пятница, 7 октября 2016 г.

Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности

В последнее время от Банка России поступило несколько важных сообщений касающихся обеспечения информационной безопасности финансовых учреждений. Некоторые инициативы мы уже описывали в одной из наших прошлых статей. В октябре стало известно, что ЦБ в настоящее время ведет активную разработку ГОСТ по информационной безопасности, который станет обязательным для всех участников банковский системы РФ с 2017 года.  На этом фоне снова возникли  слухи о переводе СТО БР ИББС из разряда рекомендательных в обязательные. Последние же данные и вовсе свидетельствуют о скором почине СТО БР. Помимо этого регулятор опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», в котором некогда ранее добровольные пункты перешли в разряд обязательных, это касается и отчетности в FInCERT и ужесточении требований к АРМ посредством которых обрабатываются платежные операции


Банк России ведет разработку ГОСТ по информационной безопасности

Как стало известно из источника, Банк России в настоящее время ведет работу по подготовке национальных стандартов в области информационной безопасности.

«Документ прошел согласование в рамках комитета 122, и на этой неделе будет рассмотрен на очной сессии, а далее в рамках обычной процедуры, которая установлена в Росстандарте, на утверждение в виде ГОСТа. Формируя ГОСТ, мы можем помещать ссылки на него в свои нормативные документы, и тогда ГОСТ становится обязательным к исполнению в полном объеме», — уточнил Артем Сычев, замначальника главного управления безопасности и защиты информации Банка России в своем интервью 3 октября.

Очень важно заметить, что согласно российскому законодательству, все национальные стандарты (они же ГОСТы) имеют в своей основе добровольное применение, кроме стандартов принятых специально для оборонной продукции и защиты сведений, составляющих государственную тайну или иной информации ограниченного доступа.

Недавно был принят Федеральный законом №162-ФЗ «О стандартизации в Российской Федерации», согласно которого с 1 июля 2016 года национальный стандарт, определяющий требования по защите сведений ограниченного доступа (для кредитных организаций – в первую очередь защита банковской тайны), является обязательным для исполнения. 

Сычев так же поясняет - «В новых стандартах мы делаем упор на обязательность, например, проведения тестов на проникновение, то есть упор в сторону реальной практической безопасности», и он еще добавил, что в ГОСТе будут даны «базовые определения таким угрозам, как спам, скимминг, фишинг и другим»

«В национальных стандартах речь также идет обо всех финансовых организациях, не только кредитных. Суть в том, что от масштаба риска зависит масштаб тех обязательных требований, которые должны исполняться и проверяться», — подчеркнул Артем Сычев

СТО БР ИББС -  станет ли он обязательным?

По словам Георгия Лунтовскогопервого заместителя председателя Банка России, в настоящий момент к действующим стандартам Банка России (имеется в виду СТО БР ИББС) присоединилось 511 банков РФ, это 75% от всех банков страны. «Хотелось бы, чтобы было 100%», — сказал он в минувшую пятницу

Следует сказать, что СТО БР ИББС, согласно действующему законодательству, носит только рекомендательный характер. Однако, этот стандарт и иные документы по стандартизации (к примеру, те же РС-ки, письма ЦБ и др.) подлежат обязательному исполнению в финансовых учреждениях, в том случае если они добровольно принимают решение о присоединении к стандарту. 

Как отмечала Ирина Каншина, возможно расширение области действия СТО БР ИББС и на некредитные финансовые организации, что позволит сделать шаг к превращению рекомендательного стандарта в обязательный. Тем более, что в состав ТК-122 входят представители нескольких крупнейших системо-образующих российских банков, которые приняли решение по внедрению СТО БР в практику. 

На подобный вопрос в своем время высказывался и Алексей Лукацкий, вот его пост от февраля 2016 года

Убедившись, что с июля 2016-го года национальные стандарты, определяющие требования по защите сведений ограниченного доступа, к которым может относиться и банковская тайна, и инсайдерская информация, могут быть обязательными, мы вновь возвращаемся к вопросу обязательности СТО БР ИББС Банка России. 

Если вспомнить предысторию, то в 2011-2012-м годах эта тема уже поднималась и Банк России хотел перевести СТО в ранг ГОСТа. Но тогда это не имело большого смысла.. Сейчас ситуация меняется, о чем и говорили на Уральском форуме. - пишет Алексей.

Однако, учитывая все выше описанное и опираясь на логику можно предположить скорый почин СТО БР ИББС как главного отраслевого стандарт Банка России. На его смену скорее всего и должен прийти новый ГОСТ.

Проект положения «О требованиях к защите информации в платежной системе Банка России»
В недавнем времени Центральный Банк России опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», сообщает издание «Коммерсантъ». Как многие могут заметить документ весьма похож на уже существующий П-382, однако, имеет ряд принципиальных отличий и новшеств.

Так согласно опубликованному тексту документа, все банки в обязательном порядке должны информировать ведомственный центр мониторинга FinCERT об уже свершившихся или потенциально возможных киберинцидентах по отношению к банкам в течение трех часов с момента обнаружения индикаторов компрометации. Упор сделан именно на однозначную обязанность - финансовые организации, подвергшиеся кибератаке или иной компрометации, должны незамедлительно присылать уведомление на электронную почту fincert@cbr.ru, даже в том случае, если финансовое учреждение до этого момента не участвовало в информационном обмене с FinCERT

Еще несколько рекомендаций получили статус обязательных требований. Так. например, если компьютер подключен к платежной системе, он должен быть недоступен (изолирован) внутри локальной сети банка. Кроме того, все АРМы, участвующие в осуществлении платежей в ЦБ, должны постоянно мониториться на предмет модификации ПО или попыток подключения к неизвестным серверам. 

В то же время ЦБ оставляет за банками право решать, сообщать ли о киберинцидентах, связанных исключительно с банком. Например, в такой ситуации: банк может не докладывать в ЦБ о проводимой на него DDoS-атаке, но, однозначно обязан уведомить FinCERT в кратчайшие сроки обо всех инцидентах, затрагивающих инфраструктуру ЦБ. 

После публикации новых требований все банки, умолчавшие об инцидентах, могут быть соответственным образом наказаны - меры могут быть строгими, вплоть до отключения от системы БЭСП и крупного штрафа до 1% от размера уставного капитала. 

Об этом более подробно можно почитать в одной из наших предыдущей статей.


2 комментария:

  1. ЦБ забивает на сто БР иббс, готовят отдельный стандарт (ГОСТ) для банков. Он будет обязательным... По сути, он выполнен в духе приказов ФСТЭК, там тоже 3 уровня защищённости и набор обязательных мер из табличек...

    ОтветитьУдалить
    Ответы
    1. Что же тогда нас ждет скорый почин СТО БР. Интересно, а что тогда делать сейчас банкам, все таки стремиться получить "рекомендуемый" 4-5 уровни ИБ, или уже морально и финансово готовиться к новым требованиям ГОСТа?

      Удалить

Вы можете добавить свой комментарий...