Новые требования по ИБ для финансовых организаций

А продолжу-ка я обзор последних изменений нормативных актов по ИБ, но в этот раз коснусь финансовой сферы. Она, наряду с госорганами, у нас наиболее заурегулирована и все равно на месте не стоит. Собственно, как и во всем мире. В конце прошлого года требования по ИБ разработала SWIFT, а "Минфин" штата Нью-Йорк разработал проект своих требований по безопасности финансовых организаций (вступят в силу с 1-го марта 2017-го года). Что же у нас появилось или появится в обозримом будущем и о чем можно будет поговорить/узнать на Магнитогорском форуме, до которого осталось меньше месяца. Вкратце (я все еще надеюсь посвятить каждому из НПА по отдельной заметке) у нас появилось вот что:

• Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России" (или как его еще называют требования по защите АРМ КБР). Нельзя сказать, что раньше защита АРМ КБР не осуществлялась, - ведь об угрозах для этой системы ЦБ предупреждал давно. Например, в письме ЦБ №51-Т "О форме договора об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, заключаемого между Банком России и клиентом Банка России" было целое приложение по защите информации. Но за 4 года ситуация немного поменялась, да и сила такого договора межжду банком и ЦБ не сравнима с Положением Банка России. За его нарушение наказывать легче :-) Кстати, требование хранить 3 года видео - это, на самом деле, не так уж и серьезно. Стоимость такого решения не слишком высока и измеряется несколькими тысячами долларов.
• А вот рекомендация Банка России перенести формирование кодов аутентификации и защитных кодов в АБС может иметь более серьезные последствия. Такое встраивание СКЗИ на мой взгляд потребует от разработчиков не только соответствующей лицензии ФСБ, но и, возможно, согласования ТЗ на данную работу, что в текущих условиях 8-го Центра может быть не очень простой задачей.
• В конце прошлого года ЦБ принял новый СТО 1.3, посвященный сбору доказательств в рамках процесса реагирования на инциденты. Это, пожалуй, один из первых документов в комплексе стандартизации по ИБ Банка России, который опускается на такой уровень детализации, влоть до указания конкретных программных продуктов, облегчающих сбор доказательств в оперативной памяти, на ПК или в сетевом трафике.
• В декабре также был согласован проект ГОСТа "Базовый состав организационных и технических мер защиты информации", который в скором времени станет обязательным для финансовых организаций и именно на наего будут ссылаться иные документы ЦБ. Правда, по этому стандарту у меня сейчас возникают вопросы. Планировалось, что все технические меры защиты уйдут из 382-П и других Положений Банка России и они просто будут ссылаться на новый ГОСТ. Но новый стандарт содержит далеко не все (от слова "совсем") технические требования из 382-П. Поэтому я пока не могу для себя понять, что же появится в итоге. То ли положения ЦБ оставят за собой набор защитных мероприятий, то ли помимо упомянутого проекта ГОСТа будут и другие национальные стандарты.
• Поскольку в России ЦБ запустил аналог SWIFT - систему передачи финансовых сообщений, то логично было бы узнать, какие защитные меры приняты для СПФС. ЦБ считает, что риски для СПФС и для платежной системы Банка России идентичны и поэтому для обеспечения их безопасности применяется схожая идеология. Защитные меры перечислены в договоре об оказании услуг по передаче финансовых сообщений, утвержденном письмом ЦБ от 10 декабря 2015 г. № 017-45-4/10550. Думаю, что через какое-то время можно ожидать и отдельного положения Банка России под эту тему (по аналогии с 552-П).
• А еще ЦБ подготовил проект своего нового Указания “О требованиях к операторам услуг платежной инфраструктуры, привлекаемым Банком России, о порядке привлечения Банком России операторов услуг платежной инфраструктуры и ведения перечня операторов услуг платежной инфраструктуры, привлеченных Банком России”. В главе 4, целиком посвященной защите информации, всего 3 пункта, но они важны. Согласно им ОУПИ, являющийся резидентом РФ, должен иметь оценку соответствия 382-П на уровне "хорошая" (4-й уровень), а ОУПИ - не резидент РФ должен соответствовать уровню Level 1 стандарта PCI DSS или быть сертифицированным на соответствие ISO 27001.

Но это еще не все. Не стоит думать, что это все хаотические попытки понавыпускать какие-то документы по ИБ, имитирующую бурную деятельность, но не имеющие никакой конкретной цели. Это совершенно не так. Есть План мероприятий (дорожная карта) на 2016 год по реализации Основных направлений развития финансового рынка Российской Федерации на период 2016–2018 годов, которые описывают видение ЦБ отечественной финансовой отрасли на 3 года. Согласно этому плану по нашему направлению ЦБ должен:

• провести анализ возможности и целесообразности использования финансовыми организациями аутсорсинга отдельных элементов деятельности и подготовить соответствующих предложений - 2-е полугодие 2017-го года
• подготовить предложения по совершенствованию законодательства Российской Федерации в части наделения Банка России полномочиями по регулированию и контролю обеспечения информационной безопасности в финансовых организациях - 2-е полугодие 2017-го года
• участвовать в разработке проекта федерального закона, направленного на формирование правовой основы противодействия мошенничеству на финансовом рынке - 2-е полугодие 2017-го года
• разработать проекты национальных стандартов информационной безопасности - 2-е полугодие 2017-го года
• провести консультации с ФСТЭК России о создании системы сертификации и аттестации для цели контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
• подготовить необходимые материалы и проекты документов для создания системы сертификации и аттестации для контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности и технических требований к защите информации, установленных в правилах платежной системы Банка России для участников платежной системы - 2-е полугодие 2017-го года
• провести консультации с представителями финансовых организаций для определения состава и содержания дополнительных организационных и технических механизмов защиты автоматизированного рабочего места «Клиент Банка России», применяемого для взаимодействия финансовых организаций – участников платежной системы с платежной системой Банка России - 2-е полугодие 2017-го года
• разработать регламенты взаимодействия по вопросам противодействия киберпреступности между Банком России и не являющимися поднадзорными и под- контрольными Банку России организациями и заинтересованными в повышении уровня информационной безопасности финансовой системы и национальной платежной системы Российской Федерации - 2-е полугодие 2017-го года
• разработать функционально-технические требования на автоматизированную систему противодействия мошенническим платежам в платежной системе Банка России - 2-е полугодие 2017-го года
• подготовить предложения по созданию и совершенствованию направлений подготовки специалистов внутреннего аудита, стратегического планирования, управления активами и финансового консультирования, обеспечения кибербезопасности и корпоративного управления - 4 квартал 2018 года. Я про это уже писал в июне прошлого года.
• разработать Указание Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года No 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - 2 квартал 2017-го года
• разработать Положение Банка России о правилах обеспечения безопасности и требованиях к защите информации в платеж- ной системе Банка России (для участников платежной системы Банка России). И это не 552-П - этот документ нужен для перспективной платежной системы ЦБ.

Вот такая картина вырисовывается. Этот год будет насыщенным, да и последующие тоже не дадут почивать на лаврах и спокойно заниматься борьбой с киберпреступниками. Регулятор не дремлет и будет радовать (а кого-то и огорчать) своими нормативными документами.

ЗЫ. У кого данный план регулятора вызывает вопросы, рекомендую посетить Магнитогорский форум - в этом году там будет высажен целый десант от Банка России - около 30 человек, причем самого высокого уровня. Кто, как не они, знают, что скрывается за краткими формулировками дорожной карты?..

ЗЗЫ. Хочу заметить, что утвержденные планы подготовки в России принято соблюдать, так как в противном случае чиновников не поглалят по головке. Поэтому все, что написано выше будет сделано в указанные сроки, но... хочу обратить внимание, что обычно в планах наших ведомств указывают не срок окончания работ по задаче, а срок ее начала. Например, написано, что во втором полугодии будут ГОСТы. Это не значит, что их до июля примут. Это значит, что их до июля разработают и прелставят общественности или утвердят. Потом начнется процедура согласований (если надо), общественных обсуждений, регистрации в Минюсте или в Ростехрегулировании. Поэтому не стоит питать иллюзий относительно скорого выхода указанных выше документов; обычно к этим срокам надо добавлять от 3 до 12 месяцев (а для законопроектов и того больше).