02.03.2015

Новости Банка России из Магнитогорска

Про то, что говорили ФСТЭК и РКН в Магнитогорске, уже написали Андрей Прозоров и Михаил Емельянников - повторяться не буду. Я коснусь новостей от Банка России, которые мне хотелось бы выделить особо и которые в презентации не высветишь из-за нехватки времени. Если взглянуть на мероприятие с высоты птичьего полета, то у меня в голове прочно засели три ключевых темы, с которыми у меня ассоциируется нынешний магнитогорский форум:
  • повышение качества ПО
  • центр реагирования на угрозы FinCERT
  • СОПКА.
Первая тема в банковской среде имеет старую историю. Еще в позапрошлом году затевалась история с сертификацией по требованиям безопасности автоматизированных банковских систем и платежных приложений. В качестве структуры, которая должна была возглавить эту инициативу отдельных работников Банка России, предлагалась АБИСС. Потом эту тему похоронили и вот в этом году ей вновь придали ускорение. Причем очень сильное - сам Совет Безопасности своим решением поручил Банку России проработать вопрос повышения качества защищенности платежных и банковских приложений.

На форуме называлось два варианта решения этой задачи - через СРО (ту же АБИСС) и через техническое регулирование. Но в обоих случаях требуется изменение законодательства - либо закона "О саморегулируемых организациях", либо закона "О техническом регулировании". В первом случае в СРО должны войти (или их туда войдут) помимо банков еще и разработчики, а также интеграторы и консультанты. Не уверен, что это будет АБИСС (все-таки дискредитировала себя это организация не хуже АРСИБа). Во втором случае ЦБ придется стать (или создать) органом по сертификации, чего Банк России не хочет и отбивается всеми силами. Но какой-то из сценариев ЦБ придется реализовывать; как только с FinCERTом разберется.

FinCERT - это вторая головная тема уральского форума. О нем говорили в прошлом году, прощупывая почву и получая негласное (а местами и гласное) одобрение рынка. Но потом случился Крым и Банк России переключился на более приоритетные вопросы. И вновь помог Совет Безопасности, который принял решение о создании этой организации, которая (как и любой CERT в России) должна работать в тесном сотрудничестве с ФСБ России. И хотя заместитель ГУБЗИ Артем Сычев оптимистично настроен в отношении данной структуры, я пока настроен скептически. Причин тому несколько. И определенная бюрократия, которая будет сопровождать FinCERT, являющийся частью ГУБЗИ Банка России, и завеса секретности, покрывающая все, к чему прикасается ФСБ, и отсутствие законодательной базы для работы FinCERTа (до мая я считаю просто нереально внести и принять все поправки в законодательство), и отсутствие понятной процедуры и форматов, по которым будет работать FinCERT. Самое главное, непонятно, что получат банки от FinCERTа? Черные списки IP-адресов и вредоносных доменов? Списки дропперов? Анализ вредоносного кода? Правила для антифрода? Другие данные Threat Intelligence? Что? А кто их будет готовить? В ЦБ такой возможности нет. Ждать их от банков? Но опыт отправки 203-й формы отчетности показывает, что банки не стремятся слишком активно помогать ЦБ. Ее будет готовить FinCERT? Банк России будет закупать эту информацию у специализированных компаний? Вопросов пока больше, чем ответов.

К слову сказать, американский аналог FinCERT, FS-ISAC, занимается распространением только технической информации о вредоносных адресах, доменах, программах и т.п.




Третья тема, поднятая в Магнитогорске, - государственная система обнаружения, предотвращения и ликвидации последствий компьютерных атак, СОПКА (хотя СОПеЛКА было бы более правильно :-). Поднята она была на пленарном заседании, что говорит о том, что банкам стоит к ней присмотреться. Тому есть две причины. Первая - с СОПКОЙ плотно будет работать FinCERT, передавая туда информацию, получаемую от банков и переработанную FinCERTом. Вторая - все те, кто попадет под действие закона "О безопасности критической информационной инфраструктуры" обязаны будут подключиться к СОПКА. Хотя, надо признать, само выступление о СОПКА было никакое. Ну вот совсем никакое. Зачитывание согласованной всеми инстанциями бумажки никогда не бывает интересным, а уж со стороны человека, не имеющего опыта публичных выступлений, тем более. Да и деталей никаких о системе, кроме всем известных из 31-го Указа Президента, озвучено не было. 

Отдельно стоит остановиться на теме НПСК. Про нее почти не говорили, однако одна тема была озвучена, опять представителями ФСБ. Речь идет о переходе НСПК на отечественную криптографию в обозримом будущем. Представители 8-го Центра как раз и рассказывали о отечественном HSM и планах по его внедрению в НСПК (за счет банков, разумеется, как и в случае с PCI DSS). За HSM последует отечественная чиповая карта. Называется и временной интервал, в течение которого это все произойдет - 5-7 лет (именно столько длится жизненный цикл банкомата, который придется оснастить вторым HSM, в дополнение к первому, поддерживающему международные платежные системы Visa и Master Card). Вскользь была упомянута необходимость сертификации отечественного HSM по требованиям FIPS 140, ибо таковы условия Visa и Master Card к "своим" HSM. И вот тут у меня, почему-то, есть сомнения, что отечественный HSM сможет получить эту американскую бумажку. И дело даже не в том, что этот HSM надо еще вывезти из России и ввезти в США...

Еще одна тема, которой стоит посвятить как минимум один абзац - ДНПС. Было очевидно, что этот департамент переживает не лучшие времена. Идея с рисками ИБ была успешно им профукана и, говоря о рисках ИБ, ДНПС все равно в 382-П вписывает жесткие требования по ИБ, невзирая на то, есть ли риски, для снижения которых обязательные защитные меры 382-П предназначены. Ведь мы не можем отказаться от каких-то защитных мер из 382-П. А тот 379-П или 2695-У говорят о том, что за оценку операционных рисков и рисков бесперебойности функционирования платежной систем проводит не ЦБ (как это сделано в 382-П), а оператор платежной системы или оператор по переводу электронных денежных средств. Обещанный на прошлом форуме сдвиг в сторону управления рисками так и не произошел.

В 2012-м и 2013-м годах были планы по разработке новых документов по безопасности, устанавливающих отдельные требования по защите информации при переводе электронных денежных средств, ДБО, платежных карт. И если ГУБЗИ новые требования оформляет в виде отдельных РС (планов по развитию СТО БР ИББС озвучены тоже были), то ДНПС сейчас пошел по пути универсализации всех требований в рамках 382-П.

Блоки требований 382-П

Также профукана 202-я и 203-я формы отчетности. Сводная информация по 203-й форме отчетности не публиковалась уже два года, а по 202-й ее не публиковалось вовсе. И хотя ДНПС обещал это сделать в марте, что-то верится с трудом. Зачем она вообще тогда нужна? Чтобы знать, что две трети всех организаций находится на удовлетворительном уровне?

Предварительные результаты анализа 202-й формы отчетности

Или что число инцидентов в ДБО растет?

Предварительные результаты анализа 203-й и 258-й форм отчетности
203-ю отчетность никто отменять не планирует и отдавать ее под эгиду FinCERT тоже. И по причине ее неоперативности, и по причине того, что она создавалась в целях надзора в НПС, а FinCERTу нужна другая информация. Сливать 203-ю и 258-ю тоже пока никто не будет - 258-я форма запускалась в целях развития НПС, а 203 - в целях надзора. Поэтому они пока будут сосуществовать параллельно.

Относительно проверок по вопросам соблюдения требований по защите информации было сказано, что самостоятельных проверок по данной тематике не проводится - Банк России практикует либо проверки комплексные, либо дистанционный надзор, в рамках которых и проверяется выполнение требований по защите. Зато интересно было послушать про проверки, проведенные Нацбанком Башкирии - хозяином мероприятия. Они выделили 5 ключевых нарушений:
  • Отсутствие в филиалах кредитных организаций служб информационной безопасности либо лиц, осуществляющих соответствующие функции (п.2.11.2 Положения 382-П) 
  • Формальное отражение либо отсутствие во внутренних документах кредитных организаций порядка применения организационных и технических средств защиты информации (п. 2.14.1 Положения 382-П)
  • Завышение (занижение) оценок при проведении кредитными организациями оценок соответствия требованиям к обеспечению защиты информации при переводе денежных средств согласно Положению No382-П
  • Уничтожение защищаемой информации, в том числе содержащейся в архивах, способами, не обеспечивающими в полной мере невозможность ее восстановления (п.2.5.6 Положения 382-П)
  • Нарушение запрета выполнения одним лицом в один момент ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры (п.2.4.2 Положения 382-П).

Понимая, что многие банки завышают или, наоборот, занижают результаты оценки по 202-й форме, ЦБ планирует разработать методику проведения проверок кредитных организаций. Тут, правда, вопрос возникает закономерный. А что делать тогда с 157-Т 2013-го года, который и содержит эту методику? Вопрос открытый.


Какие еще новости озвучивались Банком России в Магнитогорске?
  • Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий – в ФЗ-395-1, ФЗ-86 и ФЗ-161, в статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ, а также изменения в АПК.
  • Отраслевая модель угроз ПДн вновь переписана и вновь отправлена на согласование в ФСТЭК и ФСБ.
  • ЦБ уходит от подхода неактуальности угроз 1-го и 2-го типов, отдавая решение этого вопроса на откуп каждой кредитной организации.
  • Переподписания "письма шести" не будет.
  • PCI DSS не упоминался ни разу во время всего мероприятия. И это при том, что сейчас на финишную прямую вышел перевод на русский язык 3-й версии PCI DSS, который делает компания "Дейтерий", а также тот факт, что в самое скорое время выходит PCI DSS 3.1, в котором произойдет отказ от SSL в сторону TLS. Хотя в условиях текущей геополитической ситуации неупоминание PCI DSS со стороны Банка России было вполне предсказуемым.
Вроде как все ключевые новости отразил. Получилось даже больше, чем в 15-тиминутной презентации.