ОПЕРАЦИЙ» . ПОДКОМИТЕТ «БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ» . ПРЕДЛАГАЕМАЯ СТРУКТУРА И ОСНОВНЫЕ НАПРАВЛЕНИЯ РАБОТ, ПК № 1 «БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ» . Курило Андрей Петрович, Банк России Главное управление безопасности и защиты информации
НАШИ ОРИЕНТИРЫ «Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность. Таким образом, безопасность, с точки зрения бизнеса, должна рассматриваться как способствующий бизнесу фактор, а не как его цена. » «Доверие информационной безопасности для руководящих работников» , 7 октября 2003 г. Консультативный комитет ОЭСР по предпринимательству и промышленности (BIAC), Международная торговая палата (ICC) 2
ПЛАН ПРЕЗЕНТАЦИИ 1. 2. 3. 4. 5. 6. Состояние дел (за истекшие 10 лет) Цели создания подкомитета Структура, органы, принципы участия в работе Состав членов подкомитета Направления работ Организация работ по созданию стандартов безопасности финансовых (банковских) операций 3
СОСТОЯНИЕ ДЕЛ (ИСТОРИЧЕСКАЯ СПРАВКА ) 2000 год. Начаты работы по созданию Стандартов 2003 год. Создан специализированный подкомитет ПК 3 «Защита информации в кредитно-финансовой сфере» (в структуре ТК 362 «Защита информации» ) для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта 2006 год. Подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS (аналог отраслевой системы оценки соответствия ИБ) 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство ) Интернет 2007 год. Открыт специализированный сайт подкомитета ПК 3 «Защита информации в кредитно-финансовой сфере» в сети Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса 2009 год. Введена в действие третья редакция Стандарта. 2010 год. Введена в действие четвертая редакция Стандарта, разработанная с учетом ФЗ № 152 «О персональных данных» 2011 год. Прорабатываются подходы по совершенствованию требований ИБ при дистанционном банковском обслуживании 4
СОСТОЯНИЕ ДЕЛ (РЕЗУЛЬТАТЫ РАБОТ) Документы, прошедшие ПК 3 – Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» СТО БР ИББС-1. 0 «…Общие положения» СТО БР ИББС-1. 1 «…Аудит информационной безопасности» СТО БР ИББС-1. 2 «…Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1. 0» РС БР ИББС-2. 0 «…Методические рекомендации по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1. 0» РС БР ИББС-2. 1 «…Руководство по самооценке соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1. 0» РС БР ИББС-2. 2 «…Методика оценки рисков нарушения ИБ» РС БР ИББС-2. 3 «…Требования по обеспечению безопасности персональных в информационных системах персональных данных организаций БС РФ» РС БР ИББС-2. 4 «…Отраслевая частная модель угроз безопасности персональных данных» 5
ПЕРЕЧЕНЬ НАЦИОНАЛЬНЫХ СТАНДАРТОВ, РАЗРАБОТАННЫХ В ПЕРИОД С 2004 ПО 2010 ГОДЫ ГОСТ Р ИСО/МЭК 17799 -2005 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК ТО 13335 -5 -2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети ГОСТ Р ИСО/МЭК 27001 -2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р ИСО/МЭК 13335 -1 -2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК ТО 13335 -3 -2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий ГОСТ Р ИСО/МЭК ТО 13335 -4 -2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер ГОСТ Р ИСО/ТО 13569 -2007 Финансовые услуги. Рекомендации по информационной безопасности ГОСТ Р ИСО/МЭК ТО 18044 -2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности ГОСТ Р ИСО/МЭК 18028 -1 -2008 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности ГОСТ Р ИСО/МЭК 24762 -2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ГОСТ Р ИСО/МЭК 27006 -2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности ГОСТ Р ИСО/МЭК 27005 -2009 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности ГОСТ Р ИСО/МЭК 27004 -2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения ГОСТ Р ИСО/МЭК 27033 -1 -2010 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции 6
СОСТОЯНИЕ ДЕЛ (ПРОБЛЕМЫ И ОЖИДАНИЯ) Существующая инфраструктура подготовки отраслевых (банковских) решений обеспечения информационной безопасности в рамках ТК 362 Росстандарта исчерпала свой потенциал Остро ощущается необходимость структурных и общеметодологических преобразований, расширения сферы регулирования Востребована более явная структуризация работ по общесистемному (унифицированным решениям) и отраслевому (финансовый сектор) направлениям обеспечения безопасности 7
ЦЕЛИ ОБРАЗОВАНИЯ СПЕЦИАЛИЗИРОВАННОГО ПОДКОМИТЕТА ПО БЕЗОПАСНОСТИ • Ощущается дефицит разумных (в соотношениях цена/качество, польза/издержки эксплуатации и т. п. ) предложений банковскому сектору в условиях лавинообразного роста рыночных предложений по новым технологиям организации и реализации деятельности в области информационной безопасности и роста числа успешных мошеннических действий • Образование специализированного безопасности способствует: • • • подкомитета по Повышению доверия к банковской системе (БС) РФ; Достижению адекватности мер по обеспечению ИБ реальным угрозам; Установлению единых требований по обеспечению ИБ организаций БС РФ; Повышению эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ. Совершенствованию контрольных и надзорных функций банковского регулирования. 8
СТРУКТУРА, ОРГАНЫ, ПРИНЦИПЫ УЧАСТИЯ В РАБОТЕ (ПРЕДЛОЖЕНИЯ) Структура Председатель подкомитета (Банк России, ГУБи. ЗИ, Курило Андрей Петрович) Заместитель Председателя подкомитета (представитель Технического комитета «Криптографическая защита информации» ТК 26) Организация-секретариат (НПФ «Кристалл» , отв. Секретарь Голованов В. Б. ) Члены (на базе коллектива, участвовавшего в разработке стандартов Банка России) Привлекаемые ресурсы ГУБи. ЗИ: Работа в рамках специализированного отдела двух специалистов, принимающих также участие в деятельности международного комитета JTC 1 ISO/IEC в рамках рабочих групп WG 1 «Information Security Management Systems» (Системы управления информационной безопасностью) и WG 5 «Identity management and privacy technologies» (Управление идентификационной информацией и технологии обеспечения приватности) подкомитета SC 27 «IT Security techniques» (Методы и средства обеспечения безопасности информационных технологий) 9
ФОРМА ВЗАИМОДЕЙСТВИЯ И РАБОТЫ (ПРЕДЛОЖЕНИЯ) Принципы участия (в соотв. с ГОСТ Р 1. 1 «ТК по стандартизации. Порядок создания и деятельности» ) Добровольность Активность позиции (регулирование членства) Безвозмездность (отсутствие членских взносов) Очно-заочная форма: Заседания Обсуждение внесенных в документы изменений Через сайт Интернет Голосования в закрытом режиме (доступ возможен только членам подкомитета) Организации-члены ПК 3 ТК 362 ПК 1 ТК 122 10
СТРУКТУРА, ОРГАНЫ, ПРИНЦИПЫ УЧАСТИЯ В РАБОТЕ (ПРЕДЛОЖЕНИЯ) Компетенция и опыт руководящих органов подкомитета: Председатель: с 2003 осуществляет руководство по планированию и организации работ действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Осуществление координации работ по стандартизации с уполномоченными федеральными органами власти в области безопасности и защиты информации. Организация-секретариат: с 2003 осуществляет функции секретариата действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Отв. секретарь имеет компетенцию «эксперта по стандартизации» (в соотв. с ГОСТ Р 1. 1, сертиф. № СЭN 0000549 в РОСС RU. Е 177. 04 ЭР 00). 11
ОРГАНИЗАЦИЯ РАБОТ В РАМКАХ СИСТЕМ СТАНДАРТИЗАЦИИ Национальная система ТК 362 «Защита информации» ТК 26 «Криптографическая защита информации» Международная система ISO/IEC JTC 1 «Information technology» ТК 22 «Информационные технологии» WG 1 ПК 127 «Методы и средства обеспечения безопасности информационных технологий Совершенствование универсальных стандартов ИБ Участие в работе ТС 68 «Financial services» WG 5 SC 2 Финансовые стандарты ТК 122 «Стандарты финансовых операций» ПК 1 «Безопасность финансовых (банковских ) операций» БАНК РОССИИ Кредитные организации Международные и национальные аудиторские компании Участие в форме наблюдения Поставщики продукции и услуг ИТ и ИБ Регуляторы 12
ПРИМЕРНЫЙ СОСТАВ ЧЛЕНОВ ПОДКОМИТЕТА Федеральные органы и ассоциации Банк России; Федеральная таможенная служба Российской Федерации; Федеральная служба безопасности Российской Федерации Федеральная служба по техническому и экспортному контролю Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Ассоциация Российских банков; Ассоциация Региональных Банков России; Институт банковского дела Ассоциации российских банков; Кредитные организации Акционерный коммерческий сберегательный банк РФ; Россельхозбанк; АБ «ГАЗПРОМБАНК» (ОАО); Альфа-банк; ОАО Банк «Возрождение» ; Внешэкономбанк; ОАО «Банк Российский кредит» ; АКБ «Промсвязьбанк» (ОАО); ОАО «БАНК УРАЛСИБ» ; Филиал «Центральный» АКБ «Инвестбанк» (ОАО); 13
ПРИМЕРНЫЙ СОСТАВ ЧЛЕНОВ ПОДКОМИТЕТА (ПРОДОЛЖЕНИЕ) Агентства и аудиторские компании ОАО «Агентство по ипотечному жилищному кредитованию» ; ЗАО «КПМГ Лимитед» ; Компания «Эрнст энд Янг (СНГ) Б. В. » ; ЗАО «Прайсвотерхаус. Куперс Аудит» ; ООО «ФБК» ; Поставщики продукции и услуг ООО НПФ «Кристалл» ; ООО «Линс-М» ; ЗАО «Андэк Консалтинг» ; ООО «Криптоком» ; ООО «Эр-Стайл» ; ЗАО «Позитив Текнолоджиз» ; ООО «Сиско Системс» ; 14
НАПРАВЛЕНИЯ РАБОТ Разработка национальных стандартов обеспечения безопасности финансовых (банковских) операций на основе документов в области стандартизации Банка России СТО/РС БР ИББС «Обеспечение информационной безопасности организаций БС РФ» (как действующих, так и новых) Гармонизация международных стандартов, изданных в рамках юрисдикции ISO/TC 68/SC 2 «Security management and general banking operations» . Продвижение отечественного опыта Гармонизация профессиональных стандартов обеспечения информационной безопасности банковской и платежной индустрий (стандарты PCI Council/PCI DSS, рекомендации EPC/Европейский платежный совет и т. п. ) 15
НАПРАВЛЕНИЯ РАБОТ (РАЗРАБОТКА ПРОФИЛЬНЫХ НАЦИОНАЛЬНЫХ СТАНДАРТОВ) На основе документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (БР ИББС). Общие положения СТО БР ИББС – 1. 0 Документы по обеспечению информационной безопасности РС БР ИББС – 2. 0 Требования по обеспечению безопасности СКЗИ РС БР ИББС – 2. 5 Методика классификации активов РС БР ИББС – Х. Х Аудит информационной безопасности СТО БР ИББС – 1. 1 Методика оценки рисков РС БР ИББС – 2. 2 Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС – 2. 3 Методика оценки соответствия СТО БР ИББС – 1. 2 Руководство по самооценке РС БР ИББС – 2. 1 Отраслевая модель угроз РС БР ИББС – 2. 4 Методика назначения и описания ролей РС БР ИББС – Х. Х 16
НАПРАВЛЕНИЯ РАБОТ (ГАРМОНИЗАЦИЯ МЕЖДУНАРОДНЫХ СТАНДАРТОВ) Гармонизация изданных под юрисдикцией ISO/TC 68/SC 2 «Security management and general banking operations» международных стандартов (19), востребованных в деятельности российских банков Продвижение на уровень ИСО отдельных национальных решений и технологий безопасности 17
ПЕРЕЧЕНЬ ДЕЙСТВУЮЩИХ ДОКУМЕНТОВ (СТАНДАРТОВ И ТЕХНИЧЕСКИХ ОТЧЕТОВ), ПРИНЯТЫХ В РАМКАХ ПОДКОМИТЕТА ISO SC 2/TK 68 ISO 9564‑ 1: 2002 «Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems» (Банковское дело – Управление и безопасность персональных цифровых идентификаторов – Часть 1: Основные принципы и требования к оперативной обработке PIN в системах банкоматов (ATM) и торговых терминалов (POS)); ISO 9564‑ 2: 2005 «Banking -- Personal Identification Number management and security -- Part 2: Approved algorithms for PIN encipherment» (…. Часть 2: Одобренные алгоритмы шифрования личного идентификационного номера (PIN)); ISO 9564‑ 3: 2003 «Banking -- Personal Identification Number management and security -- Part 3: Requirements for offline PIN handling in ATM and POS systems» (… Часть 3: Требования к оперативной обработке PIN-кода в системах банкоматов (ATM) и торговых терминалов (POS)); ISO/TR 9564‑ 4: 2004 «Banking -- Personal Identification Number (PIN) management and security -- Part 4: Guidelines for PIN handling in open networks» (… Часть 4: Руководящие указания по его обработке в открытых сетях); ISO 11568‑ 1: 2005 «Banking -- Key management (retail) -- Part 1: Principles» (Банковское дело – Управление ключами (розница) – Часть 1: Принципы); ISO 11568‑ 2: 2005 «Banking -- Key management (retail) -- Part 2: Symmetric ciphers, their key management and life cycle» (… Часть 2: Симметричные алгоритмы шифрования, управление ключами и их жизненный цикл); ISO 11568‑ 4: 2007 «Banking -- Key management (retail) -- Part 4: Asymmetric cryptosystems -- Key management and life cycle» (…Часть 4: Асимметричные криптосистемы – Управление ключами и их жизненный цикл); ISO 13491‑ 1: 2007 «Banking -- Secure cryptographic devices (retail) -- Part 1: Concepts, requirements and evaluation methods» (Банковское дело – Доверенные криптографические устройства (розница) – Часть 1: Понятия, требования и методы оценки); ISO 13491‑ 2: 2005 «Banking -- Secure cryptographic devices (retail) -- Part 2: Security compliance checklists for devices used in financial transactions» (…Часть 2: Контрольные перечни соответствия требованиям безопасности для устройств, используемых в финансовых транзакциях); ISO 13492: 2007 «Financial services -- Key management related data element -- Application and usage of ISO 8583 data elements 53 and 96» (Финансовые услуги – Управление ключами относящееся к элементам данных – Применение и использование элементов данных 53 и 96 из ISO 8583); 18
ПЕРЕЧЕНЬ ДЕЙСТВУЮЩИХ ДОКУМЕНТОВ (СТАНДАРТОВ И ТЕХНИЧЕСКИХ ОТЧЕТОВ), ПРИНЯТЫХ В РАМКАХ ПОДКОМИТЕТА ISO SC 2/TK 68 (ПРОДОЛЖЕНИЕ) ISO/TR 13569: 2005 «Financial services -- Information security guidelines» (Финансовые услуги – Руководства по информационной безопасности); ISO/TR 14742: 2010 «Financial services -- Recommendations on cryptographic algorithms and their use» (Финансовые услуги – Рекомендации по криптографическим алгоритмам и их использованию); ISO 15668: 1999 «Banking -- Secure file transfer (retail)» (Банковское дело – Защищенная передача файлов (розница)); ISO 15782‑ 1: 2009 «Certificate management for financial services -- Part 1: Public key certificates» (Управление сертификатами для финансовых услуг – Часть 1: Сертификаты открытых ключей); ISO 15782‑ 2: 2001 «Banking -- Certificate management -- Part 2: Certificate extensions» (…Часть 2: Расширения сертификатов); ISO 16609: 2004 «Banking -- Requirements for message authentication using symmetric techniques» (Банковское дело – Требования к аутентификации сообщений с использованием алгоритмов симметричного шифрования); ISO/TR 19038: 2005 «Banking and related financial services -- Triple DEA -- Modes of operation -- Implementation guidelines» (Банковское дело и сопутствующие финансовые услуги – Тройной DEA – Модель процесса – Руководство по реализации); ISO 19092: 2008 «Financial services -- Biometrics -- Security framework» (Финансовые услуги – Биометрия – Структура безопасности); ISO 21188: 2006 «Public key infrastructure for financial services -- Practices and policy framework» (Инфраструктура открытых ключей для финансовых услуг – Структура практик и политики). Среди данных документов только 1 был гармонизирован в РФ как ГОСТ Р ИСО/ТО 13569‑ 2007 «Финансовые услуги. Рекомендации по информационной безопасности» . 19
ОРГАНИЗАЦИЯ РАБОТЫ ПОДКОМИТЕТА «БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ» 1. 2. 3. 4. 5. 6. 7. Разработка проекта стандарта в рамках НИР Банка России или силами членов ПК Апробация на выбранных участках или организациях Доработка проекта стандарта силами специалистов Банка России Обсуждение проекта в подкомитете (2 -3 итерации) Публичное обсуждение проекта в соответствии с нормами Росстандарта Согласование проекта стандарта с заинтересованными сторонами Подготовка к утверждению и утверждение стандарта установленным в РФ порядком 20
ОРГАНИЗАЦИЯ РАБОТЫ ПОДКОМИТЕТА «БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ» (ПРОДОЛЖЕНИЕ) Особенности: Безопасность с использованием средств криптографической защиты информации, в частности в розничных услугах (управление ключами, криптография в системах банкоматов (ATM) и торговых терминалов (POS) и др. ) При разработке стандартов необходимо взаимодействие ПК 1 с ПК 4 «Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей» и ПК 5 «Стандартизация технологий осуществления мобильных платежей» Необходимо установление отношений между подкомитетами в рамках ТК 122 21
Составляющие деятельности, публичность Выявление и оценка проблемы Предложения по доработке Обсуждение конф кон Обсуждение результата Оценка возможности стандартизац ии Разработка стандарта внедрение Ввод в действие конф 22
А. П. Курило +7(495) 771 91 61 kap 1@cbr. ru
Скачать презентацию ОПЕРАЦИЙ ПОДКОМИТЕТ БЕЗОПАСНОСТЬ ФИНАНСОВЫХ БАНКОВСКИХ ОПЕРАЦИЙ
d4836f952f975419e4a5d3b28441194f.ppt