ГОСТ ПО БЕЗОПАСНОСТИ ФИНТЕХА: НОВЫЕ РЕАЛИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
И. Пискунов,
эксперт по вопросам ИБ
Журнал "Внутренний контроль в кредитной организации", N 1, I квартал 2018 г., с. 68-74.
С января 2018 года вступил в силу новый стандарт информационной безопасности, разработанный Банком России, - ГОСТ Р 57580.12017*(1). Документ содержит массу нововведений для IT-составляющей банка: в частности, существенно изменились требования к аудиту информационной безопасности и к самим компаниям, которые такие услуги оказывают. Как это отразится на банках и как успешно подготовиться к аудиту информационной безопасности с минимальными затратами?
Ключевыми особенностями нового нормативного акта являются, во-первых, его статус как документа, обязательного к применению для всех субъектов банковской системы, и, во-вторых, значительное расширение сферы регулирования. Так, помимо банков и объектов платежных систем, в том числе НПС, в сферу регулирования попадают представители не финансово-кредитного сектора: страховые компании, негосударственные пенсионные фонды, управляющие компании, микрофинансовые организации и депозитарии.
Отличительная особенность данного ГОСТа по сравнению с предыдущими актами Банка России в том, что он содержит качественно новые требования к обеспечению информационной безопасности (далее - ИБ) для всей IT-инфраструктуры банка. Так, уровень защищенности отныне устанавливается для конкретного контура безопасности - иными словами, информационной системы, "реализующей бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации". Например, платежные и информационные технологические банковские процессы (ИТБП в контексте документов из СТО БР ИББС) могут оказаться в разных контурах безопасности. И поэтому, чтобы соответствовать ГОСТу, многим банкам крайне необходимо уже сегодня проводить внутренний аудит и переклассификацию информационных активов, а к концу года быть готовыми к прохождению и внешнего аудита. И тут возникает первая проблема.
Дело в том, что методики проведения аудита ИБ как официального документа по оценке соответствия требованиям ГОСТа в настоящий момент не существует. Точнее, он находится в разработке в ТК N 122*(2), и дата его окончательного выхода не определена.
Помимо этого, в текущем году эксперты прогнозируют укрепление тренда на переход к использованию отечественного программного обеспечения, серверного и сетевого оборудования. Об этом было заявлено на пленарной сессии ИнфоФорума - 2018, проходившего 1-2 февраля в здании Правительства Москвы. Доля иностранного ПО и аппаратного обеспечения в государственных структурах и компаниях с государственным участием, по заявлению председателя Комитета Госдумы по информационной политике, информационным технологиям и связи Эрнеста Валеева, не должна составлять более 30%. В продолжение темы заместитель начальника ГУБиЗИ Банка России Артем Сычев также подчеркнул важность перехода на отечественные финансовые технологии (такие, как блокчейн), а заместитель руководителя ФСТЭК России Виталий Лютиков обратил внимание на необходимость использования в коммерческих организациях, в том числе негосударственных банках, сертифицированных средств защиты информации, то есть одобренных ФСТЭК России и имеющих соответствующие сертификаты.
Безусловно, все эти изменения повлияют на банки - на кого-то в большей степени, на кого-то в меньшей. Причина проста: в любом финансовом учреждении IT-инфраструктура тесно "завязана" на внутренние бизнес-процессы, и такие существенные изменения в ее ядре заденут не только платежные и технологические банковские процессы, как изначально задумывалось разработчиками ГОСТа, но и в принципе любые другие бизнес-процессы, которые имеют автоматизированную среду выполнения. Нужно ли еще напоминать, что миграция на отечественное ПО или сертифицированное оборудование может вылиться в солидные финансовые затраты?
Однако чуть отойдем от технических вопросов и вернемся к изменениям, которые мы наиболее явным образом увидим в 2018 г. И если говорить об аудите ИБ, то в первую очередь такие изменения коснутся самих аудиторов и ниши, которую занимают различные компании, предоставляющие услуги по ИБ. Речь идет прежде всего о таких популярных услугах, как тестирование на проникновение (пентесты) и SOC-центры мониторинга событий ИБ.
Новые требования ФСТЭК России к пентестам, техническому аудиту и мониторингу ИБ
В апреле прошлого года на сайте ФСТЭК России был опубликован перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации*(3). Новая редакция данного перечня была расширена за счет новых видов деятельности по технической защите конфиденциальной информации (ТЗКИ), включающей пентесты и мониторинг информационной безопасности.
Иными словами, если несколько упростить, то компаниям, предоставляющим услуги информационной безопасности, в частности технический аудит защищенности (пентесты), и реализующим мониторинг событий ИБ по модели SaaS, необходимо получать лицензию ФСТЭК России.
Если раньше техническая защита информации по требованиям ФСТЭК России была ориентирована преимущественно на защиту некоего выделенного помещения, в котором велась обработка конфиденциальной информации с помощью средств вычислительной техники, и мероприятия по защите были направлены на контроль технических каналов утечки (ТКУ), то сегодня рука регулятора дотянулась до средств и методик обеспечения компьютерной безопасности. До текущих нововведений в состав ТКУ входили, к примеру, такие чисто технические каналы, как акустический, виброакустический, оптический каналы, радиоканал, то сегодня средства обеспечения компьютерной безопасности, по мнению представителей ФСТЭК России, составляют "единый комплекс мероприятий обеспечения ИБ, подлежащих регулированию и надзору со стороны компетентных государственных органов".
Что в итоге это значит для рынка финтеха и отрасли ИБ? Такое положение дел может существенно поменять расстановку сил на отечественном рынке игроков ИБ-индустрии. Так, до вступления в силу указанных изменений в технический регламент услуги по тестированию защищенности для юридических лиц могли предоставлять фактически частные лица, индивидуальные предприниматели или небольшие компании со штатом сотрудников всего в несколько человек. Однако со вступлением данных изменений в силу это становится нелегитимно. Отныне всем организациям, которые хотят предоставлять подобные услуги по требованиям ФСТЭК России, необходимо получать соответствующую лицензию*(4). Лицензионные требования ФСТЭК России включают в себя требования о приобретении специального контрольного и измерительного оборудования и ряд других условий, которые могут стать непосильной ношей для индивидуального предпринимателя или малых компаний на рынке услуг ИБ. Поэтому сегодня банкам придется отказаться от прежних подрядчиков, выполнявших работы по защите информации, у которых будет отсутствовать лицензия ФСТЭК России.
Новые лицензионные требования ФСТЭК России отчасти заденут и крупные компании, которые зачастую передавали обязанности по выполнению контракта другой подрядной организации, делающей эту же работу по значительно меньшей стоимости, что в итоге позволяло предложить клиенту лояльные условия оплаты при том же качестве результата. Если большой бизнес будет обязан брать работу исключительно в свои руки, но уже по значительно более высоким тарифам, это, несомненно, отрицательно скажется на конечной стоимости услуг.
Новые требования несут с собой проблемы и для тех поставщиков услуг ИБ, которые ранее предоставляли сервис по мониторингу событий ИБ - то, что сейчас популярно именуется как SOC. Теперь, согласно новым требованиям, от SOC требуется наличие сертифицированных WAF, МСЭ, антивируса и системы IDS. И сертификат на данное ПО должен быть не ниже 4-го класса, то есть максимально возможным для защиты информации, не составляющей гостайну! До сих пор в профессиональном сообществе остается непонятной точка зрения законодателя: для чего такие суровые требования по наличию средств защиты, если поставщик занимается только предоставлением услуг мониторинга? И это еще не все! Теперь в составе SOC потребуется иметь такие опции, как "песочница" и платформа Threat Intelligence. Помимо этого, ядро SIEM-системы, используемой в SOC, должно иметь сертификат ФСТЭК России. А ведь список отечественных SIEM-решений, сертифицированных по всем требованиям ФСТЭК России, остается до сих пор крайне малым. Добавим сюда пункт, требующий обязательного шифрования каналов передачи данных от SOC до контролируемой системы криптосредствами, имеющими сертификат ФСБ России. И это опять же может негативно сказаться на уже устоявшихся договорных связях банка с его подрядчиками, ранее выполнявшими подобные работы.
Квалификация превыше всего: взгляд Банка России на профессиональные кадры
За последние пару лет Банк России существенно озаботился вопросами квалификации профессиональных кадров, выполняющих функциональные обязанности в банковских организациях. Совсем недавно, 28 января текущего года, были опубликованы "Требования к деловой репутации и квалификации" *(5). Как сообщает источник из РБК, ограничение на допуск к высшим должностям будет иметь кросс-секторальный характер*(6). Кроме того, расширен перечень лиц, на которых распространяются требования о соответствии деловой репутации. Если раньше туда были включены лишь первые лица компании и члены совета директоров, то теперь - еще и главные бухгалтеры, руководители филиалов, внутренние аудиторы и другие должностные лица, в том числе выполняющие функции обеспечения ИБ.
Но мы вернемся к вопросам, касающимся информационной безопасности в банках. Так, согласно Постановлению Правительства РФ от 15.06.2016 N 541*(7), которое вносит изменения в документы, описывающие требования к получению лицензии ФСТЭК России по ТЗКИ, значительно ужесточаются требования к персоналу. Теперь компаниям, оказывающим услуги ИБ, нужно иметь в штате не менее трех человек, оформленных на постоянную работу по основному месту работы, с опытом от 3 до 7 лет. Также законодатель прописал требование об обязательном повышении профессиональной квалификации специалиста ИБ (в нашем контексте - аудитора) не реже чем раз в 5 лет. Это тоже не лучшим образом скажется на рынке специалистов ИБ, поскольку квалифицированные кадры постоянно в дефиците, затраты на их привлечение в организацию довольно существенны, а молодым специалистам выставляется такое вот искусственное ограничение, и в итоге получается замкнутый круг.
На уже упоминавшемся ИнфоФоруме - 2018 Артем Сычев, ко всему прочему, заявил, что Банк России вместе с представителями отрасли готовит проект рекомендаций в области стандартизации квалификационных требований к специалистам информационной безопасности в кредитно-финансовой сфере*(8). Эти рекомендации - своего рода шпаргалка участникам рынка, какие требования предъявлять к соискателям. А как ранее было известно из интервью все с тем же Артемом Сычевым в конце прошлого года, "уже через два года в России начнут выдавать аттестаты специалистов в области кибербезопасности в финансовой сфере"*(9).
Несколько примеров наименее затратной адаптации к новым требованиям
Несмотря на все описанные сложности, у банков все же есть несколько проверенных сценариев решения задач обеспечения ИБ с минимальными или приемлемыми затратами.
Первый вариант, наиболее очевидный и реалистичный для небольших организаций с ограниченным бюджетом, - прибегнуть к услугам аутсорсинга ИБ. В данном случае под этим понимается делегирование некоторых ключевых функций обеспечения безопасности внешней организации (поставщику услуг ИБ). Первые попытки отрегулировать сферу аутсорсинговых услуг в сфере ИБ были сделаны летом 2016 г., когда Банк России подготовил проект рекомендаций, входящих в стек СТО БР ИББС "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности".
Как следует из нового стандарта Банка России, банки могут выбрать три модели взаимодействия с аутсорсерами: долговременное, среднесрочное и кратковременное сотрудничество. В первом случае сторонняя компания занимается мониторингом кибератак на банк и реагированием на них. Во втором аутсорсер привлекается банком, чтобы выполнить для него проект по информбезопасности - например, построить собственный центр мониторинга и реагирования на киберугрозы. Третья модель подразумевает, что банк привлекает компанию на то время, когда возрастает уровень киберрисков.
Выгоды от перехода на аутсорсинг ИБ будут весьма заметны для небольших банков.
Второй вариант - развитие собственных компетенций, внутреннего центра кибербезопасности, опирающегося на инфраструктуру банка, без привлечения внешних подрядных организаций. Этот вариант хорошо подходит для большинства системообразующих или просто крупных банков и подразумевает развитую и распределенную IT-инфраструктуру, достаточный штат IT- и ИБ-специалистов, внутренние структурные подразделения, отвечающие отдельно за реализацию мероприятий ИБ и отдельно за аудит соответствия регуляторным требованиям. Позволить себе это могут, конечно, далеко не все финансовые учреждения. Ярким примером и локомотивом данного направления является Сбербанк, который в рамках реализации программы "Цифровая экономика", провозглашенной Владимиром Путиным, объявлен центром компетенций по кибер-безопасности в финансовой сфере*(10).
И третий вариант, занимающий промежуточное положение, предусматривает использование двух описанных подходов. Это компромиссный путь, позволяющий в зависимости от особенностей финансовой организации подбирать оптимальные решения тех или иных задач. К примеру, вместо наращивания вычислительной мощности in-house двинуться в сторону миграции части собственной IT-инфраструктуры в облака.
При этом следует:
- выбирать только те ЦОД, которые сертифицированы и предоставляют гарантии обработки данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдения требований безопасности платежных систем PCI DSS и т.д.;
- при бюджетировании IT или ИБ на следующий год изначально закладывать приобретение средств защиты информации и другого ПО с сертификатами ФСТЭК России и ФСБ России;
- развивать свой внутренний центр киберкомпетенций, расширять команду сотрудников, но при этом приглашать лицензированные подрядные организации для построения отдельных компонентов комплексной системы безопасности, поскольку это в каких-то случаях окажется более выгодно, чем выстраивать систему собственными силами.
───────────────────────────────────────────────────────────
*(1) ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утвержден Приказом Росстандарта от 08.08.2017 N 822-ст).
*(2) Технический комитет N 122 "Стандарты финансовых операций".
*(3) Утверждено Постановлением Правительства РФ от 03.02.2012 N 79.
*(4) Пискунов И. Загнанные в угол: новые требования ФСТЭК к SOC, аудиторам и правилам Pen-testing (https://ipiskunov.blogspot.ru/2017/02/soc-pen-testing.html).
*(5) https://www.garant.ru/products/ipo/prime/doc/71766706/#review.
*(6) ЦБ ужесточит требования к деловой репутации финансистов // Финансы. 18.10.2017.
*(7) Вступило в силу 17 июня 2017 г.
*(8) Информационная безопасность в России в современных условиях // Банковское обозрение. 19.02.2017.
*(9) Кибербезопасность доросла до аттестата // КоммерсантЪ. 11.10.2017.
*(10) Сбербанк представит кабмину предложения по повышению национальной кибербезопасности // ТАСС, 23.10.2017.
— Все документы — ГОСТы — ГОСТ ПО БЕЗОПАСНОСТИ ФИНТЕХА: НОВЫЕ РЕАЛИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж
Аналитик Гутман: период с мая по июль является лучшим периодом для продажи дачи
«МК»: в России не отменят льготную ипотеку
Аренда квартир в Москве подешевела на 10 %
Вице-премьер Хуснуллин: ставка по ипотеке должна быть пять процентов