Russian Finance Security Regulations
-
Upload
alexey-lukatsky -
Category
Technology
-
view
6.504 -
download
3
Transcript of Russian Finance Security Regulations
1 © 2011 Cisco and/or its affiliates. All rights reserved.
Регулирование ИБ в банковской индустрии России Алексей Лукацкий, бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 2/34
1000 банков
Центральный банк
ФСТЭК, ФСБ, РКН, PCI Council
ФЗ «О техническое регулировании»
3 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 4/34
• 2000 год - Начаты работы по созданию Стандарта.
• 2003 год - Создан ПК3 ТК 362 Госстандарта для отработки Стандарта и последующих документов
• 2004 год - Принята первая редакция Стандарта. Проведена первая апробации Стандарта в ГУ по г. СПб
• 2005 год - Проведена апробация в опытной зоне (12 +2 региональных подразделений)
• 2005 год - Стандарт внедрен в нескольких банках
• 2006 год - По результатам апробации подготовлена и введена в действие вторая редакция Стандарта
• 2006 год - Создана ассоциация ABISS и открыта специализированная страничка на сайте Банка России в Интернет
• 2007 год - Приняты четыре документа – сформирован первичный блок Комплекса
© 2011 Cisco and/or its affiliates. All rights reserved. 5/34
СТО 1.0
ISO 27xxx
Документы ЦБ
Мнение ФСБ
Члены ТК 362
© 2011 Cisco and/or its affiliates. All rights reserved. 6/34
СТО
Общие положения
1.0-2010
v4
Аудит ИБ 1.1-2007
v1
Методика оценки
соответствия 1.2-2010
v3
РС
Рекомендации по
документации в области ИБ
2.0-2007 v1
Руководство по самооценке соответствия
ИБ 2.1-2007
v1
Методика оценки рисков
2.2-2009 v1
Требования по ИБ ПДн 2.3-2010
v1
Отраслевая частная
модель угроз безопасности
ПДн 2.4-2010
v1
• СТО – стандарт организации
• РС – рекомендации по стандартизации
© 2011 Cisco and/or its affiliates. All rights reserved. 7/34
• ISO определяет меры по защите исходя из оценки рисков
• Набор защитных мер в СТО обязателен к применение
Оценка рисков позволяет добавить защитные мероприятия, но не уменьшить их перечень
• Требования СТО адаптированы к банкам
Преимущественно крупным
ISO
27000
27001
27002
27003
27014
СТО 1.0
Глава 3. Термины
Глава 8. Система менеджмента ИБ
Глава 7. Система ИБ
Глава 8 в части осознания
© 2011 Cisco and/or its affiliates. All rights reserved. 8/34
• СТО позволяет формировать численные оценки
• СТО вводит единые критерии оценки по частным показателям
• СТО позволяет сравнивать различные банки
• СТО вводит новое руководство по самооценке
ISO
27002
27004
27006
27008
СТО
СТО 1.0. Глава 9. Проверка
СТО 1.2. Оценка соответствия
СТО 1.1. Аудит ИБ
РС 2.1 Самооценка
© 2011 Cisco and/or its affiliates. All rights reserved. 9/34
• Результаты аудита уровня ИБ банка демонстрируют соответствие четвертому уровню по пятиуровневой шкале соответствия требованиям СТО БР ИББС-1.0-2010
• Банк России рекомендует по методике оценки СТО БР ИББС-1.2-2010 иметь организациям БС РФ уровень не ниже 4-го
Рис. 1. Круговая диаграмма оценок по
групповым показателям
© 2011 Cisco and/or its affiliates. All rights reserved. 10/34
20%
80%
Выбор метода оценки соответствия
Внешний аудит
Самооценка
© 2011 Cisco and/or its affiliates. All rights reserved. 11/34
• Банк России уже провел первичную оценку рисков и разработал набор защитных мер в СТО 1.0
• Под специфику конкретного банка можно провести свою оценку рисков и разработать свои защитные меры
ISO
27001
27005
СТО
СТО 1.0. Глава 8. СМИБ
РС 2.2. Оценка рисков
РС 2.4. Модель угроз ПДн
© 2011 Cisco and/or its affiliates. All rights reserved. 12/34
© 2011 Cisco and/or its affiliates. All rights reserved. 13/34
• Как отраслевой регулятор Банк России не наделен (пока) законодателем правом нормативного регулирования вопросов информационной безопасности в кредитных организациях
• В связи с этим Банк России вынужден: Разрабатывать и внедрять стандарты, имеющие рекомендательный статус, создавать механизмы их внедрения
Ограничиваться разработкой рекомендаций для банков
Использовать договорные механизмы взаимодействия с банками
Опираться на требования по безопасности, изложенные в техдокументации на оборудование, в основном, криптографическое.
При этом в целом, нормативное регулирование носит кусочный и не сбалансированный характер, приводящий к ослаблению системы безопасности в целом и росту расходов
13
14 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 15/34
• 2006 год – Принят № 152-ФЗ «О персональных данных»
• 2007 год – Начало отчета по реализации требований ФЗ
• 2008 год – Разработка первичных технических требований
• 2009 год – Осмысление требований, общее отрезвление, начало разработки отраслевых норм, учитывающих требования по защите ПД
• 2010 год (июль) – Согласование отраслевых норм (стандартов) с регуляторами, выпуск «Письма шестерых»
• 2010 год (декабрь) – Перенос сроков реализации ст.25 ФЗ 152 на полгода
• 2011 год – Работа с перспективой внедрения над новой редакцией ФЗ «О персональных данных»
© 2011 Cisco and/or its affiliates. All rights reserved. 16/34
• СТО формирует единый набор требований для защиты КТ, БТ и ПДн
• Процесс оценки соответствия также унифицирован для всех видов защищаемой информации
• СТО уже вводит требования по защите ПДн (ISO 2910x – пока проект)
ISO
27002
29100
29101
СТО
РС 2.3. Защита ИСПДн
СТО 1.0. Раздел 7.10
© 2011 Cisco and/or its affiliates. All rights reserved. 17/34
СТО
ФСТЭК
ФСБ
© 2011 Cisco and/or its affiliates. All rights reserved. 18/34
© 2011 Cisco and/or its affiliates. All rights reserved. 19/34
20
25
30
35
40
45
50
2007 2010
Приняли
Планируют
© 2011 Cisco and/or its affiliates. All rights reserved. 20/34
• Максимальные темпы проста присоединения были в октябре 2010 (через 3 месяца после принятия СТО)
• Можно ожидать присоединения 75-80% банков
• Отказались внедрять стандарт, но не отказались выполнять ФЗ-152 5-10%
• Заняли выжидательную позицию 10-15%, в основном мелкие банки
• По мнению Банка России это, видимо, предельные значения метода убеждения
• В случае нормативного принуждения показатели были бы гораздо выше
20
© 2011 Cisco and/or its affiliates. All rights reserved. 21/34
21
Оценки, содержащиеся
в Подтверждении соответствия
Уровни соответствия
0 0 - 0,25
I 0,25 - 0,5
II 0,5 - 0,7
III 0,7 - 0,85
IV 0,85 - 0,95
V 0,95 - 1
Регуляторы % организаций
Роскомнадзор 4,5 9 28,8 25,9 3 28,8
ФСТЭК России 1.5 12,1 27,3 28,8 19,7 10,6
ФСБ России 0 6,5 22,6 24 32,4 14,5
Итоговый уровень (Банк России) 5,7 35,7 22,8 18,6 14,3 2,9
• На приведение банка в соответствие с требованиями стандартов требуется несколько лет
• Оценка соответствия тоже требует времени
22 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 23/34
• РС «Требования по обеспечению безопасности СКЗИ» (план)
• РС «Методика классификация активов» (план)
• РС «Методика назначения и описания ролей» (план)
Классификатор 0.0
Термины и определения
0.1
Рекомендации по выполнению законодательных требований при
обработке ПДн
© 2011 Cisco and/or its affiliates. All rights reserved. 24/34
• В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»
ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• В связи с определенными разногласиями работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках одного из подкомитетов ТК 122
24
© 2011 Cisco and/or its affiliates. All rights reserved. 25/34
25
Наименование технического комитета (ТК)/
подкомитета (ПК)
Соответствующие структуры ИСО
Специализация технического комитета (подкомитета) по виду продукции, услуг
ТК 122 «Стандарты финансовых
операций»
ISO/TC 68 “Financial Services”
Стандарты финансовых операций
ТК122/ПК № 1 «Безопасность финансовых (банковских) операций»
ISO/TC 68/SC 2 “Security management and general banking operations”
Обеспечение безопасности банковской деятельности и финансовых операций
ТК122/ПК № 2 «Технологии операций на финансовых рынках»
ISO/TC 68/SC 4 “Securities and related financial instruments”
Стандарты осуществления операций с ценными бумагами и производными финансовыми инструментами
ТК122/ПК № 3 «Технологии основных финансовых (банковских) операций»
ISO/TC68/SC 7 “Core banking”
Автоматизация исполнения основных банковских операций, в том числе связанных осуществлением платежей и переводом денежных средств
ТК122/ПК № 4 «Пластиковые карты и иные розничные банковские услуги»
ISO/TC 68/SC 7/WG 9 “Cards and related retail financial services“
Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей
ТК122/ПК № 5 «Мобильные платежи»
ISO/TC 68/SC 7/WG 10 “Mobile payments“
Стандартизация технологий осуществления мобильных платежей
© 2011 Cisco and/or its affiliates. All rights reserved. 26/34
• Упор на отраслевые стандарты
Разработанные в рамках ТК 122
• Будут разрабатываться новые требования по безопасности
Платежные системы, ДБО…
• Банк России станет официальным регулятором
СТО станет обязательным к применению
• Саморегуляция также возможна
26
27 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 28/34
• ABISS - сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0, его последующих версий и дополнений, а также других стандартов, положений и методических указаний БР, регламентирующих вопросы информационной безопасности организаций банковской системы РФ
13 организаций-консультантов – членов ABISS
9 организаций консультантов – кандидатов в члены ABISS
40 кредитных организаций
7 образовательных учреждений
© 2011 Cisco and/or its affiliates. All rights reserved. 29/34
ЦБ
ABISS
Консультанты Банки
© 2011 Cisco and/or its affiliates. All rights reserved. 30/34
ABISS
Консультанты Банки
ФСТЭК ФСБ ЦБ РКН
© 2011 Cisco and/or its affiliates. All rights reserved. 31/34
• Под саморегулированием понимается самостоятельная и инициативная деятельность, которая осуществляется субъектами предпринимательской или профессиональной деятельности и содержанием которой являются разработка и установление стандартов и правил указанной деятельности, а также контроль за соблюдением требований указанных стандартов и правил
• Саморегулирование в соответствии с настоящим Федеральным законом осуществляется на условиях объединения субъектов предпринимательской или профессиональной деятельности в саморегулируемые организации
32 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 33/34
Стандарт Объект
защиты
Статус Обязательность Санкции Оценка
соответствия
ISO 270хх Вся КИ Международный
стандарт
Рекомендация Нет Аудит
СТО БР БТ, КТ,
ПДн
Отраслевой
стандарт
Рекомендация
(де-юре)
Обязательный
(де-факто)
Нет Аудит,
самооценка
ФЗ-152 ПДн Закон Обязательный Штраф Отсутствует
PCI DSS БТ, ПДн Международный
стандарт
Обязательный
(де-юре)
Рекомендация
(де-факто)
Штраф Аудит,
самооценка
Спасибо
за внимание!