Ключевые изменения законодательства по защите информации в НПС

55 %
45 %
Information about Ключевые изменения законодательства по защите информации в НПС

Published on September 19, 2013

Author: lukatsky

Source: slideshare.net

Перспективы изменения законодательства в области защиты информации в НПС Лукацкий Алексей, консультант по безопасности

Почему Cisco говорит о законодательстве? ТК22 ТК122 ТК362 РГ ЦБ «Безопасность ИТ» (ISO SC27 в России) «Защита информации в кредитных учреждениях» «Защита информации» при ФСТЭК Разработка рекомендаций по ПДн, СТО БР ИББС v4 и 382-П/2831-У ФСБ МКС ФСТЭК РАЭК РКН Экспертиза документов Предложения Экспертиза и разработка документов Экспертиза и разработка документов Консультативный совет

РЕГУЛЯТОРЫ И ИХ ТРЕБОВАНИЯ

Регуляторы в области ИБ ИБ ФСТЭК ФСБ Минком- связь МО СВР ФСО ЦБ PCI Council РКН СовБез МВД МинЭнерго

В среднем появляется 4 нормативных акта в месяц 0 1 2 3 4 5 6 7 8

НПС/банки – в приоритете последних дней 59   17   10   8   10   2  1  1  1  1  1   Все   НПС   Банки   Госорганы   Операторы  связи   ТЭК   УК,  ТСЖ,  ЖК,  ЖСК   Нотариусы  

НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА

Мы только в начале пути регулирования НПС

Структура основных нормативно-правовых актов по ИБ в НПС Рекомендации АРБ и НПС по реагированию на инциденты

Положение Банка России 382-П от 09.06.2012 •  Указание Банка России №3007-У от 05.06.2013 года «О внесении изменений в Положение Банка России от 9.06.2012 года №382-П»

Что в новой редакции 382-П? •  ОПДС, БПА обеспечивают регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения; при этом регистрации подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения: –  дата и время осуществления действия клиента; –  идентификатор клиента; –  код, соответствующий выполняемому действию; –  идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов ДС, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства

Новые требования к оценщикам •  Установление требований и условий к организациям, осуществляющим оценку соответствия –  Лицензия (если необходима) –  Российское юрлицо –  Не менее 3-х работников –  Профильное образование –  Стаж работы –  Документально подтвержденный опыт проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности

Развитие 203-й формы отчетности •  Указание Банка России от 21.06.2013 №3024-У «О внесении изменений в Указание Банка России от 09.06.2012 №2831-У» –  Разделение на инциденты отчетного и предыдущих отчетных периодов –  Запрашиваются инциденты, зарегистрированные ОПДС, его клиентами и БПА –  Детализация классификации инцидентов –  Введение суммы похищенных и намеченных к хищению средств –  Детализация мест совершения инцидента (до 2-х десятков) –  Подробное описание инцидентов (названия ПО, названия СЗИ, имена операторов связи, названия АБС, названия сетевого оборудования и т.д.) –  Указание причин возникновения инцидентов –  Уточнение вопросов взаимодействия с правоохранительными органами

Текущий и предыдущий отчетные периоды

Письмо 34-Т от 01.03.2013 •  О рекомендациях по повышению уровня безопасности банкоматов и платежных терминалов •  Оснащение специальным ПО для выявления и предотвращения атак •  Обнаружение, фиксация атак и их попыток •  Регулярный контроль действия обслуживающих организаций •  Анализ и выявление уязвимостей после атак или попыток их совершения •  …

Что думает Банк России о защищенности банкоматов? •  В настоящее время Департамент регулирования расчетов Банка России прорабатывает вопрос о выпуске документа, содержащего рекомендации по повышению уровня безопасного использования банкоматов и платежных терминалов •  В перспективе указанный проект может быть взят за основу при разработке документа в статусе рекомендаций в области стандартизации в рамках соответствующих подкомитетов ТК122 по стандартизации «Стандарты финансовых операций»

Письмо 146-Т от 05.08.2013 •  О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет» •  Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет»

Что планирует Банк России в части ПДн? •  Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» •  Актуализация РС 2.3 –  После выпуска и изучения документов ФСТЭК и ФСБ •  Переподписание «письма шести» –  После актуализации СТО БР

Планы по развитию СТО БР ИББС •  Новая редакция СТО БР ИББС 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» –  Уже разработана и оценивается экспертами ТК122 •  Новая редакция СТО БР ИББС 1.2 "Методика оценка соответствия СТО БР ИББС 1.0» –  Уже разработана и оценивается экспертами ТК122 –  Синхронизация с методикой оценки по 382-П 19

Новые РС в рамках СТО БР ИББС •  Готовится новая РС «Ресурсное обеспечение информационной безопасности» –  Как объяснить руководству/акционерам, зачем нужна ИБ и сколько тратить? •  Готовится новая РС «Требования по к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений» –  Минимальный набор требований к приложениям •  Готовится новая РС «Менеджмент инцидентов информационной безопасности» –  Не просто реагирование, а весь жизненный цикл инцидента –  Дополнит методичку АРБ и НПС

Что у нас с управлением инцидентами?

Анализ кода АБС станет обязательным? •  Детальные рекомендации по организации работ по созданию АБС, их модернизации и выводу из эксплуатации, формированию требований ИБ, предъявляемых к создаваемым системам, контролю исполнения требований ИБ и оценке их защищенности в ходе эксплуатации •  Рекомендации по составу типовых функциональных требований ИБ, предъявляемых к различным составным частям АБС, а также рекомендации по составу, содержанию и порядку проведения работ по оценке защищенности АБС

Какие стандарты готовятся в 2013-м году в ТК122 •  Стандарт «Руководство по хорошим практикам обеспечения защиты информации при оказании услуг дистанционного банковского облуживания» •  Стандарт «Разработка электронных средств платежа. Безопасность программного обеспечения электронных средств платежа» •  Стандарт «Обеспечение безопасности при использовании электронных средств платежа и дистанционного банковского обслуживания» •  Проект РС «Разработка системы документационного обеспечения сертификации систем дистанционного банковского обслуживания, включая электронные средства платежа» •  Стандарт «Требования по безопасности для технологий мобильного банкинга»

Единое пространство доверия с операторами связи •  Инфраструктура многих операторов связи используется при оказании услуг по переводу денежных средств (как минимум, ДБО) •  Минкомсвязь совместно с Банком России решило вернуться к теме «Базового уровня информационной безопасности операторов связи» (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи •  При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие «базовому уровню» 24

Банк России и PCI DSS? •  7 ноября 2013 года будет опубликован PCI/PA DSS 3.0 –  Вступление в силу с 01.01.2014 •  Банк России (через НП АБИСС) осуществил перевод 10 документов PCI DSS 2.0: –  аутентичный перевод на русский язык PCI DSS и сопутствующих документов, официально признаваемый PCI Council –  размещение перевода и поддержка его в актуальном состоянии при изменений версий стандарта PCI DSS на сайте PCI Council –  использование перевода для более эффективного внедрения PCI DSS в РФ для участников международных платежных систем –  использование перевода как основы для разработки Банком России национальных требований и рекомендаций к индустрии платежных карт •  Вопрос разработки нормативного акта Банка России по безопасности платежных карт остается открытым

Изменения на уровне федерального законодательства •  ФЗ-251 от 23.07.2013 «О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков» –  Изменения в части доступа Банка России к ПДн, банковской тайне и на территорию подведомственных организаций •  Планы по изменению ст.9 ФЗ-161 «О национальной платежной системы» •  Поправки в ФЗ о банках и банковской деятельности и «О центральном банке» –  Право Банка России устанавливать нормативы по управлению и оценке операционных рисков –  Указание от 25.06.2012 №2840-У по операционным рискам

Новости регулирования управления рисками •  Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)» –  Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками –  На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов –  Кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитных организаций, в банковских группах (это новая статья 111-2)

Новости регулирования управления рисками •  Законопроекты «О внесении изменений в федеральные законы «О банках и банковской деятельности» и «О Центральном банке Российской Федерации (Банке России)» –  Кредитная организация обязана создавать резервы на покрытие различных рисков –  Полномочия на установление требований к системе управления рисками и оценку ее качества возлагаются на Банк России. Он же «устанавливает требования к банковским методикам управления рисками и моделям количественной оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями, в банковских группах для целей оценки активов, расчёта норматива достаточности собственных средств (капитала) и иных обязательных нормативов»

Законопроект Аксакова – ПДн и банковская тайна •  Законопроектом предлагается внести в пункт 2 статьи 857 ГК РФ, статью 26 ФЗ «О банках и банковской деятельности» и статьи 3 и 6 ФЗ «О персональных данных» изменения, расширяющие круг субъектов, которым могут быть предоставлены сведения, составляющие банковскую тайну •  В соответствии с законопроектом сведения, составляющие банковскую тайну, могут предоставляться по поручению клиента абсолютно всем третьим лицам •  Отзыв Правительства – негативный •  Первое чтение в Госдуме – в ноябре 2013 года

Национальный операционный клиринговый центр •  23.04.2013 в НП НПС состоялась встреча, в рамках которой Банк России рассказал членам НП НПС о работе по созданию в России национального операционного клирингового центра (НОКЦ) •  Национальный операционный клиринговый центр создается Банком России в рамках реализации Стратегии развития НПС в целях исполнения требования ФЗ-161 об обязательном осуществлении платежными системами клиринга на территории России •  Создание НОКЦ позволит снизить затраты на услуги эквайринга, обеспечит защиту НПС от возможных глобальных угроз, а также обезопасит клиентов от рисков утраты конфиденциальной информации и персональных данных –  Возвращаемся к идее НСПК

Национальная система фрод-мониторинга •  «Функциональность национального операционного клирингового центра, по мнению разработчиков, не будет уступать сервисам международных платежных систем. В перспективе национальный операционный клиринговый центр может также стать интегратором информации о платежах, которую можно будет использовать в формируемой НП «НПС» при поддержке Банка России национальной системе фрод-мониторинга. Национальный платежный совет намерен принять активное участие в обсуждении проекта создания НОКЦ, что позволит построить максимально прозрачный и эффективный механизм обработки платежей в России», – выразил мнение Президент НП «НПС» Андрей Емелин

Стратегия развития НПС •  Проект Плана мероприятий Банка России по реализации Стратегии развития национальной платежной системы •  Предложения –  Разработка Банком России совместно с профессиональными объединениями участников рынка платежных услуг проекта федерального закона, предусматривающего в целях противодействия хищению денежных средств возможность оперативно реагировать на выявленные факты совершения незаконных операций, определяющих порядок и условия приостановления перевода денежных средств, упрощенный порядок возврата средств законным владельцам, а также устанавливающих специальные составы уголовно наказуемых деяний, связанных с незаконным распоряжением чужими денежными средствами, находящимися на счетах, и определяющих место совершения таких преступлений

Стратегия развития НПС •  Предложения –  Создание системы, в рамках которой пользователи системы могут осуществлять регулярный обмен информацией, содержащей идентификационные сведения о лицах, в отношении которых имеются подозрения в причастности к совершению несанкционированных операций (единая негосударственная информационная система о фактах мошеннических действий в национальной платежной системе) –  Разработка требований и рекомендаций к программно- аппаратным средствам, осуществляющим сбор информации о платежных переводах, совершенных в безналичном порядке, от субъектов НПС, а также хранение, обработку, консолидацию и передачу данной информации в уполномоченные правоохранительные органы

Стратегия развития НПС •  Предложения –  Разработка рекомендаций по противодействию и предотвращению хищений денежных средств (указанные цели могут быть достигнуты через установление требований к самим субъектам платежных услуг и их отчетам, проведение аттестации и переаттестации (данные подходы аналогичны действующим в системе сертификации QSA PCI SSC))

Когда?! •  Изменения Председателя Правления Банка России •  Изменение состава зампредов •  Слияния отдельных департаментов Банка России •  Изменение в руководстве департаментов Банка России •  Слияние с ФСФР •  Непростая экономическая ситуация в России и необходимость обеспечения стабильности финансовой системы

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 36 Благодарю вас за внимание security-request@cisco.com

Add a comment

Related presentations

Related pages

Суровые челябинские презентации. №2 - НПС ~ Бизнес без ...

Ключевые изменения законодательства по защите информации в НПС ... по ЗИ в НПС ...
Read more

Перспективы изменения законодательства в области защиты ...

... по защите ... изменения законодательства в области защиты информации в ...
Read more

Помощник юриста (job.hh.lawmsk) : Рассылка : Subscribe.Ru

... законодательства в ... изменения ... информации по ...
Read more

Перспективы изменения законодательства в области защиты ...

... защиты информации в НПС ... изменения законодательства в ... по защите.
Read more

www.vprodazhe.com

www.vprodazhe.com
Read more

РД 153-39.4Р-128-2002 (ВСН). Инженерные изыскания для ...

топографические планы площадок НПС в ... по инженерной защите, ... изменения в ...
Read more

www.mzsr.gov.kz

Отчет о реализации стратегического плана государственного органа ____Министерства ...
Read more

СТО 70238424.27.100.033-2009. Хозяйство жидкого топлива ...

Изменения в конструкцию ... 5.4.21 Все мероприятия по защите зданий и сооружений ...
Read more