4. Уровни ИБ Методологическая составляющая Надзорная составляющая
Инфраструктурный
уровень
Защита
инфраструктурыпо
комплексуГОСТ
Надзор подразделений ИБ
Банка России
Система внешнего аудита
Уровень
приложений
►ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки
безопасности информационных технологий,
компоненты доверия к безопасности
►Профиль защиты для оценки уязвимости в
банковских приложениях
► Анализ уязвимостей
приложений, критичных с
точки зрения наличия
уязвимостей (сертификация):
- приложения клиентов
- фронт-приложения
► Сертификация ФСТЭК России
Уровеньтехнологии
обработкиданных
►Обеспечение целостности информации на
технологических участках ее обработки
►Протоколирование действий на технологических
участках
►Взаимодействие с клиентами финансовых
организаций
►Ведение баз данных об инцидентах ИБ, в том
числе на основе претензионной работы
► Анализ показателей уровня
риска по операциям на
технологических участках
► Анализ показателей,
формируемых на основе
претензионной работы
8|
домен УР – «управление киберриском»
домен ЗИ – «защита информации»
домен СО – «мониторинг киберрисков и
ситуационная осведомленность»
домен ОНД – «обеспечение непрерывности
выполнения бизнес- и технологических процессов
финансовых организаций в случае реализации
информационных угроз»
домен УА – «управлением киберриском при
аутсорсинге и использовании сторонних
информационных услуг (сервисов)»
домен УИ – «управление инцидентами ИБ»
- идентификация клиентов
- получение подтверждения финансовых (банковских) операций
- направление уведомлений о совершенных операциях
Крупными мазками
6. Планы ЦБ на финтех 2019-го года
• Расширение на другие
сектора, запуск мобильного
приложения на iOS
• I этап — переводы
с неограниченным количеством
клиентов P2P и Me2Me
• II этап — переводы С2B и C2G
• Утверждение концепции
• Подготовка законопроекта
• Запуск пилотного проекта
• Подготовка технологических
и правовых условий,
запуск платформ
Опытно-промышленная
эксплуатация сервисов:
• электронные закладные
• цифровые банковские гарантии
• цифровые аккредитивы
Цифровой
профиль
Финансовый
маркетплейс
и регистратор
финансовых транзакций
Биометрическая
идентификация
Система
быстрых
платежей
Технологии
распределенных
реестров —
Мастерчейн
7. Сравним с прошлым годом
Система передачи финансовых сообщений
Единая система идентификации и
аутентификации
Перспективная платежная система
Сквозной идентификатор клиента
Платформа быстрых платежей
Платформа на основе технологии
распределенных реестров
Платформа для регистрации
финансовых сделок
Финансовый маркетплейс
Национальная система платежных карт
Биометрическая платформа
Платформа для облачных сервисов
Новые
платформы
Развивающиеся
платформы
Физические лица
Банки
НФО
Финтех-
компании
Юридические
лица
Open
API
Open
API
Open
API
Open
API
Open
API
Экосистема
Экосистема
Экосистема
Экосистема
Физические лица
Банки
НФО
Финтех-
компании
Юридические
лица
Open
API
Open
API
Open
API
Open
API
Open
API
Экосистема
Экосистема
Экосистема
Экосистема
?
?
?
?
8. Цифровой профиль
в том числе Единая
биометрическая система
Организации –
потребители
данных
Пользователь
ЦИФРОВОЙ
ПРОФИЛЬ –
ЕСИА 2.0
КС1Мобильное
приложение
ГИС
ОКЭП
Подпись из облака
привязана к мобильному телефону
Поставщики
данных
СМЭВ
Цифровые ID и реестр ссылокСистема идентификации
Цифровые согласияЦифровые документы
КС3
(физические
и юридические лица)
Подготовлены изменения в 63-ФЗ,
устанавливающие возможность использования ОКЭП,
а также ее получения посредством удаленной идентификации
9. КС3 на каналах связи грядет везде
• Код безопасности
(Континент)
• Инфотекс (VipNet)
• Амикон (ФПСУ-IP)
• Элвис+ (Застава)
• С-Терра
• Крипто-Про
• Фактор-ТС (Dionis)
• РКСС (Н-160)
• ТСС (DCrypt)
• ИВК (Крипто)
• Голлард (М-543)
• Системпром
(Бартизан)
На 22.02.2019
10. Мастерчейн
1. Доказательство
аутентичности цепочки.
Однозначный алгоритм
для единственно верной
версии РР.
2. Отсутствие влияния
данных внутри цепочки
на логику алгоритма
консенсуса.
3. Возможность расчета
цены компрометации
системы с высокой
точностью.
4. Управляемый доступ
узлов к сети.
5. Использование
российских
сертифицированных
алгоритмов
криптографической
защиты информации.
1. Децентрализованная
депозитарная система
для учета закладных
2. Know Your Customer
3. Распределенный
реестр цифровых
банковских гарантий
4. Цифровой
аккредитив
11. Как финансовые продукты продаются
сегодня?!
Клиент Подбор вклада
на сайтах-агрегаторах
Заявка на открытие
вклада на сайте банка
Оформление
в офисе
12. Как финансовые продукты будут продаваться
завтра?!
Клиент
Подбор вклада Оформление
вклада
Отображение
активов клиента
+
Маркетплейс
13. Безопасность облачной платформы
Безопасность маркетплейса
Безопасность мобильных устройств и приложений
Безопасность Big Data
Безопасность аутсорсинга
+ а также персональные данные, идентификация, ЭП
16. 3 сценария защиты ЕБС
Собственное
решение
Типовое решение
от Ростелекома
Облачное решение
НЕТ СОГЛАСОВАННЫХ
ФСБ ПРОДУКТОВ
Подтверждение ФСБ
Не нужно разрабатывать
Не нужны тематические
исследования
Риски
Стоимость от 25 млн. руб. от 5 млн. руб. от 1 млн. руб./год
Срок внедрения
от 6 месяцев 2-3 месяца
3-4 кв. 2019 запуск
+ 2-3 месяца
Зачем?
Доверие
Торопимся
17. Криптография не закрывает всю модель угроз
Сбор данных Обработка
сигнала
Сравнение
Принятие
решения
Верификация
(приложение)
Хранение
Доказательство
идентичности
Регистрация
биометрии
1
2
3
4
5
6
7
8
9
10
11
12 13
20. Ключевые сроки последней редакции
382-П
Требование Сроки
Сертификация прикладного ПО или оценка уязвимостей по ОУД4 01.01.2020
Пентесты и анализ уязвимостей объектов информационной инфраструктуры 01.07.2018
Разделение контуров 01.01.2020
Применение в значимых платежных системах HSM на базе иностранных
криптографических алгоритмов, согласованных ФСБ, и вообще иностранных
СКЗИ
01.01.2024
Применение в значимых платежных системах HSM на базе иностранных
криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ
01.01.2031
Применение в значимых платежных системах СКЗИ на базе иностранных
криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных
ФСБ
01.01.2031
Применение в национально значимых платежных системах HSM на базе
иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных
ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых
платежных системах
01.01.2031
21. Некоторые вопросы
• Методика проведения анализа
уязвимостей и пентестов
• Методика оценки уязвимостей банковских
приложений в условии ДСПшности
ФСТЭК
• Отсутствие сертификации HSM по
требованиям МПС
• Квантовые компьютеры и 2031-й год
25. АСОИ ФинЦЕРТ
До 01.07.2018
Настоящее время
Создана 1-я очередь АСОИ ФинЦЕРТ
2019
2-я очередь АСОИ ФинЦЕРТ
§ Обмен с участниками по e-mail (получение
информации в формате XLSX)
§ Локальная автоматизация работы экспертов
§ Функционирование базовых процессов
§ Обмен с Участниками через защищенный
портал, ЛКУ, e-mail
§ Автоматизация ключевых процессов ФинЦЕРТ
§ Автоматизированное взаимодействие с
ГосСОПКА;
§ Реализация функционала «Фид-антифрода»
для Участников (прототип)
§ Обмен с участниками через защищенный
портал, e-mail и по API
§ Предоставление Участникам возможности
передачи через ЛК дампов и логов для
последующего анализа в ФинЦЕРТ
§ Автоматическое взаимодействие с
ГосСОПКА
§ Поддержка функционала для реализации
167-ФЗ в полном объеме
26. Новые сервисы АСОИ ФинЦЕРТ 2-й
очереди
• Предоставление Участникам сервиса ЛКУ по проверке ВПО (включая
специализированную песочницу)
• Предоставление Участникам сервиса передачи через ЛК «дампов»
сетевого трафика и лог-файлов web-серверов для последующего
анализа в ФинЦЕРТ
• Сервис автоматического взаимодействия Участников с ГосСОПКА
• Сервис уведомлений о критических инцидентах по SMS
• Автоматизация взаимодействия с АСОИ ФинЦЕРТ посредством API
• Сервис предоставления Участникам машиночитаемых IOC и
агрегированных баз данных
• Сервис обмена электронными сообщениями между ФинЦЕРТ и
Участниками с использованием электронной подписи
27. Справится ли АСОИ с СТО 1.5?
Показатель Значение
Количество принятых ЭСУ не менее 10000 шт. в сутки
Пиковое значение принятых ЭСУ не более 2500 шт. в час
Количество созданных, автоматизированно
классифицированных и агрегированных тикетов
не более 40 шт. в минуту
Объем принимаемых файлов через личный кабинет до 2 Гб
Планируемое количество одновременно работающих
пользователей
не менее 4000
29. Возможности «Фид-Антифрод»
Доступная
маршрутизация
операций без
согласия
Перевод с карты на
карту через сервисы
банка-отправителя
Перевод со счета на
счет
Без
маршрутизации
(только репортинг)
Перевод с карты на
карту через иные
сервисы
Переводы, связанные с
оплатой товаров и
услуг с использованием
POS терминалов
Перевод на
электронный кошелек
Пополнение остатка
средств абонента
радиотелефонной
связи
Иные реквизиты
получателя
Получение фидов
Специальный код
номера паспорта
Специальный код
СНИЛС
ИНН
Номер карты
Номер телефона
Номер счета + БИК
Номер кошелька
Получение сведений о
повышенном риске для
отдельной операции в
рамках осуществления
переводов денежных
средств
Возможность для ОПДС
принятия мер,
направленных на
выполнение
мероприятий по
противодействию
осуществлению
переводов денежных
средств без согласия
клиента
Выявление операций по
переводу денежных средств,
соответствующих признакам
осуществления перевода
денежных средств без
согласия клиента, до
принятия распоряжения к
исполнению
30. Планы развития «Фид-Антифрод»
• Оптимизация маршрутизации
• Оптимизация внутреннего перечня критериев
• Гармонизация СТО БР 1.5 с текущими форматами системы
• Развитие API для автоматического направления сведений об ОБС в
ФинЦЕРТ
• Оптимизация перечная анализируемых параметров
• Оптимизация подходов к обработке статусов ОБС (автоматизация
изменения статуса при возврате, при отказе от заявления)
• Развитие API для автоматического получения фидов
• Оптимизация перечня фидов и формирование условий для
получения обратной связи по их эффективности
33. Трансформация системы управления
операционным риском
34
Положение о СУОР
Новые требования к
отчетности по ОР
Порядок расчета величины
ОР с учетом статистики
потерь и качества СУОР
2019 2020
Ø Компонента потерь (ILM)
для расчёта капитала на ОР
Ø Детальные требования к
организации СУОР
Ø Детальные требования к
данным о потерях от ОР и ИБ
Ø Стресс-тестирование ОР и ИБ
2021
Начало применения
подхода Basel III к расчету
капитала под ОР
36. Рискориентированный подход
- регулярная отчетность об
инцидентах
- результаты проверок
подразделениями ИБ Банка России
- протоколирование действий на
технологических участках
- информация, содержащаяся в
базах данных
Показатели
защищенности
инфраструктуры
Показатели
защищенности
приложений
Показатели
риска по
операциям
- результаты проверок
подразделениями ИБ Банка России
Источники
Состав
операционных
рисков
финансовых
организаций
показатели, характеризующие уровень несанкционированных финансовых операций
показатели , характеризующие непрерывность предоставления финансовых услуг
показатели, характеризующие финансовые потери клиентов финансовых организаций
ПоказателиоперационнойстабильностиПоказателифинансовойстабильности
38. Жизненный цикл ИБ с точки зрения
надзора
Необходимость включения
нового вида организации в
контур надзора
Комплекс
подготовительных
мероприятий к включению
в контур надзора
Включение в контур
надзора
Формирование профиля
риска
реализации
информационных угроз
Надзор за реализацией
системы управления
риском и капиталом с
учетом профиля риска
• Кредитная организация
• Некредитная финансовая
организация
• ФинТех-проект
• субъект национальной
платежной системы
• Определение типового состава
показателей профиля риска
поднадзорной организации
• Разработка методик применения
надзорных мер реагирования
• Формирование нормативно-
методологической базы знаний
Нормативное закрепление (часть 1):
• состава и содержания
технологических мер обеспечения
защиты информации;
• мер анализа уязвимостей
программного обеспечения;
• уровня защиты по ГОСТ;
• правил протоколирования.
Нормативное закрепление (часть 2):
• требований проведения оценки
соответствия по ГОСТ;
• правил претензионной работы;
• правил информирования ФинЦЕРТ
о несанкционированных
финансовых операциях.
Осуществление дистанционного
надзора (мониторинга) показателей:
ПНО – показатель уровня
несанкционированных операций;
ПОН – показатель операционной
надежности;
ПОС – показатель оценки
соответствия требованиям ГОСТ;
ИФ – показатель уровня
информационного фона.
Этап 1
Этап 2 Этап 3
Этап 4 Этап 5
39. Дистанционный надзор
Показатель уровня
несанкционированных
операций
Показатель
операционной
надежности
Показатель уровня
информационного
фона
Инспекционные проверки
Показатель качества
корпоративного
управления
ПНО ПОН ИФ ККУ
R (ПНО, ПОН, ПОС, ИФ, ККУ)
формирование зон
Источники
Формы
отчетности
Показатель оценки
соответствия
требованиям ГОСТ
ПОС
Внешний аудит
Сейчас
Информационный обмен
с ФинЦЕРТ
(для субъектов НПС)
Участие всех субъектов
надзора в информационном
обмене с ФинЦЕРТ
Сбор исходных
данных
Применение
технологий
BigData
Целеваямодель
Профиль риска поднадзорной
организации
41. Развитие форм отчетности о рисках и
инцидентах ИБ
203-я
отчетность
203-я и 258-
я отчетность
Отчетность
по 552-П
Отчетность
по 382-П
203-я и 258-
я отчетность
Отчетность
по 552-П
Отчетность
по
антифроду
t
Отчетность
в ГосСОПКУ
2012+ 2016+ 2018+
Отчетность
по рискам
43. Дорожная карта стандартизации по ИБ
Банка России • Домен УКР – «управление
киберриском»
• Домен ЗИ – «защита информации»
• Домен СО – «мониторинг киберрисков и
ситуационная осведомленность»
• Домен ОНД – «обеспечение
непрерывности выполнения бизнес и
технологических процессов
финансовых организаций в случае
реализации информационных угроз»
• Домен УА – «управлением киберриском
при аутсорсинге и использовании
сторонних информационных услуг
(сервисов)»
• Домен УИ – «управление инцидентами
ИБ»
44. Стандарты по
защите
информации
ГОСТ 57580.1
ГОСТ 57580.2
Стандарты по ОИБ
и управлению
рисками
Общие положения
Оценка
соответствия
Аудит ИБ
Аутсорсинг и
использование
информационных
сервисов
Аутсорсинг
Использование
информационных
сервисов
Оценка
соответствия
Стандарты по
управлению
инцидентами
Требования и
меры организации
Сбор и анализ
технических
данных
Взаимодействие с
ФинЦЕРТ (СТО
1.5)
Стандарт по
непрерывности
Требования и
меры реализации
Оценка
соответствия
Мониторинг
киберрисков и
ситуационная
осведомленность
Требования и
меры реализации
Оценка
соответствия
Направления стандартизации Банка
России
Источник: план работы ПК1 ТК122
46. Планы по совершенствованию процесса
повышения квалификации в 2018 году
Профессиональные
стандарты
Образовательные
стандарты
Система
независимой
аттестации
специалистов
+8 ПС в области ИБ
+9 ФГОС для разных
уровней подготовки
в области ИБ
+1 new! типовая программа*
профессиональной переподготовки
специалистов в области ИБ для КФС
Дополнительные
профессиональные
программы
Сертификаты международных
независимых организаций
(CISA, CISM, CISSP, COBIT, CGEIT,
CRISC и другие)
+ new!
планируется разработка системы
аттестации специалистов и
руководителей подразделений ИБ
+1 new! типовая программа
профессиональной переподготовки
руководителей в области ИБ для КФС
+1 new! ПС
по кибербезопасности
+2 new! ФГОС для
разных уровней
подготовки
в области ИБ для КФС
47. Проект профстандарта
Создана рабочая группа по
разработке Проекта ПС
Разработана функциональная
карта профессиональной
деятельности
Разработан проект ПС
(первый релиз)
Приглашение СПК ИТ о создании
совместной рабочей группы
Профессионально-общественные
обсуждения
Анализ предложений и
замечаний, доработка Проекта
Подготовка комплекта
документов, представление на
утверждение в Минтруд, НСПК
Июль 2018
Сентябрь 2018
Декабрь 2018
Декабрь 2018
Февраль – апрель 2019
Май – Август 2019
Сентябрь – Ноябрь 2019
Проект профессионального
стандарта «Специалист по
информационной безопасности
в кредитно-финансовой сфере»
Подготовлен детальный план по разработке
и внедрению профессионального стандарта
48. Программа профподготовки
Программа профессиональной переподготовки прошла экспертизу в вузах:
• ФУ при Правительстве РФ
• МГТУ им. Н.Э. Баумана
• МИФИ
• Санкт-Петербургский политехнический университет имени Петра Великого
Цель: формирование компетенций, необходимых работникам службы ИБ КО и НФО для
выполнения новых функций в своей профессиональной деятельности.
Продолжительность обучения: 512 ч.
49. Повышение культуры ИБ в стране
Целевая аудитория
• Младшая школа (1-4 классы)
• Средняя и старшая школа (5-11 классы)
• Старшая школа (9-11 профильные классы), профильные колледжи
• Студенты непрофильных специальностей
• Студенты профильных специальностей
• Экономически активное население РФ (>23-55<)
• «Серебряный возраст» 55+ и люди с особыми потребностями
Цели:
• Обучение населения основам кибергигиены
• Повышение уровня киберграмотности населения
• Борьба с социальной инженерией
51. Замена 552-П
• Защита в соответствие с 382-П с учетом нового
Положения
ССНП и СБП – как операторы по переводу денежных
средств (ОПДС)
ОПКЦ – как операторы услуг платежной инфраструктуры
(ОУПИ)
• Сегментирование объектов инфраструктуры
для ССНП и СБП уровень защиты – 2 (по ГОСТ 57580.1)
для ОПКЦ уровень защиты – 1 (по ГОСТ 57580.1)
• Меры защиты определяются самостоятельно по
ГОСТ 57580.1
• Применение СКЗИ в соответствие с 63-ФЗ, ПКЗ-
2005 и документацией на СКЗИ
!
52. Безопасность НФО
• Об установлении обязательных для некредитных
финансовых организаций требований к
обеспечению защиты информации при
осуществлении деятельности в сфере финансовых
рынков
• Уровни защиты информации (по ГОСТ 57580.1)
3-й – системно значимые инфраструктурная организация
финансового рынка по 3341-У
1-й – микрофинансовые организации, ломбарды, кредитные
потребкооперативы, жилищные накопительные
кооперативы, сельскохозяйственные кредитные
потребкооперативы
2-й – все остальные
• + повтор положений 382-П
!
53. Блокировки сайтов
• Проект федерального закона «О внесении
изменений в статью 151 Федерального закона от
27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите
информации»
блокировка по решению Банка России фишинговых сайтов
блокировка по решению Бланка России сайтов,
предоставляющих финансовые услуги без
соответствующей лицензии Банка России
блокировка сайтов, связанных с распространением
вредоносного ПО
!
54. Взаимодействие с операторами связи
• Проект федерального закона «О внесении
изменений в Федеральный закон от 7 июля 2003
года № 126-ФЗ «О связи» (в части защиты прав и
законных интересов пользователей услуг)»
подтверждение принадлежности абонентского номера
конкретного клиента кредитной организаций в единой
информационной системе
противодействие мошенничеству в финансовой сфере
через выстраивание единого канала обмена данными о
мобильном устройстве, абоненте номера мобильного
телефона между операторами связи и банками
!
55. Иные планы по нормотворчеству
• Регулирование требований по применению цифровых
технологий на финансовом рынке с учетом требований
безопасности (цифровые финансовые активы,
искусственный интеллект, большие данные,
киберфизические системы, системы распределенного
реестра)
• Совершенствование механизмов использования усиленной
квалифицированной электронной подписи и
законодательства, регулирующего деятельность
удостоверяющих центров
• «Об установлении обязательных для кредитных организаций
требований к обеспечению защиты информации при
осуществлении банковской деятельности в целях
противодействия осуществлению переводов денежных
средств без согласия клиента»
!
57. Новинки законодательства по ПДн
• Законопроект об ответственности оператора ПДн за действия и
бездействие обработчика ПДн
• Невыполнение оператором предусмотренной законодательством
Российской Федерации в области персональных данных обязанности
осуществления надлежащего контроля за действиями лица,
осуществляющего обработку персональных данных по поручению
оператора
• Нарушение лицом, осуществляющим обработку персональных данных по
поручению оператора, требований законодательства Российской Федерации
в области персональных данных
• Регулирование больших пользовательских данных
• «Оборотные» штрафы (?)