1 КОНФЕРЕНЦИЯ "ИТ-СТАНДАРТ 2012" ОТ СТАНДАРТОВ К НОРМАТИВАМ Харламов Валерий Павлович, к.т.н., начальник отдела, Банк России
2 Отраслевая система стандартизации в cфере обеспечения информационной безопасности организаций БС РФ
3 Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс БР ИББС) Основные задачи стандартизации по обеспечению ИБ кредитных организаций: установление единых требований по обеспечению ИБ кредитных организаций; повышение эффективности мероприятий по обеспечению и поддержанию ИБ кредитных организаций
4 Какие цели были поставлены? Повышение доверия к банковской системе РФ; Повышение стабильности функционирования организаций БС РФ и на этой основе – стабильности функционирования БС РФ в целом; Достижение адекватности мер по обеспечению ИБ реальным угрозам; Предотвращение и/или снижение ущерба от инцидентов ИБ; Установление единых требований по обеспечению ИБ организаций БС РФ; Повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ; Предоставление результатов оценки уровня ИБ различных организаций в сопоставимом виде.
5 Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс БР ИББС) Стандарты и рекомендации в области стандартизации Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – Х.Х Методика назначения и описания ролей РС БР ИББС – Х.Х Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2
6 Персональные данные Комплекс отраслевых документов С целью облегчения выполнения в организациях банковской системы Российской Федерации (БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСБ России и ФСТЭК России Банк России совместно с Ассоциацией Российских банков разработали проекты следующих отраслевых документов по приведению организаций БС РФ в соответствие с требованиями законодательства в области ПДн. Проекты согласованы с Регуляторами. Эти проекты включали: 1. Отраслевую частную модель угроз безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн) в организациях банковской системы Российской Федерации.
7 Комплекс отраслевых документов 2. Доработанные в части требований по обработке и обеспечению безопасности ПДн в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0". 3. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации. 4. Методические рекомендации по выполнению законодательных требований при обработке ПДн в организациях БС РФ (далее – Методические рекомендации).
8 О практическом применении отраслевых стандартов (письмо 6-х от ) Банк России, АРБ и Ассоциация "Россия" рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне. В случае, если Комплекс БР ИББС вводится решением организации БС РФ, рекомендуется следующий порядок работы. 1. Представить информацию о принятом решении в Банк России. 2. Провести мероприятия по приведению организации БС РФ в соответствие с требованиями стандарта Банка России СТО БР ИББС Применять Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ. 4. Провести оценку соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0. В случае невозможности проведения оценки соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 силами сторонней организации, организацией собственными силами проводится самооценка соответствия требованиям стандарта Банка России СТО БР ИББС Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий). 6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.
9 После выпуска отраслевых стандартов и "письма шестерых" решение проблемы информационной безопасности в БС РФ перешло на новый качественный уровень. По нашему мнению: - организации БС РФ осознали себя единым (почти) сообществом при решении проблемы безопасности персональных данных и более общей проблемы информационной безопасности; - Банк России осознал себя регулятором (почти) при решении проблемы безопасности персональных данных и более общей проблемы информационной безопасности, так как после добровольного введения Комплекса БР ИББС кредитная организация попадает в сферу контроля Банка России (через подтверждение соответствия).
10 Добровольный статус документов Комплекса БР ИББС оставляет возможность не вводить их в действие как для "малоответственных" руководителей организаций БС РФ, так и для руководителей, предпочитающих "непрозрачный" характер деятельности. Предварительный анализ данных самооценок дает основание предполагать низкий уровень понимания и реализации Комплекса БР ИББС, а также умения оценивать себя на соответствие его требованиям со стороны значительной части организаций БС РФ, в основном, некрупных региональных банков. Здесь предстоит большая и взаимная работа. Поэтому: 1. Банк России должен иметь полномочия на нормативное регулирование в области "Обеспечение информационной безопасности в организациях банковской системы Российской Федерации". 2. Это нормативное регулирование должно опираться на дальнейшее развитие Комплекса БР ИББС и широкое привлечение банковского сообщества к обсуждению проектов нормативных актов и проектов документов в области стандартизации как в рамках ПК3, так и на сайте Банка России в сети Интернет.
11 Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (Комплекс БР ИББС). Стандарты и рекомендации в области стандартизации Классификатор СТО БР ИББС – 0.0 Термины и определения СТО БР ИББС – 0.1 Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – Х.Х Методика назначения и описания ролей РС БР ИББС – Х.Х Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2 Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС – 2.3 Отраслевая модель угроз РС БР ИББС – 2.4 Требования по обеспечению безопасности СКЗИ РС БР ИББС – 2.5
12 О гармонизации Стандарт PCI DSS – международный стандарт, не имеющий аналога в Российской Федерации. Поэтому возникло ощущение необходимости перенесения его требований в российскую практику, но на легитимной основе. Вступление России в ВТО и, следовательно, ее более тесное включение в мировое экономическое сообщество предполагает и гармонизацию ее технического законодательства с мировым. Однако, очевидно, что прямое использование в России международных (зарубежных) нормативных документов (регламентов) не лучший путь. Технический регламент – лишь выжимка того, что общество считает необходимым сделать обязательным в качестве требований и наказаний за отклонение от них. Но выжимка эта - из стандартов. Практика подсказывает, что надо идти по пути гармонизации на уровне стандартов, возможно, с некоторой их адаптацией к конкретным условиям России.
13 Продолжение Возрастающий уровень интеграции банковской системы Российской Федерации в международную финансовую систему определяют необходимость использования общепризнанных инструментов упорядочивания данной деятельности, к основным из которых относятся стандарты, используемые на международном уровне. В этой связи вопросы возможного сближения и гармонизации национальных стандартов Российской Федерации с общепризнанными международными стандартами в области обеспечения информационной безопасности в организациях кредитно-финансовой сферы являются актуальными. (из приветствия Председателя ЦБ РФ)
14 Наши планы 1. На базе ТК 122"Стандарты финансовых операций" создать совместную рабочую группу (СРГ) из представителей трех подкомитетов:"Безопасность финансовых (банковских) операций" (ПК 1), "Процедуры и технологии расчетов с использованием банковских карт и иных инструментов розничных платежей" (ПК 4) и "Мобильные платежи" (ПК 5). 2. Цель СРГ - нахождение взаимоприемлемых путей для введения в действие на территории Российской Федерации (национальных) стандартов, гармонизированных с PCI DSS и сопутствующими ему документами PCI SSC. 3. Первые шаги: - организация взаимодействия от имени российской стороны с PCI SSC; - организация работы по заключению соглашения о сотрудничестве с PCI SSC.
15 В последнее время большие усилия Банк России приложил к созданию нормативной базы, обеспечивающей реализацию требований Федерального закона от 27 июня 2011 г. 161-ФЗ "О национальной платежной системе". Подготовлен большой пакет нормативных актов Банка России, часть которых должна вступить в силу 1 июля 2012 года, в том числе Положение Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и Указание Банка России "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".
16 О требованиях Банка России к обеспечению защиты информации при осуществлении переводов денежных средств
17 Федеральный закон от 27 июня 2011 г. 161-ФЗ "О национальной платежной системе" Часть 3 статьи 27 "Обеспечение защиты информации в платежной системе" "Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи"
18 Некоторые определения 161-ФЗ "О национальной платежной системе" платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств участниками платежной системы могут стать следующие организации: операторы по переводу денежных средств; профессиональные участники рынка ценных бумаг, а также юридические лица, являющиеся участниками организованных торгов и (или) участниками клиринга в соответствии с Федеральным законом от 7 февраля 2011 года N 7-ФЗ "О клиринге и клиринговой деятельности"; страховые организации, осуществляющие обязательное страхование гражданской ответственности в соответствии с законодательством РФ; органы Федерального казначейства; организации федеральной почтовой связи; международные финансовые организации, иностранные центральные (национальные) банки, иностранные банки.
19 Некоторые исходные положения при формировании требований к обеспечению защиты информации при осуществлении переводов денежных средств 1. Под нормативное регулирование Банка России подпадают участники платежных систем, в состав которых кроме организаций, не являющихся кредитными организациями, входят все кредитные организации Российской Федерации. 2. Значительная часть кредитных организаций присоединилась к Комплексу БР ИББС. 3. Поэтому при формировании требований к обеспечению защиты информации при осуществлении переводов денежных средств за основу был взят Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", СТО БР ИББС При этом учитывалась предметная область (перевод денежных средств) и нормативный статус разрабатываемого документа
20 Требования к обеспечению защиты информации при осуществлении переводов денежных средств Требования предназначены для защиты: - информации об остатках денежных средств на банковских счетах; - информации об остатках электронных денежных средств; - информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы; - информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее – клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра; -информации о платежных клиринговых позициях; - информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
21 (продолжение) - ключевой информации средств криптографической защиты информации (далее – СКЗИ), используемых при осуществлении переводов денежных средств (далее – криптографические ключи); - информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации; - информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.
22 (продолжение) Проект документа включает следующие группы требований к обеспечению защиты информации: требования к обеспечению защиты информации при назначении и распределении ролей, связанных с осуществлением переводов денежных средств; требования к обеспечению защиты информации на стадиях создания, эксплуатации, сопровождения, модернизации, снятия с эксплуатации объектов информационной инфраструктуры; требования к обеспечению защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к защите информации от несанкционированного доступа; требования к обеспечению защиты информации от воздействия вредоносного кода; требования к обеспечению защиты информации при использовании сети Интернет; требования к обеспечению защиты информации при использовании криптографических средств защиты информации; требования к обеспечению защиты информации с использованием технологических мер защиты информации;
23 продолжение требования к организации и функционированию службы информационной безопасности; требования к повышению осведомленности в области обеспечения защиты информации; требования к обнаружению нарушений в обеспечении защиты информации и инцидентов, связанных с нарушениями защиты информации и реагирования на них; требования к определению и реализации порядка обеспечения защиты информации в платежной системе; требования к оценке выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств; требования к доведению до органов управления оператора платежной системы информации о рисках, связанных с нарушением защиты информации; требования к совершенствованию порядка обеспечения защиты информации в платежной системе.
24 О сроках Учитывая, что статья 27 "Обеспечение защиты информации в платежной системе" Федерального закона от 27 июня 2011 г. 161-ФЗ "О национальной платежной системе" вступает в силу по истечении одного года после дня официального опубликования Федерального закона, т.е. в конце июня 2012 года, перед нами стояла тяжелая задача согласования нашего проекта с подразделениями центрального аппарата, а затем с ФСБ России и ФСТЭК России, причем – до представления Председателю Банка России в мае 2012 года. Требования к обеспечению защиты информации при осуществлении переводов денежных средств оформляются как нормативный акт Банка России, который после утверждения Председателем Банка России должен пройти регистрацию в Министерстве юстиции Российской Федерации.
25 В результате Положение Банка России от П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", (зарегистрировано Мин. юстиции ). Указание Банка России от У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств", (зарегистрировано Мин. юстиции ).
26 Заключение 1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств базируются на Стандарте Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", СТО БР ИББС СТО БР ИББС в достаточной степени внедрен в банковской системе РФ. 3. Требования к обеспечению защиты информации при осуществлении переводов денежных средств хорошо коррелируют с опубликованным проектом Постановления Правительства РФ "Об утверждении Положения о защите информации в национальной платежной системе", разработка которого была предусмотрена статьей 27 Федерального закона от 27 июня 2011 г. 161-ФЗ "О национальной платежной системе". 4. Это дает уверенность в том, что подходы к обеспечению информационной безопасности не будут революционными для банковского сообщества, т.е. не вызовут резких изменений в создании СОИБ, во всяком случае, в организациях банковской системы РФ.
27 Благодарю за внимание В.П. Харламов Банк России тлф