Практика разработки и сопровождения стандартов Банка
реклама
ТК122 «Стандарты финансовых операций». Подкомитет «Безопасность финансовых (банковских) операций». Предлагаемая структура и основные направления работ, ПК №1 «Безопасность финансовых (банковских) операций». Курило Андрей Петрович, Банк России Главное управление безопасности и защиты информации Наши ориентиры «Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность. Таким образом, безопасность, с точки зрения бизнеса, должна рассматриваться как способствующий бизнесу фактор, а не как его цена.» «Доверие информационной безопасности для руководящих работников», 7 октября 2003 г. Консультативный комитет ОЭСР по предпринимательству и промышленности (BIAC), Международная торговая палата (ICC) 2 План презентации 1. 2. 3. 4. 5. 6. Состояние дел (за истекшие 10 лет) Цели создания подкомитета Структура, органы, принципы участия в работе Состав членов подкомитета Направления работ Организация работ по созданию стандартов безопасности финансовых (банковских) операций 3 Состояние дел (историческая справка ) 2000 год. Начаты работы по созданию Стандартов 2003 год. Создан специализированный подкомитет ПК 3 «Защита информации в кредитно-финансовой сфере» (в структуре ТК 362 «Защита информации») для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта 2006 год. Подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS (аналог отраслевой системы оценки соответствия ИБ) 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство ) Интернет 2007 год. Открыт специализированный сайт подкомитета ПК 3 «Защита информации в кредитно-финансовой сфере» в сети Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса 2009 год. Введена в действие третья редакция Стандарта. 2010 год. Введена в действие четвертая редакция Стандарта, разработанная с учетом ФЗ №152 «О персональных данных» 2011 год. Прорабатываются подходы по совершенствованию требований ИБ при дистанционном банковском обслуживании 4 Состояние дел (результаты работ) 9 Колличество стандартов 8 7 6 5 Национальные стандарты 4 3 Отрасле вые стандарты 2 1 Год 0 2004 2005 2006 2007 2008 2009 2010 Документы, прошедшие ПК3 – Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» СТО БР ИББС-1.0 «…Общие положения» СТО БР ИББС-1.1 «…Аудит информационной безопасности» СТО БР ИББС-1.2 «…Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.0 «…Методические рекомендации по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1.0» РС БР ИББС-2.1 «…Руководство по самооценке соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.2 «…Методика оценки рисков нарушения ИБ» РС БР ИББС-2.3 «…Требования по обеспечению безопасности персональных в информационных системах персональных данных организаций БС РФ» РС БР ИББС-2.4 «…Отраслевая частная модель угроз безопасности персональных данных» 5 Перечень национальных стандартов, разработанных в период с 2004 по 2010 годы ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности . Менеджмент инцидентов информационной безопасности ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности ГОСТ Р ИСО/МЭК 24762-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности ГОСТ Р ИСО/МЭК 27005-2009 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности ГОСТ Р ИСО/МЭК 27004-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения ГОСТ Р ИСО/МЭК 27033-1-2010 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции 6 Состояние дел (проблемы и ожидания) Существующая инфраструктура подготовки отраслевых (банковских) решений обеспечения информационной безопасности в рамках ТК 362 Росстандарта исчерпала свой потенциал Остро ощущается необходимость структурных и общеметодологических преобразований, расширения сферы регулирования Востребована более явная структуризация работ по общесистемному (унифицированным решениям) и отраслевому (финансовый сектор) направлениям обеспечения безопасности 7 Цели образования специализированного подкомитета по безопасности • Ощущается дефицит разумных (в соотношениях цена/качество, польза/издержки эксплуатации и т.п.) предложений банковскому сектору в условиях лавинообразного роста рыночных предложений по новым технологиям организации и реализации деятельности в области информационной безопасности и роста числа успешных мошеннических действий • Образование специализированного безопасности способствует: • • • • • подкомитета по Повышению доверия к банковской системе (БС) РФ; Достижению адекватности мер по обеспечению ИБ реальным угрозам; Установлению единых требований по обеспечению ИБ организаций БС РФ; Повышению эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ. Совершенствованию контрольных и надзорных функций банковского регулирования. 8 Структура, органы, принципы участия в работе (предложения) Структура Председатель подкомитета (Банк России, ГУБиЗИ, Курило Андрей Петрович) Заместитель Председателя подкомитета (представитель Технического комитета «Криптографическая защита информации» ТК 26) Организация-секретариат (НПФ «Кристалл», отв. Секретарь Голованов В.Б.) Члены (на базе коллектива, участвовавшего в разработке стандартов Банка России) Привлекаемые ресурсы ГУБиЗИ: Работа в рамках специализированного отдела двух специалистов, принимающих также участие в деятельности международного комитета JTC1 ISO/IEC в рамках рабочих групп WG1 «Information Security Management Systems» (Системы управления информационной безопасностью) и WG5 «Identity management and privacy technologies» (Управление идентификационной информацией и технологии обеспечения приватности) подкомитета SC27«IT Security techniques» (Методы и средства обеспечения безопасности информационных технологий) 9 Форма взаимодействия и работы (предложения) Принципы участия (в соотв. с ГОСТ Р 1.1 «ТК по стандартизации. Порядок создания и деятельности») Добровольность Активность позиции (регулирование членства) Безвозмездность (отсутствие членских взносов) Очно-заочная форма: Заседания Обсуждение внесенных в документы изменений Через сайт Интернет Голосования в закрытом режиме (доступ возможен только членам подкомитета) Организации-члены ПК 3 ТК 362 ПК1 ТК 122 10 Структура, органы, принципы участия в работе (предложения) Компетенция и опыт руководящих органов подкомитета: Председатель: с 2003 осуществляет руководство по планированию и организации работ действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Осуществление координации работ по стандартизации с уполномоченными федеральными органами власти в области безопасности и защиты информации. Организация-секретариат: с 2003 осуществляет функции секретариата действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Отв. секретарь имеет компетенцию «эксперта по стандартизации» (в соотв. с ГОСТ Р 1.1, сертиф. № СЭN0000549 в РОСС RU.Е177.04ЭР00). 11 Организация работ в рамках систем стандартизации Национальная система ТК 362 «Защита информации» ТК 26 «Криптографическая защита информации» Международная система ISO/IEC JTC1 «Information technology» ТК 22 «Информационные технологии» WG 1 ПК 127 «Методы и средства обеспечения безопасности информационных технологий Совершенствование универсальных стандартов ИБ Участие в работе ТС 68 «Financial services» WG 5 SC 2 Финансовые стандарты ТК 122 «Стандарты финансовых операций» ПК1 «Безопасность финансовых (банковских) операций» БАНК РОССИИ Кредитные организации Международные и национальные аудиторские компании Участие в форме наблюдения Поставщики продукции и услуг ИТ и ИБ Регуляторы 12 Примерный состав членов подкомитета Федеральные органы и ассоциации Банк России; Федеральная таможенная служба Российской Федерации; Федеральная служба безопасности Российской Федерации Федеральная служба по техническому и экспортному контролю Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Ассоциация Российских банков; Ассоциация Региональных Банков России; Институт банковского дела Ассоциации российских банков; Кредитные организации Акционерный коммерческий сберегательный банк РФ; Россельхозбанк; АБ «ГАЗПРОМБАНК» (ОАО); Альфа-банк; ОАО Банк «Возрождение»; Внешэкономбанк; ОАО «Банк Российский кредит»; АКБ «Промсвязьбанк» (ОАО); ОАО «БАНК УРАЛСИБ»; Филиал «Центральный» АКБ «Инвестбанк» (ОАО); 13 Примерный состав членов подкомитета (продолжение) Агентства и аудиторские компании ОАО «Агентство по ипотечному жилищному кредитованию»; ЗАО «КПМГ Лимитед»; Компания «Эрнст энд Янг (СНГ) Б.В.»; ЗАО «ПрайсвотерхаусКуперс Аудит»; ООО «ФБК»; Поставщики продукции и услуг ООО НПФ «Кристалл»; ООО «Линс-М»; ЗАО «Андэк Консалтинг»; ООО «Криптоком»; ООО «Эр-Стайл»; ЗАО «Позитив Текнолоджиз»; ООО «Сиско Системс»; 14 Направления работ Разработка национальных стандартов обеспечения безопасности финансовых (банковских) операций на основе документов в области стандартизации Банка России СТО/РС БР ИББС «Обеспечение информационной безопасности организаций БС РФ» (как действующих, так и новых) Гармонизация международных стандартов, изданных в рамках юрисдикции ISO/TC 68/SC 2 «Security management and general banking operations». Продвижение отечественного опыта Гармонизация профессиональных стандартов обеспечения информационной безопасности банковской и платежной индустрий (стандарты PCI Council/PCI DSS, рекомендации EPC/Европейский платежный совет и т.п.) 15 Направления работ (разработка профильных национальных стандартов) На основе документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (БР ИББС). Общие положения СТО БР ИББС – 1.0 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Требования по обеспечению безопасности СКЗИ РС БР ИББС – 2.5 Методика классификации активов РС БР ИББС – Х.Х Аудит информационной безопасности СТО БР ИББС – 1.1 Методика оценки рисков РС БР ИББС – 2.2 Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС – 2.3 Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Отраслевая модель угроз РС БР ИББС – 2.4 Методика назначения и описания ролей РС БР ИББС – Х.Х 16 Направления работ (Гармонизация международных стандартов) Гармонизация изданных под юрисдикцией ISO/TC 68/SC 2 «Security management and general banking operations» международных стандартов (19), востребованных в деятельности российских банков Продвижение на уровень ИСО отдельных национальных решений и технологий безопасности 17 Перечень действующих документов (стандартов и технических отчетов), принятых в рамках подкомитета ISO SC2/TK68 ISO 9564-1:2002 «Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems» (Банковское дело – Управление и безопасность персональных цифровых идентификаторов – Часть 1: Основные принципы и требования к оперативной обработке PIN в системах банкоматов (ATM) и торговых терминалов (POS)); ISO 9564-2:2005 «Banking -- Personal Identification Number management and security -- Part 2: Approved algorithms for PIN encipherment» (…. Часть 2: Одобренные алгоритмы шифрования личного идентификационного номера (PIN)); ISO 9564-3:2003 «Banking -- Personal Identification Number management and security -- Part 3: Requirements for offline PIN handling in ATM and POS systems» (… Часть 3: Требования к оперативной обработке PIN-кода в системах банкоматов (ATM) и торговых терминалов (POS)); ISO/TR 9564-4:2004 «Banking -- Personal Identification Number (PIN) management and security -- Part 4: Guidelines for PIN handling in open networks» (… Часть 4: Руководящие указания по его обработке в открытых сетях); ISO 11568-1:2005 «Banking -- Key management (retail) -- Part 1: Principles» (Банковское дело – Управление ключами (розница) – Часть 1: Принципы); ISO 11568-2:2005 «Banking -- Key management (retail) -- Part 2: Symmetric ciphers, their key management and life cycle» (… Часть 2: Симметричные алгоритмы шифрования, управление ключами и их жизненный цикл); ISO 11568-4:2007 «Banking -- Key management (retail) -- Part 4: Asymmetric cryptosystems -- Key management and life cycle» (…Часть 4: Асимметричные криптосистемы – Управление ключами и их жизненный цикл); ISO 13491-1:2007 «Banking -- Secure cryptographic devices (retail) -- Part 1: Concepts, requirements and evaluation methods» (Банковское дело – Доверенные криптографические устройства (розница) – Часть 1: Понятия, требования и методы оценки); ISO 13491-2:2005 «Banking -- Secure cryptographic devices (retail) -- Part 2: Security compliance checklists for devices used in financial transactions» (…Часть 2: Контрольные перечни соответствия требованиям безопасности для устройств, используемых в финансовых транзакциях); ISO 13492:2007 «Financial services -- Key management related data element -- Application and usage of ISO 8583 data elements 53 and 96» (Финансовые услуги – Управление ключами относящееся к элементам данных – Применение и использование элементов данных 53 и 96 из ISO 8583); 18 Перечень действующих документов (стандартов и технических отчетов), принятых в рамках подкомитета ISO SC2/TK68 (продолжение) ISO/TR 13569:2005 «Financial services -- Information security guidelines» (Финансовые услуги – Руководства по информационной безопасности); ISO/TR 14742:2010 «Financial services -- Recommendations on cryptographic algorithms and their use» (Финансовые услуги – Рекомендации по криптографическим алгоритмам и их использованию); ISO 15668:1999 «Banking -- Secure file transfer (retail)» (Банковское дело – Защищенная передача файлов (розница)); ISO 15782-1:2009 «Certificate management for financial services -- Part 1: Public key certificates» (Управление сертификатами для финансовых услуг – Часть 1: Сертификаты открытых ключей); ISO 15782-2:2001 «Banking -- Certificate management -- Part 2: Certificate extensions» (…Часть 2: Расширения сертификатов); ISO 16609:2004 «Banking -- Requirements for message authentication using symmetric techniques» (Банковское дело – Требования к аутентификации сообщений с использованием алгоритмов симметричного шифрования); ISO/TR 19038:2005 «Banking and related financial services -- Triple DEA -- Modes of operation -- Implementation guidelines» (Банковское дело и сопутствующие финансовые услуги – Тройной DEA – Модель процесса – Руководство по реализации); ISO 19092:2008 «Financial services -- Biometrics -- Security framework» (Финансовые услуги – Биометрия – Структура безопасности); ISO 21188:2006 «Public key infrastructure for financial services -- Practices and policy framework» (Инфраструктура открытых ключей для финансовых услуг – Структура практик и политики). Среди данных документов только 1 был гармонизирован в РФ как ГОСТ Р ИСО/ТО 13569-2007 «Финансовые услуги. Рекомендации по информационной безопасности». 19 Организация работы подкомитета «Безопасность финансовых (банковских) операций» 1. 2. 3. 4. 5. 6. 7. Разработка проекта стандарта в рамках НИР Банка России или силами членов ПК Апробация на выбранных участках или организациях Доработка проекта стандарта силами специалистов Банка России Обсуждение проекта в подкомитете (2-3 итерации) Публичное обсуждение проекта в соответствии с нормами Росстандарта Согласование проекта стандарта с заинтересованными сторонами Подготовка к утверждению и утверждение стандарта установленным в РФ порядком 20 Организация работы подкомитета «Безопасность финансовых (банковских) операций» (продолжение) Особенности: Безопасность с использованием средств криптографической защиты информации, в частности в розничных услугах (управление ключами, криптография в системах банкоматов (ATM) и торговых терминалов (POS) и др.) При разработке стандартов необходимо взаимодействие ПК 1 с ПК 4 «Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей» и ПК 5 «Стандартизация технологий осуществления мобильных платежей» Необходимо установление отношений между подкомитетами в рамках ТК 122 21 Составляющие деятельности, публичность Выявление и оценка проблемы Предложения по доработке Обсуждение конф кон Обсуждение результата Оценка возможности стандартизац ии Разработка стандарта внедрение Ввод в действие конф 22 А.П.Курило +7(495) 771 91 61 [email protected]
