21.02.2012

Магнитогорские впечатления (часть 2)

Продолжаем...

Национальная платежная система, СТО БР ИББС и стандартизация ИБ

Тему НПС стартовал Курило Андрей Петрович. Его идея, которая была позже поддержана другими выступающими, звучала примерно так - добровольное принятие национального стандарта и тем более стандарта организации не очень эффективно; нужны нормативные акты прямого действия, которые не рекомендуют, а обязывают банки выполнять требования по безопасности. В целом ситуация напоминает PCI DSS, который долгое время был стандартом, за невыполнение которого не следовало никаких санкций. Обработчикам платежных карт дали время проанализировать стандарт, поизучать его, а потом сделали его обязательным и ввели систему наказаний. Кстати, наказания есть и в России. Правда, не в виде штрафов (не многие банки напугает сумма в 25 и даже 50 тысяч долларов), а виде отказа в запуске новых проектов (например, по электронной коммерции) или в виде отказа от присоединении новых ассоциатов.

С НПС ситуация аналогичная. СТО известен уже давно и банки могли его вдоволь изучать. Но даже "письмо шести" не смогло заставить все банки начать активно внедрять СТО в своих организациях. Одно дело объявить о присоединении и другое - реально выстраивать процессы управления ИБ. Поэтому ведущиеся давно разговоры о придании СТО статуса обязательного к применению документа получили свое развитие в национальной платежной системе. Положения СТО войдут в обязательные к применению нормативные акты ЦБ, которые последний должен разработать в рамках закона об НПС.

Но в рамках НПС ЦБ пошел еще дальше. Будет разработана не только единая система требований по ИБ и система оценки соответствия, но и единая система составления отчетности по вопросам ИБ, тесно увязанная с уже существующей в банках системой отчетности. В целом, в дополнение к Постановлению Правительства по защите информации в НПС (ФСБ его тоже согласовала), ЦБ разработает еще 3 более конкретных документа - по требованиям по защите в НПС и по контролю за соблюдением требований и составлению отчетности в ЦБ. Готовится НПА ЦБ о порядке предоставления отчетности в рамках НПС. И вот тут я не до конца понял. То ли вопросы отчетности по ИБ войдут в это положение, толи в положение по оценке соответствия. А может и вообще обновят указания Банка России 1375-У и 2332-У.

В выступлении Харламова В.П. и Выборнова  А.О. из ГУБЗИ детализировались требования готовящихся в ЦБ документов. Например, при подключении к международным платежным системам можно будет следовать требованиям оператора такой системы. Этот пункт сейчас активно обсуждается со всеми заинтересованными лицами. Как и вопрос о возможности использования ЛЕГАЛЬНО ввезенных СКЗИ, а не только сертифицированных. В принципе это и сейчас по закону возможно, но многие банки всегда переспрашивают, пытаются наводить справки и т.д.


Требования по оценке соответствия и отчетности будут отдельными для кредитных и некредитных организаций. К последним относятся платежные системы типа Яндекс.Деньги, операторы связи со своими мобильными платежами и т.п. Всего же в России около 70 платежных систем. К кредитным организациям, кстати, относятся все банки. Поэтому тем, кто принял СТО будет проще, чем тем, кто присматривается к нему или полностью от него отказался. Сейчас этот фокус уже не пройдет и "чаша сия" не минет ни один банк. Оценка соответствия требованиям ИБ в НПС будет осуществляться один раз в 2 года. Вопрос о контроле (кто надзорный орган) за некоммерческими организациями в рамках НПС остается открытым


После ГУБЗИ выступал г-н Тамаров из департамента регулирования расчетов, который заявил, что есть разные подходы к регулированию НПС и подход ГУБЗИ - один из возможных. Я так понял, что у ДРР свой взгляд на этот вопрос, в котором они пока с ГУБЗИ не сошлись. Вообще выступление Тамарова вызвало у меня двойственное мнение. Некоторые его высказывания для меня остались совсем непонятными. Например, ДРР хочет разработать требования к оценке бесперебойности функционирования платежной системы и наказаывать за их несоблюдение. Но разрабатывать конкретные показатели, которые не должны нарушаться (например, время восстановления, время простоя и т.д.) ДРР не хочет. Как тогда оценивать?

На вопрос из зала, когда все документы ЦБ по НПС должны быть готовы, Андрей Выборнов сказал, что, учитывая сложившуюся практику выпуска, согласования и подписания документов в Банке России, то не раньше конца года. На что Конторович заметил, что закон об НПС вступает в силу с 1-го июля и к этой дате должны быть приняты все нормативные акты ЦБ. Так что четкого ответа нет - возможно, что правильный ответ где-то посередине.


Также пока нет четкого ответа на вопрос о судьбе PCI DSS в контексте СТО и НПС. Пока речь идет о том, что локализованный и согласованный вариант PCI DSS будет принят в России как НПА ЦБ, но не в виде прямого применения, а путем заимствования ключевых его положений и включения их в одну из РС (рекомендации по стандартизации) в СТО БР ИББС. Но важны не сами требования, а оценка их соответствия. На это последовал ответ, что в СТО будет вероятно прописана норма о том, что оценка соответствия по PCI DSS должна проводится в соответствии с требованиями PCI Council (т.е. QSA/ASV), но дополнительно прорабатывается вопрос о взаимодействии PCI SSC и АБИСС. Как я понимаю, если члены АБИСС получат статус QSA, то у них появится уникальная возможность проводить аудит сразу по двум стандартам - СТО и PCI DSS.

Отдельно стоит рассказать о направлении стандартизации банковской безопасности. Я об этом уже писал, но тут появились новые детали. Во-первых, созданный в прошлом году ТК122 имеет большие планы по стандартизации банковской безопасности. Причем делаться это будет как самостоятельно, так и в альянсе с другими ТК - особенно ТК26 по криптографии, которым рулит ФСБ. Кстати, в выступлении Королькова из ФСБ прозвучало, что ТК26 подготовил кучу рекомендаций по стандартизации криптографии и сейчас их активно согласовывает со всеми заинтересованными сторонами. В частности, планируется замена ГОСТ Р 34.10 и 34.11 новыми, усиленными вариантами действующих редакций стандартов по хэшу и ЭЦП. В области международной стандартизации ТК26 вместе с RSA работал над PKCS#11, 12 и 15. Активно помогало им и ОАО "УЭК". Правда, попытки России пропихнуть наши ГОСТы на уровне ISO провалились; как и попытки впрямую использовать стандарты ISO по криптографии в России (по словам Королькова опыт был неудачный).

Несмотря на большую роль ТК122, пока он действует не очень активно, что связано с активизацией работ по разработке нормативной базы для НПС. По этой же причине пока не опубликована РС 2.5 по разделению ролей и полномочий. Как только 3 упомянутых выше положения будут разработаны, так сразу активизируется и ТК122. В частности, статус СТО в 2012-м году будут менять; из стандарта организации он превратится в национальный стандарт (ГОСТ Р) по ИБ финансовых операций. Также в 2012-м будут разработаны ГОСТы по терминологии платежных систем, управлению сертификатами для финансовых услуг, а также ГОСТ по универсальной схеме финансовых сообщений.

Завершал эту тему Павел Гениевский из АБИСС (кстати, сайт АБИСС обновили недавно). Он поделился результатами деятельности за год и рассказал о планах АБИСС. Идея ассоциации проста  - стать системой "одного окна" для  банков при общении с регуляторами. АБИСС также поделилась предварительными результатами опроса, который стартовал в январе этого года и который должен показать текущий статус и отношение банков к ИБ и СТО. Сам отчет будет опубликован АБИСС, а пока только некоторые озвученные Гениевским предварительные результаты:
  • 47% банков России имеют бюджет менее 3% от бюджета ИТ. У 24% бюджет от 5 до
    10% от бюджета ИТ.
  • Большинство банков хочет, чтобы СТО стал обязательным.
  • 45% банков имеет всего одного сотрудника ИБ.
  • Средняя зарплата безопасника в банке выросла (цифры на слайде были маленькие и из зала не очень видные).
  • 67% банков провело оценку соответствия СТО в 2011-м году, что связано было с "письмом шести".
  • 71% банков делали оценку самостоятельно. К ним у РКН большинство вопросов из-за
    переоценки своего уровня.
  • 6% банков вообще не планируют применять СТО, но от НПС им не уйти.
  • 40% банков ввобще не проводили ни разу оценку рисков (!).

ЗЫ. В связи с выходом постановления о лицензировании ТЗКИ, вопрос получения банками лицензий ФСТЭК вновь стал актуальным. Подход ЦБ об отсутствии необходимости  получения банками лицензий ФСТЭК пока остается неизменным, но в связи с изменениями формулировок в новом постановлении вопрос пока остается открытым. Я задал вопрос и ЦБ и ФСТЭК и получил ответ, что сейчас идут активные обсуждения этой темы.

ЗЗЫ. Завтра будет рассказ про ДБО.

5 коммент.:

Сергей комментирует...

Материалы конференции уже выложили http://www.ib-bank.ru/ibb/mat

Tiger комментирует...

>47% банков России имеют бюджет менее 3% от бюджета ИТ

Как это понять?
Может 47% банков имеют бюджет ИТ менее 3% от общего бюджета банка? ;-0

Алексей Лукацкий комментирует...

Нет, речь шла именно от ИТ-бюджета. А что тебя смущает? 3% - это нормально для многих банков. Даже иностранных.

Tiger комментирует...

>А что тебя смущает?
Построение фразы)

Может тогда так??
47% банков России имеют бюджет НА ИБ менее 3% от бюджета ИТ?
Или объясните тогда, что такое бюджет банка людям далеким от этого:-)

Алексей Лукацкий комментирует...

Упс, сорри ;-)