Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1

1. Бизнес-консультант по безопасности
Новая триада
законодательства
финансовой
кибербезопасности
Алексей Лукацкий

2. О чем мы будем говорить?
КИИ
ГОСТ
382-П

3. Критическая
информационная
инфраструктура

4. Ключевые сущности ФЗ-187
КИИ
Субъект
КИИ
Объект
КИИ

5. Субъект ли я или право имею?..
• Субъекты КИИ – государственные органы,
государственные учреждения, российские
юридические лица и (или)
индивидуальные предприниматели,
которым на праве собственности, аренды
или ином законном основании
принадлежат ИС, ИТС, АСУ,
функционирующие в сфере…
!

6. Сферы, в которых есть КИИ
1. Здравоохранение
2. Наука
3. Транспорт
4. Связь
5. Энергетика
6. Банковская сфера и
финансовые рынки
7. ТЭК
8. Атомная энергетика
9. Оборонная
промышленность
10. Ракетно-космическая
промышленность
11. Горнодобывающая
промышленность
12. Металлургическая
промышленность
13. Химическая
промышленность
14. Обеспечение
взаимодействия между
пп.1-13
!

7. Есть ли у меня объекты КИИ?
• Множество разных ИС
АБС
Процессинг
ДБО
Кадры
Бухгалтерия
Web-сайт
СКУД и др.
• Такие системы являются объектами КИИ,
но скорее всего незначимыми
!

8. А вот в ПП-127 говорится о критических
процессах…
• Есть два подхода
От закона: все ИС – это объекты КИИ
От ПП-127: только те ИС, которые обслуживают
критические процессы – это объекты КИИ
• А какая разница?
!

9. Процедура категорирования
1. Определение всех процессов
2. Выявление критических процессов
3. Определение объектов, которые обрабатывают
информацию, необходимую для обеспечения
выполнения критических процессов, и (или)
осуществляют управление, контроль или
мониторинг критических процессов,
формирование перечня объектов КИИ,
подлежащих категорированию
4. Оценка последствий
5. Установление соответствия объектов КИИ
значениям показателей критериев и присвоение
одной из категорий

10. У кого могут быть значимые объекты?
• 31 финансовая организация с участием
государства
• 1 банк как стратегическое предприятие и
стратегическое АО
• 11 системно значимых кредитных
организаций
• 4 системно значимые инфраструктурные
организации финансового рынка
• 8 операторов услуг платежной
инфраструктуры системно и (или)
социально значимых (но не национально
значимых) платежных систем

11. Финансовые организации с участием
государства
• Банк России
• Сбербанк
• Внешэкономбанк
• Национальный Клиринговый
Центр
• ВТБ
• Россельхозбанк
• Газпромбанк
• Глобэкс (как дочка ВЭБ)
• Связь-Банк (как дочка ВЭБ)
• МСП Банк (как
дочка Федеральной
корпорация по развитию
малого и среднего
предпринимательства)
• Российский капитал (как дочка
АИЖК)
• ВБРР
• Почта Банк (как дочка ВТБ и
Почты России)
• РНКБ (как дочка
Росимущества)
• Еврофинанс Моснарбанк (как
дочка ГПБ и ВТБ)
• Крайинвестбанк
• Дальневосточный Банк
• Акибанк
• Алмазэргиэнбанк
• Московское Ипотечное
Агентство
• Росэксимбанк
• БМ-Банк
• Русь
• Хакасский Муниципальный
Банк
• Банк Казани
• Почтобанк (не путать с Почта
Банк)
• Новикомбанк
• НСПК
• Открытие
• Бинбанк
• Ростбанк
• Уралприватбанк
Оценка автора

12. Системно значимые кредитные
организации
• АО ЮниКредит Банк
• Банк ГПБ
• Банк ВТБ
• АО «АЛЬФА-БАНК»
• ПАО Сбербанк
• ПАО «Московский Кредитный
Банк»
• ПАО Банк «ФК Открытие»
• ПАО РОСБАНК
• ПАО «Промсвязьбанк»
• АО «Райффайзенбанк»
• АО «Россельхозбанк»
Оценка автора

13. Системно значимые инфраструктурные
организации финансового рынка
• Центральный депозитарий
• Расчетный депозитарий
• Репозитарий
• Центральный контрагент
Оценка автора

14. Операторы услуг платежной инфраструктуры
системно и (или) социально значимых ПС
• Русславбанк и ВТБ (для
CONTACT)
• НСПК, Банк России (для Visa)
• Платежный центр, Золотая
корона (для Золотой короны)
• Национальный расчетный
депозитарий (для НРД)
• НСПК, Банк России (для
MasterCard)
• ВТБ (для ПС ВТБ)
• Сбербанк (для ПС Сбербанка)
• Рапида, ВТБ (для Рапиды)
Оценка автора
Не путать с национально значимыми ПС!

15. Нюансы категорирования
• Категорируется не субъект, а объект
КИИ
• Разные объекты могут иметь разные
категории
• Последствия оцениваются для
отдельного объекта КИИ
• Ни с кем согласовывать перечень не
надо
!
Вы помните ПП-584?

16. Что надо еще делать для выполнения
закона?
☔
Категорирование
Обеспечение ИБ (ФСТЭК)
Обнаружение атак (ФСБ)
Присоединение к ГосСОПКЕ

17. Чем будет регулироваться ГосСОПКА?
Пока проекты приказов

18. Порядок информирования ФСБ об
инцидентах
• Информировать надо обо всех инцидентах на
всех объектах КИИ (а не только на значимых)
• Информация отправляется через
инфраструктуру НКЦКИ или посредством
почтовой, факсимильной, электронной или
телефонной связи
• Формат определяется НКЦКИ
• Если субъект КИИ – финансовая организация, то
информирование в два адреса – ФСБ и ЦБ
Об этом же говорит и новая редакция 382-П

19. Почему ФинЦЕРТ – не центр ГосСОПКИ?
• ФинЦЕРТ не является ни
ведомственным, ни корпоративным
центром ГосСОПКА и финансовые
организации должны самостоятельно
направлять данные об инцидентах в
ГосСОПКУ
!

20. Обмен данными с ГосСОПКОЙ
• Обмен информацией об инцидентах
между субъектами КИИ не позднее 24-х
часов с момента обнаружения между
собой и дублированием через НКЦКИ
• Обмен посредством почтовой,
факсимильной, электронной и
телефонной связи или инфраструктуры
НКЦКИ
• Информация иностранным организациям
направляется через НКЦКИ
12 часов - в случае принятия положительного решения об этом
24 часа – в случае отказа

21. Как передаются сведения об инцидентах?
Субъекты с значимыми
объектами
• Через техническую
инфраструктуру НКЦКИ
• Если подключение к
инфраструктуре
отсутствует, то
посредством почтовой,
факсимильной,
электронной или
телефонной связи
Иные субъекты
• Посредством почтовой,
факсимильной,
электронной или
телефонной связи
• При наличии подключения
к технической
инфраструктуре НКЦКИ –
через нее

22. Какие сведения получает ГосСОПКА?
• Информация из реестра значимых объектов КИИ
• Информация об отсутствии необходимости присвоения
объекту КИИ одной из категорий значимости
• Информация об исключении объекта КИИ из реестра
значимых объектов КИИ, а также об изменении категории
значимости значимого объекта КИИ
• Информация по итогам проведения государственного
контроля в области обеспечения безопасности значимых
объектов КИИ о нарушении требований по обеспечению
безопасности значимых объектов КИИ,
в результате которого создаются предпосылки
возникновения компьютерных инцидентов
Эти сведения предоставляются ФСТЭК в течение 5 дней

23. Какие сведения получает ГосСОПКА?
• О компьютерных инцидентах, произошедших на объектах
КИИ
Дата, время и место
Наличие связи между инцидентом и атакой
Связь с другими инцидентами
Состав технических параметров инцидента
Последствия
• Иная информация в области обнаружения,
предупреждения и ликвидации последствий
компьютерных атак и реагирования на компьютерные
инциденты, представление которой субъектами КИИ
и иными не являющимися субъектами КИИ органами и
организациями, в том числе иностранными и
международными, согласовано с НКЦКИ

24. Как субъекты реагируют на инциденты?
• Реагирование на КИ с задействованием
собственных сил и средств
• Информирование ФСБ для получения
практической помощи
• Ждать каких-то методических
рекомендаций пока не стоит –
ориентируйтесь на документы Банка
России по управлению инцидентами

25. Кому и как отправлять данные об
инцидентах?
• По 552-П и проекту 382-П данные об
инцидентах надо направлять в ФинЦЕРТ
• По ФЗ-187 данные об инцидентах надо
направлять в ГосСОПКУ и ФинЦЕРТ
• Проект стандарта СТО БР ИББС 1.5
определяет формат информационного
обмена об инцидентах
Стандарт согласован с ФСБ

26. О каких инцидентах нужно сообщать?
1. ВПО (включая APT и бот-агентов)
2. Несанкционированный доступ
3. Эксплуатация уязвимости
4. DoS/DDoS
5. Перебор паролей
6. Центр управления бот-сети
7. Фишинг (мошенничество)
8. Вредоносный ресурс
9. Запрещенный контент
10.Сканирование ресурсов
11.Спам
12.Нарушение политики безопасности
13.Другое
Для каждого типа инцидента описывается свой объем информации
! Об этом типе инцидентов
в последнее время много
писали СМИ

27. Технические средства ГосСОПКА
• Средства обнаружения, предупреждения
и ликвидации последствий компьютерных
атак и реагирования на КИ обеспечивают
следующие задачи:
Средства обнаружения атак
Средства предупреждения атак
Средства ликвидации последствий атак и реагирования
на компьютерные инциденты
Средства поиска признаков атак
Средства обмена информацией, необходимой субъектам
КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак
Средства криптографической защиты такой информации
Одно или несколько средств

28. Требования к техническим средствам
ГосСОПКА
• Отсутствие принудительного обновления ПО и
управления с территории иностранного государства
• Отсутствие возможности несанкционированной
передачи информации, включая технологическую, в
том числе их разработчику (производителю)
• Возможность осуществления их модернизации
силами российских организаций без участия
иностранных организаций и организаций с
иностранными инвестициями
• Обеспечение гарантийной и технической поддержкой
российскими организациями без участия
иностранных организаций и организаций с
иностранными инвестициями
• Отсутствие недекларированных возможностей в ПО

29. Требования к средствам в части
обнаружения атак
• Сбор и первичная обработка информации,
поступающей от источников событий
информационной безопасности
• Автоматический анализ событий ИБ и
выявление компьютерных инцидентов
(компьютерных атак)
• Ретроспективный анализ данных и выявление не
обнаруженных ранее компьютерных инцидентов
SIEM???

30. Требования к средствам в части
предупреждения атак
• Сбор и обработка сведений об инфраструктуре
контролируемых информационных ресурсов и
справочной информации
• Сбор и обработка сведений об уязвимостях и
недостатках в настройке ПО, используемого на
объектах контролируемых информационных
ресурсов
• Учет угроз безопасности информации
Сканеры уязвимостей и анализаторы векторов атак???

31. Требования к средствам в части
ликвидации последствий атак
• Учет и обработка компьютерных инцидентов
• Управление процессами реагирования на
компьютерные инциденты и ликвидации
последствий компьютерных атак
• Обеспечение взаимодействия с НКЦКИ
• Информационно-аналитическое сопровождение
IRP???

32. Требования к СКЗИ
• СКЗИ должны быть сертифицированными

33. Порядок, технические условия установки
и эксплуатации техсредств ГосСОПКИ
• Документ определяет порядок и техусловия
установки и эксплуатации техсредств ГосСОПКИ,
за исключением средств поиска признаков атак у
операторов связи и в банковской сфере и иных
сферах финансового рынка
• Установка средств согласовывается субъектом с
НКЦКИ
• Установка, прием в эксплуатацию, эксплуатация
осуществляются субъектом КИИ или
привлекаемой по договору организацией

34. Порядок реагирования на инциденты
• Субъект осуществляет реагирование на
инциденты в соответствие с разработанным
планом
Для значимых объектов - обязательно
• Один раз в год осуществляется тестирование
плана (киберучения)
• Может понадобиться согласование с 8-м
Центром ФСБ регламента взаимодействия с
подразделениями ФСБ для реагирования на
инциденты
В каких случаях нужно взаимодействие с ФСБ непонятно

35. Надо ли мне защищаться, если у меня
нет значимых объектов КИИ?
• Необходимо обеспечить
информирование ГосСОПКИ и Банка
России (если речь идет о финансовых
организациях) об инцидентах
• Необходимо содействовать сотрудникам
ФСБ при расследовании инцидентов
• Порядок информирования и содействия
должны быть еще разработаны

36. ФСТЭК vs ФСБ
ФСТЭК
• Требования по защите
отдельных объектов КИИ
• Надзор за выполнением
требований по защите
• Требования к средствам
защиты ИС/ИТС/АСУ
ФСБ
• Требования к центрам
ГосСОПКИ
• Требования к техническим
средствам центров ГосСОПКИ
• Оценка состояния
защищенности
• Требования по обнаружению
и реагированию на атаки
Предотвращение Обнаружение Реагирование

37. Обратите внимание!
Значимые
Незначимые
Объекты
КИИ
Требования по безопасности
ФСТЭК предъявляются
только к значимым объектам
КИИ
Незначимые объекты КИИ
могут продолжать
относиться к ИСПДн, АСУ
ТП, АБС и т.п.

38. Обратите внимание!
Незначимый
объект
21-й
приказ
31-й
приказ
(v2014)
17
приказ
ГОСТ
ЦБ
382-П
PCI DSS
...
Действующие документы по
ИБ ФСТЭК, Банка России,
ФСБ, Минкомсвязи
продолжают действовать!

39. Что подготовила ФСТЭК?
• Требования к созданию системы
безопасности значимых объектов КИИ
(общие требования для субъектов КИИ)
Приказ №235
• Требования по безопасности значимых
объектов КИИ (по аналогии с 17-м и 31-м
приказами ФСТЭК)
Приказ №239

40. Ключевые моменты
• Привлекаемые для защиты организации должны
быть лицензиатами
• Оценка соответствия средств защиты в форме
сертификации, испытаний или приемки
• Средства защиты должны иметь поддержку
• Не допускается
Удаленный или локальный бесконтрольный доступ или
обновление внешними лицами
Передача информации разработчику средства защиты без
контроля со стороны субъекта КИИ

41. Требования по защите
• Сопоставимы с требованиями 21/31-го приказов,
но имеются и определенные отличия:
Ориентация только на значимые объекты
3 категории значимости
Перечисление списка объектов защиты
Более детальный раздел по анализу и моделированию
угроз
Разработка ПО осуществляется в соответствие с ГОСТом
на SDLC
Анализ уязвимостей, в том числе в коде ПО, архитектуры и
конфигурации
Информирование и обучение персонала

42. Новые требования по защите
• Анализ сетевого трафика (NTA)
• Анализ действий пользователей (UEBA)
• Проведение внутреннего и внешнего аудита
• Антивирус для почты и иных сервисов
• Антивирусы разных производителей
• Песочница
• Защита от DDoS
В остальном сопоставимо с требованиями 21-го приказа

43. 4793-У (новое 382-П)

44. Новая редакция 382-П
• Установление правил организации работ и оценки
соответствия АБС и приложений, применяемых для перевода
денежных средств
• Отказ от самооценки
• Разделение контуров подготовки и подтверждения поручений
на осуществление перевода денежных средств
• Информирование об инцидентах и новое понятие инцидента
• Переход на российскую криптографию в НПС и для защиты
ПДн

45. Информирование об инцидентах
• Вводится обязанность по информированию ЦБ об инцидентах
ИБ, а также о планируемых мероприятиях по раскрытию
информации о инцидентах
• Перечень инцидентов будет опубликован на сайте Банка России (СТО
1.5?)
• Порядок уведомления должен быть согласован с ФСБ
• Статус СТО 1.5???
• Протокол обмена, формат карточки инцидента???

46. Оценка соответствия банковского ПО
• Прикладное ПО, используемое для осуществления переводов
денежных средств, должно быть сертифицировано ФСТЭК или
в отношении которого проведен анализ уязвимостей по ОУД4
• Где взять столько испытательных лабораторий?
• Разработчики готовы?
• ФСТЭК отказывается от «Общих критериев»
• Agile-разработка?
• Постоянные обновления банковского ПО под регулярно обновляемые
требования ЦБ
• Оценка проводится лицензиатами ФСТЭК

47. Разделение контуров
• Применяются при осуществлении переводов денежных
средств с использованием сети «Интернет» и (или)
размещении клиентских компонентов на средствах
вычислительной техники, для которых оператором по
переводу денежных средств не обеспечивается
непосредственный контроль защиты информации от
воздействия вредоносного кода

48. …и его альтернатива
• Альтернатива:
• ограничение максимальной суммы перевода денежных средств за одну
операцию и (или) за определенных период времени
• определение перечня возможных получателей денежных средств
• определение временного периода, в который могут быть совершены
переводы денежных средств
• определение географического местоположения устройств, с
использованием которых может осуществляться подготовка и (или)
подтверждение клиентом электронных сообщений
• определение перечня устройств, с использованием которых может
осуществляться подготовка и (или) подтверждение клиентом электронных
сообщений, на основе идентификаторов указанных устройств
• определение перечня предоставляемых услуг, связанных с осуществлением
переводов денежных средств

49. Переход на российскую криптографию
• Все значимые платежные системы (например, Сбербанк, Visa,
Master Card и НСПК) должны перейти на
• Российскую криптографию
• Отечественные HSM и иные СКЗИ с поддержкой зарубежных
алгоритмов, согласованных с ФСБ
• Банкоматы, POS-терминалы, ДБО…
• Сертификация отечественных СКЗИ в МПС???
• Мгновенно перейти нельзя – поддержка двух систем
шифрования?

50. Сроки
Требование Сроки
Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020
Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018
Разделение контуров 01.01.2020
Применение в значимых платежных системах HSM на базе иностранных
криптографических алгоритмов, согласованных ФСБ, и вообще иностранных
СКЗИ
01.01.2024
Применение в значимых платежных системах HSM на базе иностранных
криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ
01.01.2031
Применение в значимых платежных системах СКЗИ на базе иностранных
криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных
ФСБ
01.01.2031
Применение в национально значимых платежных системах HSM на базе
иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных
ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых
платежных системах
01.01.2031

51. Будущая редакция 382-П
• Изменение идеологии
• Исключение технических
вопросов обеспечения
информационной
безопасности
• Установление нормативных
ссылок на ГОСТ
• Установление только
технологических и
организационных требований

52. ГОСТ 57580.1

53. Новый ГОСТ
• Положения настоящего стандарта,
предназначены для использования
кредитными организациями и некредитными
финансовыми организациями
• Объектами стандартизации
разрабатываемого проекта национального
стандарта являются уровни защиты
информации и соответствующий им базовый
состав организационных и технических мер
защиты информации
• ГОСТ 57580.1-2017

54. Выбор защитных мер
• Выбор мер по обеспечению безопасности,
подлежащих реализации в системе защиты,
включает
• выбор базового состава мер
• адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИС, реализуемым ИТ, особенностям
функционирования ИС
• уточнение (включает дополнение или исключение)
• дополнение адаптированного базового набора мер по
обеспечению безопасности дополнительными мерами,
установленными иными нормативными актами
Базовый уровень
Адаптация
(уточнение)
базового набора
Дополнение
уточненного
адаптированного
набора
Компенсационные
меры

55. Уровни защиты
• Стандарт определяет три уровня защиты информации:
• уровень 3 – минимальный
• уровень 2 – стандартный
• уровень 1 – усиленный
• Уровень защиты информации для конкретной области применения
устанавливается Банком России и зависит от:
• вида деятельности финансовой организации, состава реализуемых бизнес-
процессов и (или) технологических процессов
• объема финансовых операций
• размера организации, отнесения финансовой организации к категории
малых предприятий и микропредприятий
• значимости финансовой организации для финансового рынка и
национальной платежной системы

56. Защитные меры/процессы
• «Обеспечение защиты информации при управлении доступом»:
• управление учетными записями и правами субъектов логического доступа
• идентификация, аутентификация, авторизация и разграничение доступа при
осуществлении логического доступа
• защита информации при осуществлении физического доступа
• идентификация, классификация и учет ресурсов и объектов доступа
• «Обеспечение защиты вычислительных сетей»:
• сегментация и межсетевое экранирование вычислительных сетей
• выявление сетевых вторжений и атак
• защита информации, передаваемой по вычислительным сетям
• защита беспроводных сетей

57. Защитные меры/процессы
• «Контроль целостности и защищенности информационной
инфраструктуры»
• «Антивирусная защита»
• «Предотвращение утечек информации, защита машинных
носителей информации (МНИ)»
• «Управление инцидентами защиты информации»:
• мониторинг и анализ событий защиты информации;
• обнаружение инцидентов защиты информации и реагирование на них;
• «Защита среды виртуализации»
• «Защита информации при осуществлении удаленного логического
доступа с использованием мобильных (переносных) устройств»

58. Сертификация средств защиты и
прикладного ПО

59. Можно ли отказаться от сертификации?

60. Дорожная карта стандартизации по ИБ
Банка России
• Домен УКР – «управление
киберриском»
• Домен ЗИ – «защита информации»
• Домен СО – «мониторинг киберрисков и
ситуационная осведомленность»
• Домен ОНД – «обеспечение
непрерывности выполнения бизнес и
технологических процессов
финансовых организаций в случае
реализации информационных угроз»
• Домен УА – «управлением киберриском
при аутсорсинге и использовании
сторонних информационных услуг
(сервисов)»
• Домен УИ – «управление инцидентами
ИБ»

61. Стандарты по
защите
информации
ГО СТ 57580.1
ГО СТ 57580.2
Стандарты по ОИБ
и управлению
рисками
О бщ ие положения
О ценка
соответствия
Аудит ИБ
Аутсорсинг и
использование
информационных
сервисов
Аутсорсинг
Использование
инф ормационных
сервисов
О ценка
соответствия
Стандарты по
управлению
инцидентами
Требования и
меры организации
Сбор и анализ
технических
данных
Взаимодействие с
Ф инЦЕРТ (СТО
1.5)
Стандарт по
непрерывности
Требования и
меры реализации
О ценка
соответствия
Мониторинг
киберрисков и
ситуационная
осведомленность
Требования и
меры реализации
О ценка
соответствия
Направления стандартизации Банка
России
Источник: план работы ПК1 ТК122

62. Подводим итоги
• ЦБ получает новые полномочия по регулированию
вопросов кибербезопасности финансовых
организаций (не только банков) и будет усиливать
работы в этом направлении
• ФСБ тормозит процесс реализации мер по
информированию об инцидентах, что приводит к
неопределенности
• ФСТЭК не будет вмешиваться в процесс ИБ
финансовых организаций (исключая, возможно,
ЗОКИИ)
• Требования ГОСТ 57580.1 и 239-го приказа
пересекаются на 100% в части технической
реализации
• В 239-м больше защитных мер
• В ГОСТ больше организационно-процессных мер
• Сертификация средств защиты не является
обязательной, в отличие от СКЗИ и прикладного
финансового ПО (привет, PA DSS)

63. Спасибо!
alukatsk@cisco.com