1 Курило Андрей Петрович Банк России Юбилейный 15 февраля 1011 года

С чем столкнется банковский сектор в ближайшем будущем (в области безопасности и ПД) Изменение законодательства о: Персональных данных (нарастает понимание необходимости принципиальных изменений) Цифровой подписи Появление закона о национальной платежной системе Реализация идеи «электронного правительства», в том числе: УЭК Электронный паспорт Предоставление госуслуг в электронном виде, путем доступа к к ним через электронные порталы

Проблемы в банковском секторе Необходимость соответствовать требованиям законов Большое число регуляторов Рост числа угроз из открытых сетей Рост преступлений в системах расчетов (ДБО, платежные системы, системы перевода денег, электронные деньги )

4 История вопроса 2006 год - ФЗ 152-ФЗ 2007 год - начало отчета по реализации требований ФЗ 2008 год - разработка первичных технических требований 2009 год - осмысление требований, общее отрезвление, начало разработки отраслевых норм, учитывающих требования по защите ПД 2010 год, июль - согласование отраслевых норм (стандартов) с регуляторами, выпуск «Письма шестерых» 2010 год, декабрь - перенос сроков реализации ст.25 ФЗ 152 на полгода 2011 год, весна - работа с перспективой внедрения над новой редакцией ФЗ «О персональных данных» Перспектива – в связи с выходом новой редакции ФЗ доработка документов, лучше маленькая, чем значительная и очередной перенос сроков реализации

5 Краткий комментарий о результатах деятельности В целом, страна сделала гигантские шаги в направлении реализации идеологии законодательства о ПД Активную, однако не всегда однозначную позицию в отношении некоторых банков занял РКН. Справедливости ради необходимо признать, что позиции банков не бесспорны В целом, ФЗ в настоящее время далеко не в полной мере стоит на стороне добросовестного оператора, решающего важные задачи не по защите ПД, а по укреплению экономики страны Исполнение ФЗ существенно усложняет внутреннюю работу из-за неквалифицированного прочтения его персоналом

Размер поля регулирования в банковском секторе В деятельность по выполнению требований ФЗ включены: 1000 юридических лиц, деятельность которых в целом определяют принципы экономической целесообразности Сотни тысяч сотрудников Десятки миллионов клиентов

7 Особенности правового статуса Банка России как отраслевого регулятора в части информационной безопасности 1. Как отраслевой регулятор Банк России не наделен законодателем правом нормативного регулирования вопросов информационной безопасности в кредитных организациях. 2. В связи с этим банк вынужден: Разрабатывать и внедрять стандарты, имеющие рекомендательный статус, создавать механизмы их внедрения Ограничиваться разработкой рекомендаций для КО Использовать договорные механизмы взаимодействия с КО Опираться на требования по безопасности, изложенные в техдокументации на оборудование, в основном, криптографическое. При этом в целом, нормативное регулирование носит кусочечный и не сбалансированный характер, приводящий к ослаблению системы безопасности в целом и росту расходов.

8 Оссана регуляторам! Пришли к выводу о целесообразности отраслевого регулирования Признали стандарты Банка России по информационной безопасности (отраслевого применения) в качестве базовых и универсальных Приняли совместные рекомендации банковскому сообществу по принятию стандартов Банка России Ведут совместную работу по созданию прозрачной системы наблюдения за уровнем информационной безопасности в КО при обеспечении прав регуляторов по государственному контролю

9 Глобальные перемены в вопросе стандартизации Создан новый технический комитет Росстандарта: ТК 68 «Стандартизация в области финансовых услуг». Базовая организация – Центробанк. Работы по стандартизации в области информационной безопасности в кредитно- финансовой сфере будут продолжены в рамках одного из подкомитетов ТК68.

10 О реализации «отраслевого подхода» 1. С момента рассылки «письма шестерых» прошло полгода, у нас уже есть первые данные, основанные на ответах банков страны на подготовленные нами опросные листы. 2. Опрос проводился с участием наших территориальных управлений и национальных банков.

11 Основные результаты Мы имеем результаты реализации отраслевого подхода по данным двух опросов, сделанных Банком России в октябре 2010 года и к началу февраля 2011 года. Выборки вполне репрезентативные, поэтому выводам, сделанным по ним можно верить. Первое. Темпы присоединения Максимальные темпы проста присоединения были в октябре, сейчас они упали. Причин несколько, одна из них- перенос сроков реализации ст. 25, что создало иллюзию неуверенности государства. В настоящее время приняли стандарт или планируют это сделать 66% от общего количества КО в стране. Можно ожидать 75-80%. Отказались внедрять стандарт, но не отказались выполнять ФЗ 5- 10% Заняли выжидательную позицию 10-15%, в основном мелкие банки Выводы. Это видимо предельные значения метода убеждения. В случае нормативного принуждения показатели были бы гораздо выше.

Темпы присоединения 12

13 Об организациях Крупнейшие организации БС РФ, которые ввели Комплекс БР ИББС: ГазпромБанк, ВТБ, ВТБ 24, Возрождение, Россельхозбанк, Промсвязьбанк, Абсолют Банк, ОТП Банк, КредитЕвропаБанк, Хоум кредит энд Финанс банк, Связь-Банк, ПроБизнесБанк, а также Расчетная палата ММВБ и Расчетная палата РТС. Крупнейшие организации БС РФ, которые планируют ввести Комплекс БР ИББС: АльфаБанк, Петрокоммерц. Крупнейшие организации БС РФ, которые не планируют вводить Комплекс БР ИББС: БинБанк, ВнешЭкономБанк.

О работах по оценке соответствия Оценку соответствия требованиям СТО БР ИББС-1.0 провели 358 организаций БС РФ, из них: Самооценку – 80% Внешнюю оценку – 20% Организации, проводившие внешнюю оценку соответствия: "Региональный экспертно-аттестационный центр "Эксперт", ЗАО "Диалогнаука", ЗАО "Инфосистемы Джет", ЗАО "РНТ", ЗАО НИП "Информзащита", ООО "Андек Технолоджиз", ООО "Северный родник", ООО "Системная интеграция", ООО "Техносерв АС", ООО "Учебно-научный центр ИБ" (УНЦИБ), ООО "ФБК", ООО "Финансовые и бухгалтерские консультанты", ООО НТЦ "Фобос-НТ"

Распределение итогового уровня оценки (самооценки)

Чему и как верить. Статистическая обработка измерений ?

Смысловая обработка измерений

Практические выводы по результатам оценки измерений На приведение организации в соответствие с требованиями стандартов требуется несколько лет Сейчас при всем желании тем не менее следует быть готовым к тому что оценка соответствия в основной массе КО будет выполнена только к середине года в лучшем случае Получение высоких оценок сразу говорит о формальном подходе и искажает действительность. Риски меньше при этом не становятся Таким образом, сомнения вызывают высокие, а не низкие результаты. Так как низкие результаты в большей степени отвечают ожиданиям, к ним больше доверия

19 О затратах на реализацию требований ФЗ Всего организаций БС РФ, предоставивших количественную оценку затрат : 242 Оценка затрат: более 1 млн. рублей: 122 организации БС РФ, из них: от 1 до 5 млн рублей: 94 организаций БС РФ от 5 до 10 млн рублей: 17 организаций БС РФ более 10 млн рублей: 11 организаций БС РФ В процентах: 50% организаций - менее 1 млн. руб 39% организаций - от 1 до 5 млн. руб. 7% организаций - от 5 до 10 млн. руб. 4,5% организаций - более 10 млн. руб.

Мнения организаций БС РФ относительно применения Комплекса БР ИББС По некоторым вопросам позиция региональных представителей регуляторов отличается от требований и рекомендаций Комплекса БР ИББС, в частности имеются расхождения в области классификации ИСПДн. Отсутствует координация деятельности регуляторов и банков при практическом применении Комплекса БР ИББС, в частности до региональных представителей ФСБ России и ФСТЭК России не доведена информация по применению комплекса БР ИББС, и требования указанных контролирующих органов основаны только на собственных нормативных актах. Отсутствие у Роскомнадзора, ФСБ России и ФСТЭК России методик проверки соответствия деятельности кредитной организации требованиям законодательства в области персональных данных (при реализации Комплекса БР ИББС). Наличие сверхнормативных (не являющихся обязательными по законодательству) требований, реализация которых требует выделения человеческих и финансовых ресурсов.

Мнения организаций БС РФ относительно применения Комплекса БР ИББС Чрезмерно высокая стоимость сертифицированных ФСТЭК средств защиты информации, что обуславливает применение СЗИ по собственному усмотрению. При внедрении Комплекса БР ИББС предварительно требуется разработка большого объема внутренней документации с целью приведения информационной безопасности Банка требованиям Стандарта Банка России. Основная доля работ по реализации требований по обеспечению безопасности приходится на сотрудников Банка. требуется разъяснение касательно вопроса обязательности применения сертифицированных средств защиты информации в ИСПДн. Требуется разъяснение – необходимо ли получать лицензии на деятельность, связанную с СКЗИ. Многие организации БС РФ считают, что не нужно.

Мнения организаций БС РФ относительно применения Комплекса БР ИББС Возникает конфликт между системами сертификации по ИСО 2700х и стандарту Банка России Комплексом БР ИББС установлен принцип независимости аудита. Из-за отсутствия в регионе организаций, имеющих право на ведение аудиторской деятельности в области ИБ, завышается стоимость услуг аудиторской проверки, с учётом приглашения сторонних московских специалистов. Несоразмерность объема требований с человеческими и техническими ресурсами регионального банка для реализации в короткие сроки.

Некоторые выводы У нас в стране, как оказалось, крайне неудовлетворительно налажено межведомственное взаимодействие в решении сложных системных задач Люди в основном не понимают задач или имеют искаженное представление о путях их решения Ограничиваться только установлением требований или стандартов недостаточно Надеяться на то, что стандарты будут выполняться сами собой глупо и безответственно Надеяться на то, что требования закона или нормативных актов регуляторов будут в полном объеме выполняться, смешно

И снова риторический вопрос: Что делать? Отрабатывать взаимодействие всех участников процесса. Прежде всего, это относится к регуляторам, от них зависит 60% успеха Вести обучение специалистов, желательно совместно всех. Возможности у нас такие есть Иметь в виду, что мы имеем дело со сложной системной задачей, решить которую можно только с течением времени Понимать, что мы сейчас осуществляем настройку задачи, казусы при этом неизбежны.

Что делать Усиливать контроль Предоставить больше прав ЦБ как отраслевому регулятору Помнить о том, что отрасль решает важную государственную задачу, а не просто старается удовлетворить регуляторов, и наоборот

Спасибо за внимание! Курило Андрей Петрович Банк России