Законодательство по НПС в разрезе ИБ
Михаил Левин
Ведущий инженер по информационной безопасности
Москва, 01.10.2013
2
СОДЕРЖАНИЕ
• 161-ФЗ «О национальной платежной системе»
• ПП-584
• 382-П
3
БАНК РОССИИ СЕГОДНЯ
• Стратегия развития НПС
• Таблица для проведения заявителем проверки правил ПС на соответствие требованиям 161-ФЗ
• Рекомендации по оформлению документов, направляемых в ЦБ для регистрации Операторов ПС
• Ответы на типовые вопросы
Вступает в силу 5 января 2014 года
4
3024-У ЦБ РФ ОТ 21.06.2013 «…О ВНЕСЕНИИ
ИЗМЕНЕНИЙ В 2831-У…»
• Отчетность по текущему и прошедшим отчетным периодам
• Большее число параметров для заполнения
• Контроль инцидентов, произошедших у клиентов и агентов (субагентов)
• Требуется указывать суммы похищенных средств
• Требуется оценивать масштаб иных убытков (простои, замена оборудования и др.)
Вступает в силу 5 января 2014 года
5
3007-У ЦБ РФ ОТ 05.06.2013 «…О ВНЕСЕНИИ
ИЗМЕНЕНИЙ В 382-П…»
• Уточнено понятие «инцидента»
• Регистрация инцидентов, произошедших у клиентов и БПА
• Уточнены требования к регистрации действий клиентов
• Отчет по аудиту/самооценке утверждается руководством
• Сертификаты на СКЗИ нужны только для отечественных продуктов
• Deadline по срокам подачи отчетности по форме 0403202 – 21 февраля
6
АНАЛИТИКА ЦБ ПО ИНЦИДЕНТАМ ПО
ФОРМЕ 0403203 (2012-1013)
Последствие инцидента Доля в общем количестве
инцидентов
Осуществление денежных переводов лицами,
не обладающими на это правом (фрод)
43,1%
Нарушение конфиденциальности информации
(включая скимминг)
29,7%
Компромтирование ключевой информации СКЗИ 9,7%
Нарушение бесперебойности предоставления услуг 6,8%
Воздействие вредоносного кода, приводящее
к «искаженным» переводам
6,4%
Невозможность предоставления услуг по переводу
в течении трех часов и более
4,1%
Воздействие вредоносного кода на СВТ, приводящее
к нарушению предоставления платежных услуг
или их несвоевременности
0,2%
1 2 3 4
161-ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ»
8 1 2 3 4
СУБЪЕКТЫ НПС
СУБЪЕКТЫ НПС
Оператор платежной
системы
Оператор услуг платежной
инфраструктуры
Оператор по переводу
(электронных) денежных средств
Банковские платежные
агенты/субагенты
Платежный агент
Организации федеральной
почтовой связи
9 1 2 3 4
ОСНОВНЫЕ ПОЛОЖЕНИЯ ПО БЕЗОПАСНОСТИ
• Правительство Российской Федерации устанавливает требования к защите информации
• Контроль и надзор осуществляются ФСБ и ФСТЭК, в пределах их полномочий и без права ознакомления с защищаемой информацией
• Требования устанавливает Банк России и согласует с ФСТЭК и ФСБ
• Контроль осуществляется Банком России при согласовании с ФСТЭК и ФСБ
• Обеспечение бесперебойности функционирования платежной системы
10 1 2 3 4
СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ
• Оператор обязан определить одну из моделей управления рисками в платежной системе
• Оператор должен разработать политику управления рисками
• Способы управления рисками определяются оператором платежной системы
• Создание коллегиального органа по управлению рисками
11 1 2 3 4
САНКЦИИ
Если нарушения влияют на бесперебойность функционирования платежной системы либо на услуги, оказываемые участникам платежной системы и их клиентам, Банк России :
• Направляет предписание об устранении нарушения с указанием срока для его устранения
• Ограничивает (приостанавливает) оказание операционных услуг
• Исключает оператора платежной системы из реестра операторов
• Привлекает поднадзорную организацию и ее должностных лиц к административной ответственности
1 2 3 4
ПП-584
13 1 2 3 4
ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
Постановление определяет требования к защите информации в НПС
• К обеспечению защиты информации от:
• Неправомерного доступа
• Уничтожения
• Модифицирования
• Блокирования
• Копирования
• Распространения и т.д.
• К соблюдению конфиденциальности информации
• К реализацию права на доступ к информации
14 1 2 3 4
ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
• Назначить ответственного за организацию защиты информации
• Определить порядок доступа к объектам инфраструктуры
• Обеспечить защиту информации в сети Интернет
• Проводить моделирование угроз и анализ уязвимостей
• Внедрить процесс управления рисками
• Выявлять инциденты и реагировать на них
• Каждый сотрудник обязан принимать меры по защите информации
15 1 2 3 4
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
Требуется разработать и реализовать систему защиты информации в информационных системах
Минимальный набор средств:
• СКЗИ
• СЗИ от НСД
• Антивирус
• Межсетевой экран
• IDS/IPS
• Средство анализа защищенности
16 1 2 3 4
КОНТРОЛЬ И ОЦЕНКА
• Организация и проведение контроля и оценки соответствия не реже 1 раза в 2 года
• Оценка может проводиться как самостоятельно, так и с привлечением лицензиатов ФСТЭК
1 2 3 4
382-П
18 1 2 3 4
О ЧЕМ?
• Устанавливает требования по защите информации
• Определяет порядок контроля со стороны ЦБ
ЦБ
Операторы по переводу
денежных средств
Банковские платежные
агенты/субагенты
Операторы платежных систем
Операторы услуг платежной
инфраструктуры
19 1 2 3 4
ЧТО ЗАЩИЩАТЬ?
• Сведения об остатках денежных средств на банковских счетах
• Информацию о совершенных переводах денежных средств
• Данные о платежных клиринговых позициях
• Информацию, необходимую для подтверждения клиентами права распоряжаться деньгами
• Сведения ограниченного доступа, подлежащие обязательной защите
• Ключевую информацию
• Конфигурации объектов инфраструктуры и средств защиты
20 1 2 3 4
РАСПРЕДЕЛЕНИЕ ТРЕБОВАНИЙ
18
120
108
85
73
0 20 40 60 80 100 120
БПА ИП БПА ЮЛ ОУПИ ОПДС ОПС
21 1 2 3 4
ИНСТРУМЕНТЫ ОБЕСПЕЧЕНИЯ ИБ
22 1 2 3 4
ОЦЕНКА СООТВЕТСТВИЯ
Отличие от СТО БР ИББС-1.2-2010:
• Отсутствие «уточняющих» вопросов
• Свидетельства упрощены до «факторов, учитываемых при оценке»
• Расчеты максимально упрощены – среднее арифметическое и выбор min
• Коэффициент «k» – степень «правильности» оператора
25 1 2 3 4
ЧТО МЫ МОЖЕМ ПРЕДЛОЖИТЬ
• Аудит и консалтинг
• Техническое проектирование системы ИБ
• Внедрение технических средств защиты информации
• Анализ защищенности и тестирование на проникновение
• Повышение осведомленности по вопросам обеспечения ИБ
26 1 2 3 4
СПАСИБО ЗА ВНИМАНИЕ!
Михаил Левин
Ведущий инженер по информационной безопасности
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 495 974 2274 доб. 6048, +7 495 974 2277 (факс)
www.croc.ru