29.6.18

Революция от ЦБ: новая версия 382-П

Центральный банк традиционно является революционером в области кибербезопасности в России. То он вводит национальный стандарт (ГОСТ) как обязательный. То требует обязательного информирования об инцидентах ИБ. То создает ФинЦЕРТ, первый государственный и работающий центр сбора информации об инцидентах. И вот новая революция, а точнее две, пришедшие с новым Указанием 4793-У, которое спустя год после опубликования проекта,  вносит долгожданные, но местами неприятные, изменения в 382-П, потребующие серьезного передела, как внутренней системы ИБ финансовых организаций, так и всего рынка ИБ России. Но обо всем по порядку.


Начну с более приземленной и практичной, но совершенно не раскрытой темы - уведомления об инцидентах ИБ. Лично я ждал, что ЦБ все-таки потребует от участников НПС (а 382-П распространяется именно на них) уведомления об инцидентах по форме, используемой в 552-П, то есть в течение 3-х часов с момента наступления инцидента. Но увы... ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа, размещаемого на сайте ЦБ, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ, курирующей ГосСОПКУ. Как мне кажется, это (а также сроки принятия новой редакции - больше года) связано с тем, что ФСБ в лице 8-го Центра и НКЦКИ до сих не смогли утвердить ни одного документа по ГосСОПКЕ в рамках 187-ФЗ. Ждать больше ЦБ не захотел или не смог, поэтому принял документ в этой части в абсолютно размытой и неконкретной формулировке, которая еще даст о себе знать.

Например, мне непонятен статус перечня инцидентов, о которых надо уведомлять ФинЦЕРТ, и который, после согласования с ФСБ, должен быть размещен на сайте ЦБ. Понятно, что это будет некая выжимка из недавно согласованного, но еще не принятого в окончательной редакции СТО 1.5. Но насколько этот документ будет обязательным? Предвижу вопросы от банковских юристов, которые начнут бомбить регулятора запросами, а то и вовсе манкировать своими обязанностями (до первых проверок). Так и не дождавшись от ФСБ согласования карточки инцидента, протоколов обмена данными о них, сроков и порядка, ЦБ отделался отпиской, что все это будет согласовано и также размещено на сайте ЦБ. А каков статус этого документа будет? Будет новое Указание? Или?.. В целом это же было написано и год назад (хочется надеяться, что данные об инцидентах ГосСОПКА будет раздавать более оперативно), но я обратил внимание, что с ГосСОПКОЙ надо будет согласовать не только порядок уведомления об инцидентах, но и порядок размещения информации о них в СМИ, в пресс-релизах, в пресс-конференциях и т.п. Вот захотите вы сообщить своим клиентам о хищении средств с их счетов, а вдруг ФСБ раз и запретит?.. Низзззя! Национальная безопасность пострадать может.

Прикладное ПО, используемое для переводя денежных средств, требует либо сертификации ФСТЭК, либо анализа уязвимостей по ОУД4 с помощью лицензиата ФСТЭК. Это классный пункт - он позволит поднять уровень защищенности ПО и заставит разработчиков повышать свои компетенции в этом вопросе, внедряя SDLC. Но есть и нюансы (куда же без них). Во-первых, испытательные лаборатории ФСТЭК не обладают должными компетенциями в этом вопросе, преимущественно занимаясь сертификацией средств защиты информации. Да, они будут рады новому рынку, но пока вся процедура утрясется, немало воды утечет. Тем более, что непонятно как к этому относится ФСТЭК и на соответствие каким требованиям должна проводиться сертификация (НДВ скоро отомрет, а разрабатывать РД для АБС никто пока не планировал)? Более того, у ФСТЭК наметился уход от концепции "Общих критериев" и как проводить оценку по ОУД4 скоро будет совсем непонятно. Также непонятно, что включается в понятие "прикладное ПО"? Регулятор утверждал неоднократно, что речь идет о ПО, которое непосредственно участвует в переводе денежных средств, то есть об АБС, клиент-банке, мобильном банкинге, процессинге, ДБО, интернет-банкинге и т.п. Надеюсь, браузеры и офис не потребуется сертифицировать...

Требование разделения контуров у клиент-банка (одним ПК у бухгалтера теперь не обойтись) было предсказуемым и подробно на нем я останавливаться не буду - подход ЦБ не поменялся. К счастью, так как это потребует переделки клиентской части АБС и усилий разработчиков финансового софта, возможна компенсирующая мера в виде введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т.п.).

Вторым революционным изменением (после сертификации прикладного ПО) стало другое, которое имеет далеко идущие последствия для всего рынка и даже, не побоюсь этого, для всей цифровой экономики, как бы не смешно звучало это словосочетание в наших условиях. Речь идет о поголовном переходе всех финансовых организаций на российскую криптографию!!! Да-да, именно так. Мне можно возразить, что в 4793-У написано только про значимые платежные системы (кстати, в проекте упоминались национально значимые ПС), но давайте посмотрим на перечень таких систем. Там есть, как минимум, Сбербанк, Visa, Master Card и НСПК. Достаточно? Все банкоматы и POS-терминалы, все ДБО, позволяющие пополнять карточные счета, должны будут перейти на российскую криптографию. Пункт о том, что в остальных случаях можно применять СКЗИ иностранного производства в таком варианте звучит как издевка. Учитывая, что с 2011-го года, когда начался писаться первый вариант 382-П, эту формулировку не удавалось протоклнуть через ФСБ, а сейчас это удалось, мне кажется это сделано осознанно. Ситуаций, когда можно будет обойти компоненты инфраструктуры значимых платежных систем, практически нет. Кстати, требования от международных платежных систем перейти на российскую криптографию, не значит ли перевода и платежных карт Visa и MC на нее?

На этом фоне не так уж и значительно выглядит требования о применении 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ. То есть, если вы для защиты ПДн хотите использовать СКЗИ, то будьте добры делать это с помощью сертифицированных решений. Но как мы помним, обеспечивать конфиденциальность ПДн можно и другими способами - выбор остается за вами.

ОБНОВЛЕНИЕ

Описанная в новом нормативном акте формулировка достаточно сложна и может трактоваться также как и возможность использования отечественных HSM и иных СКЗИ с поддержкой западной криптографии (например, Инфотекс вместа Thales). Да, такое возможно и более того, эту версию пару раз озвучивали представители ФСБ, сетуя на то, что банки не используют отечественные СКЗИ в своих платежных процессах. Банки же возражали, что для использования отечественного HSM (не важно, какую криптографию поддерживающую) в банкоматах или процессинге, необходимо сертифицировать их по требованиям тех же международных платежных систем. А это, как мне кажется (особенно в текущих геополитических условиях), будет крайне затруднительно. Так что мы имеем две равнозначных ситуации - переход НПС на отечественную криптографию или сертификация отечественных СКЗИ в международных НПС. Посмотрим, какой вариант выиграет...

КОНЕЦ ОБНОВЛЕНИЯ

В обоих случаях (отечественная криптография для защиты денежных переводов и ПДн) неотвеченным остается вопрос квантовых атак, но я им уже задавался и ответа на него пока не слышал/не видел. С практической же точки зрения я хотел бы обратить внимание на существенные финансовые обременения (глава НСПК на прошлогодней конференции Payment Security в Питере называл цифру в миллиарды долларов только для одной НСПК), связанные с внедрением российской криптографии, а также определенные технические сложности, которые я предвижу в этом процессе. Ведь переход на ГОСТы произойдет не одномоментно и будут ситуации, когда какие-то системы будут работать на российской криптографии, а какие-то на международной. То есть придется дублировать системы управления ключевой информацией, HSMы, ПО на картах и POS-терминалах и т.п. Вопрос стабильности работы двух параллельных СКЗИ еще предстоит анализировать. Но простым он точно не будет. Тут дело даже не в криптографии как таковой, а в ее практической реализации, внедрении и поддержке.

Прошлой весной, когда появился проект новой редакции 382-П, срок его введения был установлен на 1 июля 2018-го года. То есть давался примерно год на реализацию многих защитных мер. В текущей редакции, зарегистрированной Минюстом, 22 июня, срок остался... тем же - 1 июля 2018 года. Учитывая, что главки ЦБ стали рассылать 4793-У только 27-го июня, оставалось всего 2 рабочих дня на его реализацию :-( Два рабочих дня!!! Но есть и исключения:
  1. Требование по сертификации прикладного ПО или оценке уязвимостей по ОУД4 вступает в силу с 1-го января 2020 года (а вот пентесты и анализ уязвимостей объектов информационной инфраструктуры с 1-го июля 2018-го). У некоторых главков ЦБ есть мнение, что это не так и сертификация должна быть реализована с 1-го июля, но это не так. Достаточно посмотреть методические рекомендации по юридико-техническому оформлению законопроектов, в котором написано, как и откуда считается нумерация абзацев.
  2. Требование разделения контуров вступает в силу с 1-го января 2020-го года.
  3. Требование применения в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ (с учетом оговорок выше) вступает в силу с 1-го января 2024-го года.
  4. Требование применения в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  5. Требование применения в значимы платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  6. Требование применения в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах.
А что же надо делать со следующей недели? А вот что:
  • Анализ уязвимостей и пентесты информационной инфраструктуры (обойти это требование нельзя). Это лицензируемый вид деятельности.
  • Применение 378-го приказа ФСБ, если вы для защиты ПДн хотите использовать СКЗИ (можно творчески подойти, как я описывал ранее)
  • Информировать об инцидентах ГосСОПКУ и ФинЦЕРТ (но после того, как ФСБ разродится своими приказами).
  • Отказ ЦБ от самооценки и переход на аудит с помощью лицензиатов ФСТЭК был ожидаемым и он вступает в силу с 1-го июля.
Документ хоть и короткий, но емкий - большинство пунктов отнесены на перспективу от 1,5 до 13 лет, что дает определенную свободу маневра, но требует и более серьезной проработки стратегии выполнения этих недешевых требований регулятора за это десятилетие, включая и оценку будущих угроз и изменения ИТ-ландшафта, которые тоже надо учитывать.

10 коммент.:

Valery Estekhin комментирует...

"Требование по сертификации прикладного ПО или оценке уязвимостей по ОУД4 вступает в силу с 1-го января 2020 года (а вот пентесты и анализ уязвимостей объектов информационной инфраструктуры с 1-го июля 2018-го)."

Алексей! А мне одному кажется, что с ОУД4 - это второй абзац подпункта 1.2? А третий абзац подпункта 1.2 соответственно: пентесты и анализ уязвимостей объектов информационной инфраструктуры.

Так какой абзац вступает в силу с 01.01.2020?

Meguxx комментирует...

В новой редакции говорится не о переходе на отечественную крипту, а использование отечественных HSM, которые могут поддерживать западную крипту. Т.е вместо талеса надо будет поставить какой-нибудь инфотекс. А не 3DES заменить на Кузнечика.

Алексей Лукацкий комментирует...

Meguxx: Там два пункта. Один про HSM, второй про остальные компоненты. Про наши HSM с западной криптой тема давняя. Чтобы та же Visa их смогла использовать, нужна сертификация наших HSM по FIPS, а это, как мне кажется, малореально :-(

Алексей Лукацкий комментирует...

Валерий: Нет, я в заметке дал ссылку на документ, который определяет правила подсчета абзацев. По нему как раз ОУД - это третий абзац, а пентесты - четвертый.

Дмитрий комментирует...

Meguxx: строго по тексту 4793-У буквы "HSM" не встречаются, а под ту формулировку, что есть вполне подходит криптошлюз Континент IPC-10, который уже у всех стоит.

Meguxx комментирует...

Дмитрий, речь именно о хсм. То что там нет этих букв ни о чем не говорит. Кому надо, те понимают о чем речь.

Алексей Лукацкий комментирует...

Meguxx: главное, чтобы банковские юристы это тоже понимали

Meguxx комментирует...

кстати, о HSM. В пп 2.20 упоминаются "аппаратные модули безопасности". Как HSM расшифровывается?

Алексей Лукацкий комментирует...

Meguxx: HSM - это вообще иностранная аббревиатура :-) Назовет какой-нибудь вендор свой криптошлюз аппаратным модулем безопасности и все, приплыли :-)

Дмитрий комментирует...

Meguxx,

кому надо понимают и смысл этого нововведения, оно повлияет только на доходы компаний, широко известных в узком кругу, на безопасности карточных операций это не отразится никак.