Саморегуляция также возможна © 2011 Cisco and/or its affiliates. All rights reserved. 26 26/34
© 2011 Cisco and/or its affiliates. All rights reserved. 27
• ABISS - сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0, его последующих версий и дополнений, а также других стандартов, положений и методических указаний БР, регламентирующих вопросы информационной безопасности организаций банковской системы РФ 13 организаций-консультантов – членов ABISS 9 организаций консультантов – кандидатов в члены ABISS 40 кредитных организаций 7 образовательных учреждений © 2011 Cisco and/or its affiliates. All rights reserved. 28/34
ЦБ ABISS Консультанты Банки © 2011 Cisco and/or its affiliates. All rights reserved. 29/34
ФСТЭК ФСБ ЦБ РКН ABISS Консультанты Банки © 2011 Cisco and/or its affiliates. All rights reserved. 30/34
• Под саморегулированием понимается самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил • Саморегулирование в соответствии с настоящим Федеральным законом осуществляется на условиях объединения субъектов предпринимательской или профессиональной деятельности в саморегулируемые организации © 2011 Cisco and/or its affiliates. All rights reserved. 31/34
© 2011 Cisco and/or its affiliates. All rights reserved. 32
Стандарт Объект Статус Обязательность Санкции Оценка защиты соответствия ISO 270хх Вся КИ Международный Рекомендация Нет Аудит стандарт СТО БР БТ, КТ, Отраслевой Рекомендация Нет Аудит, ПДн стандарт (де-юре) самооценка Обязательный (де-факто) ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует PCI DSS БТ, ПДн Международный Обязательный Штраф Аудит, стандарт (де-юре) самооценка Рекомендация (де-факто) © 2011 Cisco and/or its affiliates. All rights reserved. 33/34
Спасибо за внимание!

Recommended

Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in RussiaAleksey Lukatskiy
 
Единая политика доступа
Единая политика доступаЕдиная политика доступа
Единая политика доступаCisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Cisco-learning_club_28.06.2012_-_collaboration
Cisco-learning_club_28.06.2012_-_collaborationCisco-learning_club_28.06.2012_-_collaboration
Cisco-learning_club_28.06.2012_-_collaborationMichael Ganschuk
 
Как архитектурные подходы Cisco влияют на бизнес
Как архитектурные подходы Cisco влияют на бизнесКак архитектурные подходы Cisco влияют на бизнес
Как архитектурные подходы Cisco влияют на бизнесCisco Russia
 
Data Centers Security
Data Centers SecurityData Centers Security
Data Centers SecurityAleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 

Recommended

Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in RussiaAleksey Lukatskiy
 
Единая политика доступа
Единая политика доступаЕдиная политика доступа
Единая политика доступаCisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Cisco-learning_club_28.06.2012_-_collaboration
Cisco-learning_club_28.06.2012_-_collaborationCisco-learning_club_28.06.2012_-_collaboration
Cisco-learning_club_28.06.2012_-_collaborationMichael Ganschuk
 
Как архитектурные подходы Cisco влияют на бизнес
Как архитектурные подходы Cisco влияют на бизнесКак архитектурные подходы Cisco влияют на бизнес
Как архитектурные подходы Cisco влияют на бизнесCisco Russia
 
Data Centers Security
Data Centers SecurityData Centers Security
Data Centers SecurityAleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security MisunderstandingAleksey Lukatskiy
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152Aleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managersAleksey Lukatskiy
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And CrisisAleksey Lukatskiy
 
Mobile security office
Mobile security officeMobile security office
Mobile security officeAleksey Lukatskiy
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's differenceAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Security punishment
Security punishmentSecurity punishment
Security punishmentAleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdfAleksey Lukatskiy
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypseAleksey Lukatskiy
 
Privacy approaches
Privacy approachesPrivacy approaches
Privacy approachesAleksey Lukatskiy
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи Cisco Russia
 

More Related Content

Viewers also liked

Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security MisunderstandingAleksey Lukatskiy
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's differenceAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 

Viewers also liked (20)

Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?Security outsourcing or secure outsourcing?
Security outsourcing or secure outsourcing?
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минут
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Security punishment
Security punishmentSecurity punishment
Security punishment
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Privacy approaches
Privacy approachesPrivacy approaches
Privacy approaches
 

Similar to Russian Finance Security Regulations

Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи Cisco Russia
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежейAleksey Lukatskiy
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLAndrey Beshkov
 
Построение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения CiscoПостроение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения Cisco
Cisco Russia
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Эволюция технологии DPI в решениях Cisco Systems.
Эволюция технологии DPI в решениях Cisco Systems.Эволюция технологии DPI в решениях Cisco Systems.
Эволюция технологии DPI в решениях Cisco Systems.Cisco Russia
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
ghdffds
 
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетейCELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
Cisco Russia
 
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
Илья Лившиц
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
Cisco Russia
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПCisco Russia
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...Cisco Russia
 
Проблема защиты информации в современном ЦОДе. Способы ее решения
Проблема защиты информации в современном ЦОДе. Способы ее решенияПроблема защиты информации в современном ЦОДе. Способы ее решения
Проблема защиты информации в современном ЦОДе. Способы ее решенияCisco Russia
 
Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Cisco Russia
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 

Similar to Russian Finance Security Regulations (20)

Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
 
Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи Управляемые услуги на сети оператора связи
Управляемые услуги на сети оператора связи
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежей
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
 
Построение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения CiscoПостроение сетей ЦОД: решения Cisco
Построение сетей ЦОД: решения Cisco
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Эволюция технологии DPI в решениях Cisco Systems.
Эволюция технологии DPI в решениях Cisco Systems.Эволюция технологии DPI в решениях Cisco Systems.
Эволюция технологии DPI в решениях Cisco Systems.
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетейCELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
CELC_Cisco QUAD - решение Cisco для корпоративных социальных сетей
 
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
МЕТОДИКА ЧИСЛЕННОЙ ОЦЕНКИ УЯЗВИМОСТЕЙ И УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ...
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Scada Security Standards
Scada Security StandardsScada Security Standards
Scada Security Standards
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТП
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service DataCenter. С...
 
Проблема защиты информации в современном ЦОДе. Способы ее решения
Проблема защиты информации в современном ЦОДе. Способы ее решенияПроблема защиты информации в современном ЦОДе. Способы ее решения
Проблема защиты информации в современном ЦОДе. Способы ее решения
 
Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...Архитектурный подход к обеспечению информационной безопасности современного п...
Архитектурный подход к обеспечению информационной безопасности современного п...
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Russian Finance Security Regulations

  • 1. Регулирование ИБ в банковской индустрии России Алексей Лукацкий, бизнес-консультант по безопасности © 2011 Cisco and/or its affiliates. All rights reserved. 1
  • 2. 1000 банков Центральный банк ФСТЭК, ФСБ, РКН, PCI Council ФЗ «О техническое регулировании» © 2011 Cisco and/or its affiliates. All rights reserved. 2/34
  • 3. © 2011 Cisco and/or its affiliates. All rights reserved. 3
  • 4. • 2000 год - Начаты работы по созданию Стандарта. • 2003 год - Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов • 2004 год - Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ по г. СПб • 2005 год - Проведена апробация в опытной зоне (12 +2 региональных подразделений) • 2005 год - Стандарт внедрен в нескольких банках • 2006 год - По результатам апробации подготовлена и введена в действие вторая редакция Стандарта • 2006 год - Создана ассоциация ABISS и открыта специализированная страничка на сайте Банка России в Интернет • 2007 год - Приняты четыре документа – сформирован первичный блок Комплекса © 2011 Cisco and/or its affiliates. All rights reserved. 4/34
  • 5. Документы ЦБ ISO 27xxx СТО 1.0 Мнение ФСБ Члены ТК 362 © 2011 Cisco and/or its affiliates. All rights reserved. 5/34
  • 6. СТО РС Отраслевая Рекомендации Руководство Общие Методика частная Аудит ИБ по по самооценке Методика Требования положения оценки модель угроз 1.1-2007 документации соответствия оценки рисков по ИБ ПДн 1.0-2010 соответствия безопасности в области ИБ ИБ 2.2-2009 2.3-2010 v1 1.2-2010 ПДн v4 2.0-2007 2.1-2007 v1 v1 v3 2.4-2010 v1 v1 v1 • СТО – стандарт организации • РС – рекомендации по стандартизации © 2011 Cisco and/or its affiliates. All rights reserved. 6/34
  • 7. • ISO определяет меры ISO СТО 1.0 по защите исходя из оценки рисков 27000 Глава 3. Термины • Набор защитных мер в СТО обязателен к 27001 Глава 8. Система применение менеджмента ИБ Оценка рисков Глава 7. Система позволяет добавить 27002 ИБ защитные мероприятия, но не уменьшить их Глава 8 в части перечень 27003 осознания • Требования СТО адаптированы к 27014 банкам Преимущественно крупным © 2011 Cisco and/or its affiliates. All rights reserved. 7/34
  • 8. • СТО позволяет формировать ISO СТО численные оценки СТО 1.0. Глава 9. 27002 • СТО вводит единые Проверка критерии оценки по СТО 1.2. Оценка частным показателям 27004 соответствия • СТО позволяет сравнивать 27006 СТО 1.1. Аудит ИБ различные банки 27008 РС 2.1 Самооценка • СТО вводит новое руководство по самооценке © 2011 Cisco and/or its affiliates. All rights reserved. 8/34
  • 9. • Результаты аудита уровня ИБ банка демонстрируют соответствие четвертому уровню по пятиуровневой шкале соответствия требованиям СТО БР ИББС- 1.0-2010 • Банк России рекомендует по методике оценки СТО БР ИББС-1.2-2010 иметь организациям БС РФ уровень не ниже 4-го Рис. 1. Круговая диаграмма оценок по групповым показателям © 2011 Cisco and/or its affiliates. All rights reserved. 9/34
  • 10. Выбор метода оценки соответствия 20% Внешний аудит Самооценка 80% © 2011 Cisco and/or its affiliates. All rights reserved. 10/34
  • 11. • Банк России уже провел первичную оценку рисков и ISO СТО разработал набор защитных мер в СТО 27001 СТО 1.0. Глава 8. 1.0 СМИБ • Под специфику РС 2.2. Оценка 27005 рисков конкретного банка можно провести свою РС 2.4. Модель оценку рисков и угроз ПДн разработать свои защитные меры © 2011 Cisco and/or its affiliates. All rights reserved. 11/34
  • 12. © 2011 Cisco and/or its affiliates. All rights reserved. 12/34
  • 13. • Как отраслевой регулятор Банк России не наделен (пока) законодателем правом нормативного регулирования вопросов информационной безопасности в кредитных организациях • В связи с этим Банк России вынужден: Разрабатывать и внедрять стандарты, имеющие рекомендательный статус, создавать механизмы их внедрения Ограничиваться разработкой рекомендаций для банков Использовать договорные механизмы взаимодействия с банками Опираться на требования по безопасности, изложенные в техдокументации на оборудование, в основном, криптографическое. При этом в целом, нормативное регулирование носит кусочный и не сбалансированный характер, приводящий к ослаблению системы безопасности в целом и росту расходов © 2011 Cisco and/or its affiliates. All rights reserved. 13 13/34
  • 14. © 2011 Cisco and/or its affiliates. All rights reserved. 14
  • 15. • 2006 год – Принят № 152-ФЗ «О персональных данных» • 2007 год – Начало отчета по реализации требований ФЗ • 2008 год – Разработка первичных технических требований • 2009 год – Осмысление требований, общее отрезвление, начало разработки отраслевых норм, учитывающих требования по защите ПД • 2010 год (июль) – Согласование отраслевых норм (стандартов) с регуляторами, выпуск «Письма шестерых» • 2010 год (декабрь) – Перенос сроков реализации ст.25 ФЗ 152 на полгода • 2011 год – Работа с перспективой внедрения над новой редакцией ФЗ «О персональных данных» © 2011 Cisco and/or its affiliates. All rights reserved. 15/34
  • 16. • СТО формирует единый набор требований для защиты КТ, БТ и ПДн ISO СТО • Процесс оценки РС 2.3. Защита 27002 соответствия также ИСПДн унифицирован для СТО 1.0. Раздел всех видов 29100 7.10 защищаемой информации 29101 • СТО уже вводит требования по защите ПДн (ISO 2910x – пока проект) © 2011 Cisco and/or its affiliates. All rights reserved. 16/34
  • 17. ФСБ ФСТЭК СТО © 2011 Cisco and/or its affiliates. All rights reserved. 17/34
  • 18. © 2011 Cisco and/or its affiliates. All rights reserved. 18/34
  • 19. 50 45 40 35 Приняли Планируют 30 25 20 2007 2010 © 2011 Cisco and/or its affiliates. All rights reserved. 19/34
  • 20. • Максимальные темпы проста присоединения были в октябре 2010 (через 3 месяца после принятия СТО) • Можно ожидать присоединения 75-80% банков • Отказались внедрять стандарт, но не отказались выполнять ФЗ-152 5-10% • Заняли выжидательную позицию 10-15%, в основном мелкие банки • По мнению Банка России это, видимо, предельные значения метода убеждения • В случае нормативного принуждения показатели были бы гораздо выше © 2011 Cisco and/or its affiliates. All rights reserved. 20 20/34
  • 21. Уровни соответствия Оценки, содержащиеся в Подтверждении соответствия 0 I II III IV V 0 - 0,25 0,25 - 0,5 0,5 - 0,7 0,7 - 0,85 0,85 - 0,95 0,95 - 1 Регуляторы % организаций Роскомнадзор 4,5 9 28,8 25,9 3 28,8 ФСТЭК России 1.5 12,1 27,3 28,8 19,7 10,6 ФСБ России 0 6,5 22,6 24 32,4 14,5 Итоговый уровень (Банк России) 5,7 35,7 22,8 18,6 14,3 2,9 • На приведение банка в соответствие с требованиями стандартов требуется несколько лет • Оценка соответствия тоже требует времени 21 © 2011 Cisco and/or its affiliates. All rights reserved. 21/34
  • 22. © 2011 Cisco and/or its affiliates. All rights reserved. 22
  • 23. Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн • РС «Требования по обеспечению безопасности СКЗИ» (план) • РС «Методика классификация активов» (план) • РС «Методика назначения и описания ролей» (план) © 2011 Cisco and/or its affiliates. All rights reserved. 23/34
  • 24. • В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг» ТК 122 соответствует ISO TC 68 “Financial Services» • Базовая организация – Центральный банк • В связи с определенными разногласиями работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках одного из подкомитетов ТК 122 © 2011 Cisco and/or its affiliates. All rights reserved. 24 24/34
  • 25. Наименование Соответствующие Специализация технического комитета технического комитета (ТК)/ структуры ИСО (подкомитета) по виду продукции, услуг подкомитета (ПК) ТК 122 ISO/TC 68 «Стандарты финансовых Стандарты финансовых операций “Financial Services” операций» ТК122/ПК № 1 ISO/TC 68/SC 2 Обеспечение безопасности банковской «Безопасность финансовых “Security management and general деятельности и финансовых операций (банковских) операций» banking operations” ТК122/ПК № 2 ISO/TC 68/SC 4 Стандарты осуществления операций с «Технологии операций на финансовых “Securities and related financial ценными бумагами и производными рынках» instruments” финансовыми инструментами Автоматизация исполнения основных ТК122/ПК № 3 ISO/TC68/SC 7 банковских операций, в том числе связанных «Технологии основных финансовых “Core banking” осуществлением платежей и переводом (банковских) операций» денежных средств ТК122/ПК № 4 ISO/TC 68/SC 7/WG 9 Стандартизация процессов расчетов с «Пластиковые карты и иные “Cards and related retail financial использованием банковских карт и розничные банковские услуги» services“ инструментов розничных платежей ТК122/ПК № 5 ISO/TC 68/SC 7/WG 10 Стандартизация технологий осуществления «Мобильные платежи» “Mobile payments“ мобильных платежей 25 © 2011 Cisco and/or its affiliates. All rights reserved. 25/34
  • 26. • Упор на отраслевые стандарты Разработанные в рамках ТК 122 • Будут разрабатываться новые требования по безопасности Платежные системы, ДБО… • Банк России станет официальным регулятором СТО станет обязательным к применению • Саморегуляция также возможна © 2011 Cisco and/or its affiliates. All rights reserved. 26 26/34
  • 27. © 2011 Cisco and/or its affiliates. All rights reserved. 27
  • 28. • ABISS - сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0, его последующих версий и дополнений, а также других стандартов, положений и методических указаний БР, регламентирующих вопросы информационной безопасности организаций банковской системы РФ 13 организаций-консультантов – членов ABISS 9 организаций консультантов – кандидатов в члены ABISS 40 кредитных организаций 7 образовательных учреждений © 2011 Cisco and/or its affiliates. All rights reserved. 28/34
  • 29. ЦБ ABISS Консультанты Банки © 2011 Cisco and/or its affiliates. All rights reserved. 29/34
  • 30. ФСТЭК ФСБ ЦБ РКН ABISS Консультанты Банки © 2011 Cisco and/or its affiliates. All rights reserved. 30/34
  • 31. • Под саморегулированием понимается самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил • Саморегулирование в соответствии с настоящим Федеральным законом осуществляется на условиях объединения субъектов предпринимательской или профессиональной деятельности в саморегулируемые организации © 2011 Cisco and/or its affiliates. All rights reserved. 31/34
  • 32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
  • 33. Стандарт Объект Статус Обязательность Санкции Оценка защиты соответствия ISO 270хх Вся КИ Международный Рекомендация Нет Аудит стандарт СТО БР БТ, КТ, Отраслевой Рекомендация Нет Аудит, ПДн стандарт (де-юре) самооценка Обязательный (де-факто) ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует PCI DSS БТ, ПДн Международный Обязательный Штраф Аудит, стандарт (де-юре) самооценка Рекомендация (де-факто) © 2011 Cisco and/or its affiliates. All rights reserved. 33/34