Ключевые моменты X Уральского форума «Информационная безопасность финансовой сферы», представленные в докладе бизнес-консультанта по безопасности CISCO Systems Алексея ЛУКАЦКОГО.

На какие ключевые моменты, на мой взгляд, стоит обратить внимание.

1. Во-первых, активное технологическое развитие Центрального банка в плане появления новых сервисов и новых платформ, что для финансовых организаций прибавит работы, а соответственно для служб информационной безопасности прибавится задач, связанных с обеспечением безопасного и надежного подключения к новым платформам Центрального банка. Новые сервисы, которые были показаны в выступлении Ольги Скоробогатовой, - это финансовые маркет-плейсы и технологии распределенных реестров. Понятно, что здесь вопросы безопасности очень актуальны.
2. С точки зрения стандартизации  и направления регулирования информационной безопасности. Мы понимаем, что за всеми новыми сервисами Банка Росси будут новые Положения и Указания и Стандарты Центрального Банка, которые будут регулировать взаимодействие в данной сфере. Соответственно с точки зрения стандартизации на ближайшие 5 лет до 2022 года запланирована выработка 15 новых стандартов, разработана в рамках Центрального Банка и технического кабинета № 122 дорожная карта по развитию этих стандартов. Они разбиты на 6 ключевых направлений. Это: киберриски, информационная безопасность (и «первой ласточкой» здесь стал стандарт № 5758.1), аутсорсинг, стандарты по управлению инцидентами, документы, связанные с беспрерывностью. И последнее направление – это мониторинг. Все эти стандарты Вам придется выполнять.
3. Один из популярных вопросов, это вопрос выполнения ГОСТов. Если ГОСТ вступает в силу с 1 января, это не значит, что Вам надо прямо сейчас начинать его выполнять, к нему надо присматриваться, начинать выполнять для соответствия ему определенные мероприятия, но обязательным он станет только тогда, когда ссылку на него включат в специальное Положение Центрального банка.
4. Еще одна идея, которая была озвучена больше года назад, связана с тем, чтобы «поднять» безопасность на уровень правлений банков или исполнительных органов других финансовых организаций, потому что риски в сфере ИБ могут нанести существенный ущерб деятельности финансовой организации и соответственно, если эти риски организация не учитывает, значит, надо резервировать капитал. Если раньше, когда речь заходила об операционных рисках, про информационную безопасность никто не вспоминал, сейчас рост ИБ возрастает. Надо будет вести базу данных, надо будет по методике Центрального банка оценивать риски и, соответственно, резервировать капитал. Становится понятно, что, чем хуже управление рисками, тем больше денег резервируется, а значит они не «работают» и значит, финансовые показатели организации становятся чуть хуже.
5. Иные проекты нормативно-правовых актов, которые готовятся самим Центральным Банком либо при его участии. Во-первых, это новая редакция 382-П. Здесь 2 версии: новая и перспективная. Новая должна быть выпущена в ближайшее время. Изменения: деление контуров безопасности, переход от самооценке к внешнему аудиту и изменения в оперативности подачи информации об инцидентах в ФинЦЕРТ. Это заставит Вас пересмотреть свои процедуры по управлению инцидентами. Перспективная редакция 382-П, ее ключевое отличие от новой – это ссылки на ГОСТ. И с момента, когда ссылки на ГОСТ появятся в редакции 382-П, ГОСТ станет обязательным.
6. Кроме этого первое чтение прошел в январе Законопроект о внесении изменений и дополнений в законодательные акты, в нем есть ряд ключевых положений – это введение глобальной национальной антифрод системы, которая будет регулироваться Банком России и Банк России будет направлять индикаторы мошеннических операций. Также регулируются вопрос возврата несанционированно переведенных денежных средств и обмен информацией о компьютерных атаках с использованием сервиса ФинЦЕРТ. И появляется необходимость уведомлять Центральный Банк о мошеннических операциях, а не только об инцидентах ИБ.
7. Еще одно – это расширение полномочий Центрального банка на все финансовые организации. Если сейчас Центральный Банк может устанавливать требования по ИБ только для кредитных организаций и для участников МПС. То с принятием этого закона право появится и для всех остальных организаций: страховых компаний, негосударственных пенсионных фондов, брокеров, микро-финансовых организаций и т.д.
8. С точки зрения отчетности обратите внимание. Есть отчетность в рамках 552-П, будет отчетность в рамках 382-П более оперативная, чем сейчас. Останется 203-я отчетность, в рамках которой вы сообщаете о суммах похищенных, готовящихся к хищению и возвращенных денежных средств раз в квартал или раз в полгода в зависимости от количества операций. В рамках изменения законодательства планируется отчетность и о мошеннических операциях, которую надо будет отправлять в Центральный Банк. И не забываем про отчетность ГосСОПКА. В перспективе она будет осуществляться через ФинЦЕРТ, но пока надо отправлять эти данные напрямую в ГосСОПКА.
9. Из нового еще – это получение Центральным Банком права блокировать сайты, рекламирующие незаконные финансовые услуги. Проект закона, связанный с возможностью обмениваться информацией о мошенниках, о дропе без получения всяких согласий. Это – классическая тема, которая поднималась последние 6-7 лет, когда возникала тема с действиями антидроп-клуба, который обменивался информацией о дроперах, но это было немного в нарушение 152-ФЗ, по которому надо у мошенника спросить согласие для обмена информацией о нем, разумеется, что мошенники согласий не дают. Сейчас этим законопроектом регулируется право обмениваться информацией без согласия субъекта, потому что это будет делаться на основании Федерального закона.
10. И еще буквально на днях на сайте Центрального Банка появился проект Указания связанный с перечнем угроз о биометрических персональных данных, это в контексте удаленной идентификации.
11. По поводу критической информационной инфраструктуры, на основании этого Закона все финансово-кредитные организации являются субъектами, все ваши информационные системы: АБС, процессинг, бухгалтерия, CRM являются объектами, но не все из них являются значимыми объектами, на которых распространяются требования по информационной безопасности. Но независимо от наличия у вас объектов, Вы должны подключаться к ГосСОПКА, Вы должны как субъект КИИ выполнить 3 шага: категорироваться, подключиться к ГосСОПКА и при присоединении выполнить требования по обеспечению безопасности. С точки зрения категорирования: сегодня были показаны критерии, там один пункт (10-ый) касается кредитных организаций. На мой взгляд, вас касается 3 пункта в разделе «экономическая значимость», но не в полном объеме. Я посчитал, на кого распространяется данный критерий: 31 финансовая организация с участием государства, один банк, который является стратегическим предприятием, 11 системно-значимых кредитных организаций, 4 системно-значимые инфраструктурные организации финансового рынка и 9 операторов услуг платежной инфраструктуры в системно и социально-значимых платежных системах. Собственно есть несколько перечней организаций, которые подпадают под критерии. Но это не значит, что у этих организаций будут значимые объекты, но вы как минимум должны оценить себя, понять, есть ли у вас значимые объекты, и какой они категории. Кредитным организациям, которые не попадают в этот перечень можно расслабиться с точки зрения выполнения требований по безопасности ФСТЭК, как для значимых объектов, но нельзя расслабляться с точки зрения подключения к ГосСОПКА, т.к. этот закон распространяется на любого субъекта без исключения. Обратите внимание, что даже если у Вас нет значимых объектов, вы все равно обязаны выполнять требования по безопасности: помимо требований ФСТЭК для объектов КИИ у Вас есть еще 382-П, 21-ый приказ, PCI DDS, 552-П и т.д.
12. Удаленная идентификация. Очень много говорилось о том, как это полезно и удобно с точки зрения клиента, у банков появляется новая возможность для зарабатывания денег, потому что увеличивается число клиентов, которые смогут запрашивать идентификацию без физического присутствия в отделении банка, особенно много может появиться таких клиентов из удаленных регионов. Но, на мой взгляд, совершенно оказалась неозвученной тема безопасности хранилища биометрических данных, применяемых для удаленной идентификации. Если сравнивать с хранилищем биометрических паспортов – это данные хранятся в защищенном месте и к ним имеет доступ ограниченное количество лиц. Как только у нас к базе биометрических данных всех граждан Российской Федерации получают доступ все банки, Почта России, то риски угроз сразу возрастают. Есть риск хищения биометрических данных и их подмены.
13. С точки зрения деятельности ФинЦЕРТ. На базе ФинЦЕРТ будет создан центр компетенций финансовой сферы. Также я хочу обратить внимание на систему личных кабинетов, что позволит Вам более оперативно отдавать данные. И автоматизация вещей, связанных с рассылками. Обратите внимание на те документы, которые ФинЦЕРТ и Центральный Банк рассылают, не все из них являются публичными, есть те из них, которые вы можете получить только в рамках информационного обмена, поэтому если вы еще не подключены к этому обмену, рекомендую подключиться.
14. Повышение квалификации. Центральный банк взял под свое крыло тему повышения квалификации в этой сфере и разрабатывает ряд типовых программ как для рядовых сотрудников, так и для руководителей служб информационной безопасности в финансовой сфере. Но самое интересное – это создание системы независимой аттестации и сертификации специалистов ИБ. Эта тема будет разработана в перспективе трех лет, но к этому стоит готовиться.
15. Тема цифровой экономики. Она, на мой взгляд, непроработанная, примерно, как и документы по критической инфраструктуре. Я увидел несколько серьезных пунктов в программе цифровой экономике, на которые я бы хотел обратить ваше внимание. Во-первых, это разработка дорожной карты перехода всего российского интернета на российскую криптографию. Второе – это процедура обязательной оценки соответствия компонентов платежной инфраструктуры. Третья – тема работы с персональными данными. Вводится интересная норма - все операторы персональных данных обязаны либо иметь финансовую гарантию ответственности, связанной с инцидентами персональных данных, либо страховать свои риски.
16. В заключение то, чего не удалось услышать. Это – тема персональных данных, также отсутствует позиция ФСТЭК в отношение тематики критической инфраструктуры, тем более, что ФСТЭК озвучил дату, до которой надо всем подготовить перечень критической инфраструктуры – 23 февраля 2018 года, то есть осталось 7 дней. И последняя тема, которая не была озвучена – это вещи, связанны с СКЗИ.