17.07.2013

Что ждет финансовую отрасль с точки зрения нормативного регулирования ИБ

Столкнула меня тут судьба с рядом новых проектов нормативных документов по информационной безопасности в финансовой сфере. Поделюсь некоторыми впечатлениями о них.

Первый блок новостей по СТО БР ИББС. Вопреки мнению некоторых коллег о том, что СТО (на фоне 382-П) не выживет и постепенно проиграет соревнование, могу сказать, что все не так. СТО развивается очень активно и вокруг него создается очень неплохое и перспективное нормативное окружение. Про проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" слышали многие, а вот про новые готовящиеся РС врядли. А они готовятся. В частности РС "Требования к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений". Как написано в преамбуле к нему: "Документ содержит детальные рекомендации по организации работ по созданию автоматизированных банковских систем, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю ис-полнения требований ИБ и оценке их защищенности в ходе эксплуатации. Настоящий документ содержит также рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС". Иными словами, данные рекомендации отвечают на вопросы "ЧТО делать с АБС с точки зрения ИБ?" и "КАК это делать?". Среди прочего в документах прописана и тематика анализа кода банковских приложений на предмет поиска в них "нехороших вещей". Данная РС находится в высокой степени готовности.

Вторая готовящаяся РС называется "Рекомендации к ресурсному обеспечению ИБ". О ней, как и о предыдущей, упоминалось в Магнитогорске, но ее содержание мало кому известно, а оно очень интересно. В преамбуле к документу написано, что он "содержит рекомендации, следование которым позволит организациям БС РФ надлежащим образом решать вопросы, связанные с планированием ресурсов организации, привлекаемых для решения задач в области ИБ, и контролем эффективности использования этих ресурсов при создании, эксплуатации и совершенствовании СОИБ". Ресурсы не все, а только финансовые и кадровые. Иными словами, документ должен дать подсказку (серебряной пули ждать не стоит) на вопрос "КАК доказать необходимость выделения денег и людей на обеспечение информационной безопасности?" Животрепещущий вопрос, на которой Банк России готовится дать ответ.

Но это не все. Про обновление 382-П я уже писал, но не за горами и обновление 2831-У. И вот оно будет гораздо более объемное, чем 382-П. По сути - это заново переписанные рекомендации по заполнению 203-й формы отчетности, которая претерпела колоссальные изменения. Поменялось почти все - ни о какой косметической доработке и речь не идет. С одной стороны я вижу в этом положительные изменения - многие вещи теперь четко систематизированы и не надо будет задумываться, что писать в ту или иную колонку 203-й формы. Но есть и то, что меня смущает. "Бумажная" нагрузка на безопасников участников НПС возрастет; и возрастет существенно. Без серьезной автоматизации процесса тут не обойтись. Но и это еще не все.

ТК122 тоже не дремлет и готовит также парочку новых документов. Один из них - "Рекомендации по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно телекоммуникационной сети Интернет". В преамбуле к нему написано, что "Настоящие Рекомендации предназначены для использования операторами по переводу денежных средств и привлекаемыми ими банковскими платежными агентами (субагентами) в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет. Настоящие Рекомендации должны рассматриваться как дополнение к Положению Банка России от 09.06.2012 №382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"." Процедура голосования по документу находится в завершающей стадии. Второй готовящийся документ от ТК122 - давно ожидаемое "Руководство по хорошим практикам обеспечения защиты информации при осуществлении переводов денежных средств, в том числе при оказании услуг дистанционного банковского облуживания".

Ну и, наконец, финальная версия перевода PCI DSS 2.0 на русский язык. Вроде как уже она должна была появиться. Вначале обещали 1-го июня, потом сдвинули на 1-е июля. Так что допускаю, что где-то она есть и мы ее скоро увидим. Держать ее в тайне большого смысла не вижу, если, конечно, модераторы процесса не решат, что за 3-4 месяца до выхода 3-й версии PCI DSS смысла выпускать перевод второй нет.

Вот примерно так...