Курило Андрей Петрович, Банк России Главное управление безопасности и защиты информации

2 «Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность. Таким образом, безопасность, с точки зрения бизнеса, должна рассматриваться как способствующий бизнесу фактор, а не как его цена.» «Доверие информационной безопасности для руководящих работников», 7 октября 2003 г. Консультативный комитет ОЭСР по предпринимательству и промышленности (BIAC), Международная торговая палата (ICC)

3 1. Состояние дел (за истекшие 10 лет) 2. Цели создания подкомитета 3. Структура, органы, принципы участия в работе 4. Состав членов подкомитета 5. Направления работ 6. Организация работ по созданию стандартов безопасности финансовых (банковских) операций

год. Начаты работы по созданию С тандартов 2003 год. Создан специализированный подкомитет ПК 3 «Защита информации в кредитно-финансовой сфере» (в структуре ТК 362 «Защита информации» ) для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта 2006 год. Подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS (аналог отраслевой системы оценки соответствия ИБ) 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство ) Интернет 2007 год. Открыт специализированн ый сайт подкомитет а ПК 3 «Защита информации в кредитно-финансовой сфере» в сети Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса 2009 год. Введена в действие третья редакция Стандарта год. Введена в действие четвертая редакция Стандарта, разработанная с учетом ФЗ 152 «О персональных данных» 2011 год. Прорабатываются подходы по совершенствованию требований ИБ при дистанционном банковском обслуживании

5 Документы, прошедшие ПК3 – Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» СТО БР ИББС-1.0 «…Общие положения» СТО БР ИББС-1.1 «…Аудит информационной безопасности» СТО БР ИББС-1.2 «…Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.0 «…Методические рекомендации по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1.0» РС БР ИББС-2.1 «…Руководство по самооценке соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.2 «…Методика оценки рисков нарушения ИБ» РС БР ИББС-2.3 «…Требования по обеспечению безопасности персональных в информационных системах персональных данных организаций БС РФ» РС БР ИББС-2.4 «…Отраслевая частная модель угроз безопасности персональных данных»

6 ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер ГОСТ Р ИСО/ТО Финансовые услуги. Рекомендации по информационной безопасности ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности ГОСТ Р ИСО/МЭК Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

7 Существующая инфраструктура подготовки отраслевых (банковских) решений обеспечения информационной безопасности в рамках ТК 362 Росстандарта исчерпала свой потенциал Остро ощущается необходимость структурных и общеметодологических преобразований, расширения сферы регулирования Востребована более явная структуризация работ по общесистемному (унифицированным решениям) и отраслевому (финансовый сектор) направлениям обеспечения безопасности

8 Ощущается дефицит разумных (в соотношениях цена/качество, польза/издержки эксплуатации и т.п.) предложений банковскому сектору в условиях лавинообразного роста рыночных предложений по новым технологиям организации и реализации деятельности в области информационной безопасности и роста числа успешных мошеннических действий Образование специализированного подкомитета по безопасности способствует: Повышению доверия к банковской системе (БС) РФ; Достижению адекватности мер по обеспечению ИБ реальным угрозам; Установлению единых требований по обеспечению ИБ организаций БС РФ; Повышению эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ. Совершенствованию контрольных и надзорных функций банковского регулирования.

9 Структура Председатель подкомитета (Банк России, ГУБиЗИ, Курило Андрей Петрович) Заместитель Председателя подкомитета (представитель Технического комитета «Криптографическая защита информации» ТК 26) Организация-секретариат (НПФ «Кристалл», отв. Секретарь Голованов В.Б.) Члены (на базе коллектива, участвовавшего в разработке стандартов Банка России) Привлекаемые ресурсы ГУБиЗИ: Работа в рамках специализированного отдела двух специалистов, принимающих также участие в деятельности международного комитета JTC1 ISO/IEC в рамках рабочих групп WG1 «Information Security Management Systems» (Системы управления информационной безопасностью) и WG5 «Identity management and privacy technologies» (Управление идентификационной информацией и технологии обеспечения приватности) подкомитета SC27«IT Security techniques» (Методы и средства обеспечения безопасности информационных технологий)

10 Принципы участия (в соотв. с ГОСТ Р 1.1 «ТК по стандартизации. Порядок создания и деятельности») Добровольность Активность позиции (регулирование членства) Безвозмездность (отсутствие членских взносов) Очно-заочная форма: Организации-члены ПК 3 ТК 362 ПК1 ТК 122 Заседания Обсуждение внесенных в документы изменений Через сайт Интернет Голосования в закрытом режиме (доступ возможен только членам подкомитета)

11 Компетенция и опыт руководящих органов подкомитета: Председатель: с 2003 осуществляет руководство по планированию и организации работ действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Осуществление координации работ по стандартизации с уполномоченными федеральными органами власти в области безопасности и защиты информации. Организация-секретариат: с 2003 осуществляет функции секретариата действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Отв. секретарь имеет компетенцию «эксперта по стандартизации» (в соотв. с ГОСТ Р 1.1, сертиф. СЭN в РОСС RU.Е177.04ЭР00).

12 БАНК РОССИИ ПК1 «Безопасность финансовых (банковских) операций» Международные и национальные аудиторские компании Кредитные организации Поставщики продукции и услуг ИТ и ИБ ТК 122 «Стандарты финансовых операций» Регуляторы ТС 68 «Financial services» ISO/IEC JTC1 «Information technology» ТК 362 «Защита информации» ТК 26 «Криптографическая защита информации» ТК 22 «Информационные технологии» WG 5 Участие в работе Участие в форме наблюдения Совершенствование универсальных стандартов ИБ Национальная системаМеждународная система ПК 127 «Методы и средства обеспечения безопасности информационных технологий Финансовые стандарты SC 2WG 1

13 Федеральные органы и ассоциации Банк России; Федеральная таможенная служба Российской Федерации; Федеральная служба безопасности Российской Федерации Федеральная служба по техническому и экспортному контролю Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Ассоциация Российских банков; Ассоциация Региональных Банков России; Институт банковского дела Ассоциации российских банков ; Кредитные организации Акционерный коммерческий сберегательный банк РФ; Россельхозбанк; АБ «ГАЗПРОМБАНК» (ОАО); Альфа-банк; ОАО Банк «Возрождение»; Внешэкономбанк; ОАО «Банк Российский кредит»; АКБ «Промсвязьбанк» (ОАО); ОАО «БАНК УРАЛСИБ»; Филиал «Центральный» АКБ «Инвестбанк» (ОАО);

14 Агентства и аудиторские компании ОАО «Агентство по ипотечному жилищному кредитованию»; ЗАО «КПМГ Лимитед»; Компания «Эрнст энд Янг (СНГ) Б.В.»; ЗАО «ПрайсвотерхаусКуперс Аудит»; ООО «ФБК»; Поставщики продукции и услуг ООО НПФ «Кристалл»; ООО «Линс-М»; ЗАО «Андэк Консалтинг»; ООО «Криптоком»; ООО «Эр-Стайл»; ЗАО «Позитив Текнолоджиз»; ООО «Сиско Системс»;

15 Разработка национальных стандартов обеспечения безопасности финансовых (банковских) операций на основе документов в области стандартизации Банка России СТО/РС БР ИББС «Обеспечение информационной безопасности организаций БС РФ» (как действующих, так и новых) Гармонизация международных стандартов, изданных в рамках юрисдикции ISO/TC 68/SC 2 «Security management and general banking operations». Продвижение отечественного опыта Гармонизация профессиональных стандартов обеспечения информационной безопасности банковской и платежной индустрий (стандарты PCI Council/PCI DSS, рекомендации EPC/Европейский платежный совет и т.п.)

16 На основе документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (БР ИББС). Общие положения СТО БР ИББС – 1.0 Аудит информационной безопасности СТО БР ИББС – 1.1 Документы по обеспечению информационной безопасности РС БР ИББС – 2.0 Методика классификации активов РС БР ИББС – Х.Х Методика назначения и описания ролей РС БР ИББС – Х.Х Методика оценки соответствия СТО БР ИББС – 1.2 Руководство по самооценке РС БР ИББС – 2.1 Методика оценки рисков РС БР ИББС – 2.2 Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС – 2.3 Отраслевая модель угроз РС БР ИББС – 2.4 Требования по обеспечению безопасности СКЗИ РС БР ИББС – 2.5

17 Гармонизация изданных под юрисдикцией ISO/TC 68/SC 2 «Security management and general banking operations» международных стандартов (19), востребованных в деятельности российских банков Продвижение на уровень ИСО отдельных национальных решений и технологий безопасности

18 ISO :2002 «Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems» (Банковское дело – Управление и безопасность персональных цифровых идентификаторов – Часть 1: Основные принципы и требования к оперативной обработке PIN в системах банкоматов (ATM) и торговых терминалов (POS)); ISO :2005 «Banking -- Personal Identification Number management and security -- Part 2: Approved algorithms for PIN encipherment» (…. Часть 2: Одобренные алгоритмы шифрования личного идентификационного номера (PIN)); ISO :2003 «Banking -- Personal Identification Number management and security -- Part 3: Requirements for offline PIN handling in ATM and POS systems» (… Часть 3: Требования к оперативной обработке PIN-кода в системах банкоматов (ATM) и торговых терминалов (POS)); ISO/TR :2004 «Banking -- Personal Identification Number (PIN) management and security -- Part 4: Guidelines for PIN handling in open networks» (… Часть 4: Руководящие указания по его обработке в открытых сетях); ISO :2005 «Banking -- Key management (retail) -- Part 1: Principles» (Банковское дело – Управление ключами (розница) – Часть 1: Принципы); ISO :2005 «Banking -- Key management (retail) -- Part 2: Symmetric ciphers, their key management and life cycle» (… Часть 2: Симметричные алгоритмы шифрования, управление ключами и их жизненный цикл); ISO :2007 «Banking -- Key management (retail) -- Part 4: Asymmetric cryptosystems -- Key management and life cycle» (…Часть 4: Асимметричные криптосистемы – Управление ключами и их жизненный цикл); ISO :2007 «Banking -- Secure cryptographic devices (retail) -- Part 1: Concepts, requirements and evaluation methods» (Банковское дело – Доверенные криптографические устройства (розница) – Часть 1: Понятия, требования и методы оценки); ISO :2005 «Banking -- Secure cryptographic devices (retail) -- Part 2: Security compliance checklists for devices used in financial transactions» (…Часть 2: Контрольные перечни соответствия требованиям безопасности для устройств, используемых в финансовых транзакциях); ISO 13492:2007 «Financial services -- Key management related data element -- Application and usage of ISO 8583 data elements 53 and 96» (Финансовые услуги – Управление ключами относящееся к элементам данных – Применение и использование элементов данных 53 и 96 из ISO 8583);

19 ISO/TR 13569:2005 «Financial services -- Information security guidelines» (Финансовые услуги – Руководства по информационной безопасности); ISO/TR 14742:2010 «Financial services -- Recommendations on cryptographic algorithms and their use» (Финансовые услуги – Рекомендации по криптографическим алгоритмам и их использованию); ISO 15668:1999 «Banking -- Secure file transfer (retail)» (Банковское дело – Защищенная передача файлов (розница)); ISO :2009 «Certificate management for financial services -- Part 1: Public key certificates» (Управление сертификатами для финансовых услуг – Часть 1: Сертификаты открытых ключей); ISO :2001 «Banking -- Certificate management -- Part 2: Certificate extensions» (…Часть 2: Расширения сертификатов); ISO 16609:2004 «Banking -- Requirements for message authentication using symmetric techniques» (Банковское дело – Требования к аутентификации сообщений с использованием алгоритмов симметричного шифрования); ISO/TR 19038:2005 «Banking and related financial services -- Triple DEA -- Modes of operation -- Implementation guidelines» (Банковское дело и сопутствующие финансовые услуги – Тройной DEA – Модель процесса – Руководство по реализации); ISO 19092:2008 «Financial services -- Biometrics -- Security framework» (Финансовые услуги – Биометрия – Структура безопасности); ISO 21188:2006 «Public key infrastructure for financial services -- Practices and policy framework» (Инфраструктура открытых ключей для финансовых услуг – Структура практик и политики). Среди данных документов только 1 был гармонизирован в РФ как ГОСТ Р ИСО/ТО «Финансовые услуги. Рекомендации по информационной безопасности».

20 1. Разработка проекта стандарта в рамках НИР Банка России или силами членов ПК 2. Апробация на выбранных участках или организациях 3. Доработка проекта стандарта силами специалистов Банка России 4. Обсуждение проекта в подкомитете (2-3 итерации) 5. Публичное обсуждение проекта в соответствии с нормами Росстандарта 6. Согласование проекта стандарта с заинтересованными сторонами 7. Подготовка к утверждению и утверждение стандарта установленным в РФ порядком

21 Особенности: Безопасность с использованием средств криптографической защиты информации, в частности в розничных услугах (управление ключами, криптография в системах банкоматов (ATM) и торговых терминалов (POS) и др.) При разработке стандартов необходимо взаимодействие ПК 1 с ПК 4 «Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей» и ПК 5 «Стандартизация технологий осуществления мобильных платежей» Необходимо установление отношений между подкомитетами в рамках ТК 122

22 Выявление и оценка проблемы Обсуждение кон Оценка возможности стандартизац ии Разработка стандарта Ввод в действие внедрение Обсуждение результата Предложения по доработке конф Составляющие деятельности, публичность

А.П.Курило +7(495)