2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов
Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
10. Положение Банка России 382-П от 09.06.2012
• Указание Банка России №3007-У от 05.06.2013 года «О внесении
изменений в Положение Банка России от 9.06.2012 года №382-П»
11. Что в новой редакции 382-П?
• ОПДС, БПА обеспечивают регистрацию действий клиентов,
выполняемых с использованием автоматизированных систем,
программного обеспечения; при этом регистрации подлежит
следующая информация о действиях клиентов, выполняемых с
использованием автоматизированной системы, программного
обеспечения:
– дата и время осуществления действия клиента;
– идентификатор клиента;
– код, соответствующий выполняемому действию;
– идентификационная информация, используемая для адресации
устройства, с использованием которого осуществлен доступ к
автоматизированной системе, ПО с целью осуществления
переводов ДС, которой в зависимости от технической
возможности является IP-адрес, МАС-адрес, номер sim-карты,
номер телефона и (или) иной идентификатор устройства
12. Новые требования к оценщикам
• Установление требований и условий к организациям,
осуществляющим оценку соответствия
– Лицензия (если необходима)
– Российское юрлицо
– Не менее 3-х работников
– Профильное образование
– Стаж работы
– Документально подтвержденный опыт проведения работ,
связанных с оценкой выполнения требований к обеспечению
защиты информации и (или) требований к обеспечению
информационной безопасности
13. Развитие 203-й формы отчетности
• Указание Банка России от 21.06.2013 №3024-У «О внесении
изменений в Указание Банка России от 09.06.2012 №2831-У»
– Разделение на инциденты отчетного и предыдущих отчетных
периодов
– Запрашиваются инциденты, зарегистрированные ОПДС, его
клиентами и БПА
– Детализация классификации инцидентов
– Введение суммы похищенных и намеченных к хищению средств
– Детализация мест совершения инцидента (до 2-х десятков)
– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого
оборудования и т.д.)
– Указание причин возникновения инцидентов
– Уточнение вопросов взаимодействия с правоохранительными
органами
15. Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Оснащение специальным ПО для
выявления и предотвращения атак
• Обнаружение, фиксация атак и их
попыток
• Регулярный контроль действия
обслуживающих организаций
• Анализ и выявление уязвимостей
после атак или попыток их
совершения
• …
16. Что думает Банк России о защищенности банкоматов?
• В настоящее время Департамент
регулирования расчетов Банка
России прорабатывает вопрос о
выпуске документа, содержащего
рекомендации по повышению уровня
безопасного использования
банкоматов и платежных терминалов
• В перспективе указанный проект
может быть взят за основу при
разработке документа в статусе
рекомендаций в области
стандартизации в рамках
соответствующих подкомитетов
ТК122 по стандартизации
«Стандарты финансовых операций»
17. Письмо 146-Т от 05.08.2013
• О рекомендациях по повышению уровня безопасности при
предоставлении розничных платежных услуг с использованием
информационно-телекоммуникационной сети "Интернет»
• Рекомендации предназначены для использования кредитными
организациями, являющимися операторами по переводу
денежных средств, и привлекаемыми ими банковскими
платежными агентами в целях повышения уровня безопасности
при предоставлении розничных платежных услуг с
использованием информационно-телекоммуникационной сети
"Интернет»
18. Что планирует Банк России в части ПДн?
• Проект Указания Банка России «Об
определении угроз безопасности
персональных данных, актуальных
при обработке персональных
данных в информационных
системах персональных данных»
• Актуализация РС 2.3
– После выпуска и изучения
документов ФСТЭК и ФСБ
• Переподписание «письма шести»
– После актуализации СТО БР
19. Планы по развитию СТО БР ИББС
• Новая редакция СТО БР ИББС 1.0 «Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Общие положения»
– Уже разработана и оценивается экспертами ТК122
• Новая редакция СТО БР ИББС 1.2 "Методика оценка
соответствия СТО БР ИББС 1.0»
– Уже разработана и оценивается экспертами ТК122
– Синхронизация с методикой оценки по 382-П
19
20. Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной
безопасности»
– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?
• Готовится новая РС «Требования по к обеспечению
информационной безопасности на стадиях жизненного цикла
банковских приложений»
– Минимальный набор требований к приложениям
• Готовится новая РС «Менеджмент инцидентов информационной
безопасности»
– Не просто реагирование, а весь жизненный цикл инцидента
– Дополнит методичку АРБ и НПС
22. Анализ кода АБС станет обязательным?
• Детальные рекомендации по
организации работ по созданию АБС,
их модернизации и выводу из
эксплуатации, формированию
требований ИБ, предъявляемых к
создаваемым системам, контролю
исполнения требований ИБ и оценке их
защищенности в ходе эксплуатации
• Рекомендации по составу типовых
функциональных требований ИБ,
предъявляемых к различным
составным частям АБС, а также
рекомендации по составу, содержанию
и порядку проведения работ по оценке
защищенности АБС
23. Какие стандарты готовятся в 2013-м году в ТК122
• Стандарт «Руководство по хорошим практикам обеспечения
защиты информации при оказании услуг дистанционного
банковского облуживания»
• Стандарт «Разработка электронных средств платежа.
Безопасность программного обеспечения электронных средств
платежа»
• Стандарт «Обеспечение безопасности при использовании
электронных средств платежа и дистанционного банковского
обслуживания»
• Проект РС «Разработка системы документационного
обеспечения сертификации систем дистанционного банковского
обслуживания, включая электронные средства платежа»
• Стандарт «Требования по безопасности для технологий
мобильного банкинга»
24. Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при
оказании услуг по переводу денежных средств (как минимум,
ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к
теме «Базового уровня информационной безопасности
операторов связи» (он же рекомендации ITU-T X.sbno) и сделать
именно эти требования (с некоторыми доработками) условием
подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по
выбору именно тех операторов, которые прошли процедуру
добровольной сертификации на соответствие «базовому уровню»
24
25. Банк России и PCI DSS?
• 7 ноября 2013 года будет опубликован PCI/PA DSS 3.0
– Вступление в силу с 01.01.2014
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения PCI
DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт
• Вопрос разработки нормативного акта Банка России по
безопасности платежных карт остается открытым
26. Изменения на уровне федерального законодательства
• ФЗ-251 от 23.07.2013 «О внесении изменении в некоторые
законодательные акты Российской Федерации в связи с
передачей Центральному банку Российской Федерации
полномочий по регулированию, контролю и надзору в сфере
финансовых рынков»
– Изменения в части доступа Банка России к ПДн, банковской
тайне и на территорию подведомственных организаций
• Планы по изменению ст.9 ФЗ-161 «О национальной платежной
системы»
• Поправки в ФЗ о банках и банковской деятельности и «О
центральном банке»
– Право Банка России устанавливать нормативы по управлению и
оценке операционных рисков
– Указание от 25.06.2012 №2840-У по операционным рискам
27. Новости регулирования управления рисками
• Законопроекты «О внесении изменений в федеральные законы «О
банках и банковской деятельности» и «О Центральном банке
Российской Федерации (Банке России)»
– Кредитная организация, банковская группа и банковский холдинг
обязаны будут ежеквартально публиковать информацию о
принимаемых рисках, процедурах их оценки, управления рисками
– На Совет директоров кредитной организации возлагается
обязанность по применению банковских методик управления
рисками и моделей количественной оценки рисков, включая оценку
активов
– Кредитная организация (головная кредитная организация
банковской группы) обязана соблюдать установленные Банком
России требования к системам управления рисками и капиталом,
внутреннего контроля кредитных организаций, в банковских
группах (это новая статья 111-2)
28. Новости регулирования управления рисками
• Законопроекты «О внесении изменений в федеральные законы «О
банках и банковской деятельности» и «О Центральном банке
Российской Федерации (Банке России)»
– Кредитная организация обязана создавать резервы на покрытие
различных рисков
– Полномочия на установление требований к системе управления
рисками и оценку ее качества возлагаются на Банк России. Он же
«устанавливает требования к банковским методикам
управления рисками и моделям количественной оценки рисков, в
том числе к качеству используемых в этих моделях данных,
применяемым кредитными организациями, в банковских группах
для целей оценки активов, расчёта норматива достаточности
собственных средств (капитала) и иных обязательных
нормативов»
29. Законопроект Аксакова – ПДн и банковская тайна
• Законопроектом предлагается внести в пункт 2 статьи 857 ГК РФ,
статью 26 ФЗ «О банках и банковской деятельности» и статьи 3 и
6 ФЗ «О персональных данных» изменения, расширяющие круг
субъектов, которым могут быть предоставлены сведения,
составляющие банковскую тайну
• В соответствии с законопроектом сведения, составляющие
банковскую тайну, могут предоставляться по поручению клиента
абсолютно всем третьим лицам
• Отзыв Правительства – негативный
• Первое чтение в Госдуме – в ноябре 2013 года
30. Национальный операционный клиринговый центр
• 23.04.2013 в НП НПС состоялась встреча, в рамках которой Банк
России рассказал членам НП НПС о работе по созданию в
России национального операционного клирингового центра
(НОКЦ)
• Национальный операционный клиринговый центр создается
Банком России в рамках реализации Стратегии развития НПС в
целях исполнения требования ФЗ-161 об обязательном
осуществлении платежными системами клиринга на территории
России
• Создание НОКЦ позволит снизить затраты на услуги эквайринга,
обеспечит защиту НПС от возможных глобальных угроз, а также
обезопасит клиентов от рисков утраты конфиденциальной
информации и персональных данных
– Возвращаемся к идее НСПК
31. Национальная система фрод-мониторинга
• «Функциональность национального операционного клирингового
центра, по мнению разработчиков, не будет уступать сервисам
международных платежных систем. В перспективе национальный
операционный клиринговый центр может также стать
интегратором информации о платежах, которую можно будет
использовать в формируемой НП «НПС» при поддержке Банка
России национальной системе фрод-мониторинга. Национальный
платежный совет намерен принять активное участие в
обсуждении проекта создания НОКЦ, что позволит построить
максимально прозрачный и эффективный механизм обработки
платежей в России», – выразил мнение Президент НП «НПС»
Андрей Емелин
32. Стратегия развития НПС
• Проект Плана мероприятий Банка России по реализации
Стратегии развития национальной платежной системы
• Предложения
– Разработка Банком России совместно с профессиональными
объединениями участников рынка платежных услуг проекта
федерального закона, предусматривающего в целях
противодействия хищению денежных средств возможность
оперативно реагировать на выявленные факты совершения
незаконных операций, определяющих порядок и условия
приостановления перевода денежных средств, упрощенный
порядок возврата средств законным владельцам, а также
устанавливающих специальные составы уголовно наказуемых
деяний, связанных с незаконным распоряжением чужими
денежными средствами, находящимися на счетах, и
определяющих место совершения таких преступлений
33. Стратегия развития НПС
• Предложения
– Создание системы, в рамках которой пользователи системы могут
осуществлять регулярный обмен информацией, содержащей
идентификационные сведения о лицах, в отношении которых
имеются подозрения в причастности к совершению
несанкционированных операций (единая негосударственная
информационная система о фактах мошеннических действий в
национальной платежной системе)
– Разработка требований и рекомендаций к программно-
аппаратным средствам, осуществляющим сбор информации о
платежных переводах, совершенных в безналичном порядке, от
субъектов НПС, а также хранение, обработку, консолидацию и
передачу данной информации в уполномоченные
правоохранительные органы
34. Стратегия развития НПС
• Предложения
– Разработка рекомендаций по противодействию и предотвращению
хищений денежных средств (указанные цели могут быть
достигнуты через установление требований к самим субъектам
платежных услуг и их отчетам, проведение аттестации и
переаттестации (данные подходы аналогичны действующим в
системе сертификации QSA PCI SSC))
35. Когда?!
• Изменения Председателя Правления Банка России
• Изменение состава зампредов
• Слияния отдельных департаментов Банка России
• Изменение в руководстве департаментов Банка России
• Слияние с ФСФР
• Непростая экономическая ситуация в России и необходимость
обеспечения стабильности финансовой системы