Ответы ДИБ Банка России с закрытой секции ФинЦЕРТа и еще немного разного

На Магнитке традиционно проводилась закрытая сессия ФинЦЕРТа, на которой присутствовали только представители Банка России и поднадзорных организаций, которые могли откровенно задавать вопросы регулятору и получать на них ответы. На Уральском форуме в этом году решили эту традицию продолжить и позвали меня, чтобы промодерировать эту секцию.

Надо сразу сказать «спасибо» ДИБ Банка России, который зная мое отношение к регуляторам и нормативке, все равно позвал меня вести эту сессию.

Я раньше на таких сессия не присутствовал и поэтому поступил просто — объявил сбор вопросов от отрасли в профильных чатиках в Телеге, подсобрал вопросов, которые слышал в последнее время от коллег, а также понадеялся, что и на самой сессии найдутся представители финансовых организаций, которые захотят прямо задать вопросы регулятору, который был в полном составе (все руководители ДИБа — Андрей Выборнов, Алексей Голенищев, Юрий Лысенко, Андрей Соколов, Вадим Уваров, Григорий Царев). Но профессиональный чатик меня немного разочаровал 🙁 Вопросы про регуляторику в нем задаются ежедневно, но почему-то мало кто захотел эти вопросы транслировать на закрытую сессию. Объяснения были простые — «а нас там все равно не будет«, «вот если бы была запись или трансляция«, «регулятор все равно ничего конкретного не скажет«, «грош цена этой сессии, так как там нет официальной позиции регулятора, а всего лишь частное мнение«… Заранее видя такое отношение, я пробежался по чату «ИБ в Финсекторе» и сформировал перечень часто задаваемых вопросов, которые и озвучил на сессии.

Я осознанно не задавал очень технических или детальных вопросов, связанных с конкретными пунктами нормативных актов Банка России, так как мы бы тогда погрязли в этом и не смогли бы рассмотреть более стратегические темы.

Руководство ДИБ Банка России разрешило мне пересказать то, о чем говорилось на сессии, что я и сделаю ниже в формате FAQ.

Вопрос: Готов ли регулятор либо предлагать методику реализации требований, либо публиковать требования, которые прошли пилотный проект применения с их корректировкой перед открытой публикацией?

Ответ: Это непроходная тема, так как ЦБ не имеет права давать рекомендации о том, как реализовывать то или иное требование.

Мой комментарий: Как по мне, так это странно. ФСТЭК спокойно выпустила рекомендации по реализации 17-го приказа. Такие методики или рекомендации сняли бы львиную долю претензий к регулятору в части непроработанности и нереализуемости требований положений Банка России и ГОСТов.

Вопрос: Есть ли возможность организовать на площадке Банка России коммуникационную онлайн-платформу (тематическую Википедию, чат в телеграмме или ещё какой-то канал) для взаимодействия в части разъяснений нормативных документов, МР, стандартов Банка России без юридического статуса ответов?

Ответ: Нет, такой возможности нет. А в части АСОИ есть соответствующий чатик регулятора, в котором все вопросы по ФинЦЕРТу можно оперативно задавать. Если нужны ответы, то надо направлять запросы через АСОИ или по иным официальным каналам.

Вопрос: Существует ли в планах ЦБ разработка методических рекомендаций для категорирования объектов КИИ в финансовом секторе?

Ответ: Недавно было разослано письмо по данному вопросу.

Мой комментарий: Письма не видел — ничего не могу сказать, насколько оно отвечает на вопрос.

Вопрос: Скажите, у ЦБ есть утвержденный процесс отмены всего неактуального (У, П, стандарты, письма и т.д.)?

Ответ: Да, в рамках регуляторной гильотины. Но это небыстро и непросто.

Мой комментарий: Это, кстати, интересный вопрос и не только к ЦБ. Сколько вообще документов регуляторов было отменено? Было бы интересно посмотреть соотношение принятых и отмененных требований.

Вопрос: касаемо ОУД.4. в рамках требования положения 683-П П ОУД.4 должно проходить ПО, подключенное к сети Интернет. В рамках мер ЖЦ ОУД.4 должно проходить все ПО, используемое организацией. Как эти меры коррелируются между собой?

Ответ: Приоритет имеет Положение Банка России. Если есть конфликт между ГОСТом и Положениями, то руководствоваться надо Положениями Банка России.

Вопрос: 250-й Указ вообще не учитывает оргструктуру организаций. Написано, что Заместитель ПП должен быть назначен ответственным за безопасность и все. А то что все Заместители ни бум-бум в ИБ, а Управление безопасности подчиняется напрямую Председателю Правления никого не волнует? Менять структуру ради Указа? Назначать ЗамПП, обучать его 512 часов (где скорее всего за него будут делать задания рядовые сотрудники ИБ), а потом чисто по бумагам быть ответственным. Не может человек, который ранее не был вовлечен в ИБ, решать вопросы ИБ.

Ответ: 250-й Указ принимали без учета мнения ЦБ, но он не видит проблемы в этой части. Это всего лишь вопрос времени.

Мой комментарий: Есть официальные ответы Минцифры и Банка России касательно применения 250-го Указа в финансовых организациях.

Вопрос: Как происходит процедура утверждения зампреда по ИБ в кредитных организациях?

Ответ: Это выходит за рамки деятельности ДИБ. Статистики по числу уже утвержденных зампредов, отвечающих за ИБ, в ДИБ нет.

Мой комментарий: Мне кажется, на 250-й Указ уже все подзабили. Ответственности же никакой.

Вопрос: касается изменений в п.5.1 683-П, а именно в части реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения. Просьба раскрыть эту тему. Остается неопределенность - возможно ли продолжать использовать ПЭП в виде смс и пуш (и только), если нет, то что требуется доработать при такой реализации, ведь очевидно, что не будут ФЛ пользоваться КЭП/НЭП. вопрос касается реализации не только в мобильных приложениях , но и для тонкого клиента. Отписки вида, что ЦБ не комментирует конкретную реализацию известны, но до сих пор не понятно как банкам топ-200 и меньше обеспечивать указанную реализацию (можно без примеров вендоров). Хочется понять логику соответствующего данным требованиям решения и что именно закладывал в указанную норму регулятор.

Ответ: Физлица могут продолжать использовать простую электронную подпись в соответствие с требованиями 63-ФЗ.

Вопрос: Что делать в ситуации, когда российские вендор в области ИБ отказывается поставлять свои средства, а также осуществлять их внедрение и настройку, на новых территориях и в Крыму? Особенно в ситуациях, когда на рынке только одно решение такого класса и оно предусмотрено нормативными актами ЦБ или ГОСТом 57580.1.

Ответ: Контактируйте с Банком России.

Вопрос: Согласно ч.4 ст.12 Федерального закона № 152-ФЗ с 1 марта 2023 года уведомление об осуществлении трансграничной передачи ПДн должно содержать перечень иностранных государств, на территории которых планируется трансграничная передача ПДн. Какие сведения необходимо включить в уведомление об осуществлении трансграничной передачи, если Банк передает сведения через SWIFT всему миру, при этом трансграничная передача в иных целях не осуществляется? Планируются ли какие-либо послабления?

Ответ: Сейчас идет диалог с Роскомнадзором в этой части.

Мой комментарий: Я бы сильно не рассчитывал на изменения, так как требования по уведомлению установлены на уровне ФЗ и никакие договоренности не могут этого изменить. А если они и появятся, то в любой момент могут быть отменены или изменены.

Вопрос: Планируется ли получение ФинЦЕРТом аккредитации как центром ГосСОПКА, с целью снижения административной нагрузки по информированию об инцидентах?

Ответ: Да, планируется.

Мой комментарий: В 2018-м году, на Магнитке, на тот же самый вопрос прозвучал ровно такой же ответ. Вообще, за последние 6 лет ситуация в этой части вообще не поменялась. Финансовые организации живут в рамках джентльменского соглашения между ЦБ и ФСБ и оно сейчас устраивает все стороны, которые не хотят ломать сложившуюся практику и инициировать ради этого внесение изменений в ФЗ (а ведь именно он требует отправлять данные об инцидентах одновременно в ФСБ и в ЦБ).

Вопрос: В настоящий момент через ФинЦЕРТ направляются файлы «ежедневные IOC» с перечнем индикаторов по репортам участников на инциденты / события. При этом они не проходят какой-то верификации и выгружаются из средств автоматизировано анализа. В результате половина принадлежит легитимным CDN блокировка которых мешает доставке легитимного контента (обновления MC и пр.), часть принадлежат mail-серверам хостинг провайдеров. В результате из-за компрометации одного клиента в блок уходит весь почтовый траффик хостинг провайдера, где есть большое количество легитимных пользователей. Будет ли меняться процесс их получения/доставки либо организациям на своем уровне нужно строить механизмы верификации полученных IOC-ов

Ответ: Да, будет. В частности в индикаторы добавится больше контекста, например, поля Last Seen / First Seen.

Мой комментарий: Мне не совсем понятно, зачем буквально следовать прилетающим фидам и бездумно засовывать их в средства защиты? Почему нельзя, например, сравнивать прилетающие IOCи с имеющейся TI-платформой и при нахождении новых IOCов проверять их на адекватность? Никто же не блокирует 8.8.8.8 только потому, что этот IP прилетел в фидах от регулятора? Или блокирует?

Вопрос: Каково отношение Банка России к open source?

Ответ: ЦБ понимает необходимость применения open source решений в области ИБ в ситуациях, когда на рынке отсутствуют иные решения, необходимые для обеспечения ИБ финансовых организаций.

Мой комментарий: Тут главное — не забыть учесть еще и требования ФСТЭК и ФСБ, которые вроде на словах тоже не против open source, но в своих документах требуют наличия техподдержки у всех средств защиты, используемых в КИИ.

Вопрос: Сертификация средств защиты информации обязательна или нет?

Ответ: Однозначного требования применения только сертифицированных средств защиты нет. Надо использовать комбинированный подход.

Вопрос: Возможно ли передача банковской тайны в облачные сервисы или иные организации, не имеющие банковской лицензии (например, при расследовании инцидентов)?

Ответ: Готовится ФЗ, который уточнит этот момент.

Вопрос: Сколько прикладного программного обеспечения автоматизированных систем и приложений было сертифицировано ФСТЭК за все время существования требования по оценке соответствия (с 382-П)?

Ответ: Нисколько, но ФСТЭК будет рада это делать.

Мой комментарий: Насчет «ФСТЭК будет рада» у меня есть сомнения. Непонятно, на соответствие чему она должна сертифицировать прикладное ПО, участвующее в переводе денежных средств, если такое ПО не является средством защиты информации?

Вопрос: Согласно положениям Банка России (например, 719-П) ПО должно помимо сертификации в ФСТЭК или ОУД4 должно быть также сертифицировано по УД4 ФСТЭК. Это вместе (то есть две сертификации) или можно все по УД сделать и все?

Ответ: ЦБ не видит проблемы в этом.

Мой комментарий: Мне кажется, ЦБ уже немного сам запутался в своих же требованиях по оценке соответствия. Например, согласно 719-П операторы по переводу денежных средств должны провести оценку соответствия прикладного ПО в виде сертификации ФСТЭК или по ОУД4 ГОСТ 15408-3 (п.1.2), а также провести сертификацию по 5-му УД (4-му — для значимых организаций) согласно 131-го приказа ФСТЭК (п.2.5). Отсюда и возник вопрос — достаточно ли будет просто УД ФСТЭК?

Вопрос: Согласно проекта (под 250-й Указ) «Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими» все финансовые организации должны информировать 8-й Центр ФСБ обо всех доменах и внешних IP до 1 марта 2023, а обо всех их изменениях – постоянно. Кроме того, Указ 250 подразумевает взаимодействие всех финорганизаций с ГосСОПКА. Как изменится взаимодействие с ФинЦЕРТ ввиду выхода этих документов? Надо ли отправлять данные в два адреса или по-прежнему достаточно только в ФинЦЕРТ?

Ответ: Все надо делать через ФинЦЕРТ.

Вопрос: Согласно требования ФЗ-152 с 01.09.2022 уведомления об инцидентах с ПДн надо отправлять в РКН и ФСБ. Это помимо уведомления ФинЦЕРТ?

Ответ: Идет проработка этого вопроса с РКН, чтобы можно было о таких инцидентах сообщать только через ФинЦЕРТ.

Мой комментарий: Вот это было бы хорошо, если все требования по информированию об инцидентах замыкались на ФинЦЕРТ и не надо было каждому регулятору (ФСБ, ЦБ, РКН и т.п.) слать свое собственное уведомление.

Вопрос: АРМ КБР-Н, как ПО, участвующее в переводе денежных средств, проходило оценку соответствия в соответствии с требованиями нормативных актов ЦБ?

Ответ: Да.

Мой комментарий: Но пауза и интонация, с которыми прозвучал ответ, а также ржач в зале, который последовал за ним, подсказывают, что правильный ответ был все-таки «нет» 🙂

Вопрос: Руководство по обеспечению ИБ АРМ КБР требует применения МЭ по 4 классу с сертификатом ФСТЭК России. Руководство Администратора ИБ СКАД «Сигнатура» требует МЭ (СЗИ от НСД) по 4 классу с сертификатом ФСБ России. Т.е. необходимо наличие сертификатов обоих ведомств. Как трактуется это требование при надзоре?

Ответ: Достаточно сертификата ФСТЭК.

Мой комментарий: Но если к вам придет проверка ФСБ, этого будет недостаточно. Из зала также прозвучал комментарий, что проверка ЦБ также требовала сертификата ФСБ на МСЭ.

Вопрос: Когда отменят форму 0409258?

Ответ: Эта форма находится не введении ДИБа.

Вопрос: Ценник на российские средства защиты внезапно поднялся – электронные замки Соболь или DallasLock стоят 60 тысяч рублей. Может ли ЦБ повлиять на разработчиков?

Ответ: Увы, никак.

Мой комментарий: Не знаю, мне кажется, ЦБ мог бы собрать разработчиков и намекнуть им на то, что не надо пользоваться ситуацией и выкручивать руки. И хотя ЦБ говорит, что их игнорируют, мне опять же кажется, что при желании ЦБ бы мог найти нужные слова и аргументы.

Вопрос: Каким образом необходимо формировать модель угроз по 716-П или 779-П?

Ответ: Как считаете нужным. Планов по разработке отдельных требования по моделированию угроз не установлено и не планируется.

Вопрос: Профстандарт специалиста по ИБ КФС будет обязательным?

Ответ: Пока нет.

Вопрос: Тестирование готовности противостоять угрозам в 779-П – это пентесты?

Ответ: Это пентесты и киберучения.

Вопрос: Ранее в стобр было требование о недопустимости совмещения роли разработчика системы и ее сопровождения. Начали смотреть актуальные требования и ни в ГОСТ, ни в других положениях не нашли такого требования. Допустимо ли на текущий момент пускать в продуктив штатных разработчиков с правами только чтение, т.к. так быстрее править баги?

Ответ: Если такого требования нет в ГОСТе, то на ваше усмотрение и исходя из вашей модели нарушителя и угроз.

Помимо указанных вопросов, руководство ДИБ Банка России также озвучило и ряд других моментов:

Сейчас планируют менять 930-й приказ Минцифры в части сроков аудита ЕБС.
Планируется ужесточение контроля времени ответа по операциям без согласия. Ответ надо будет давать в течение 24 часов. Также рекомендую посмотреть ответы ЦБ по данному вопросу.
ТК122 будут перетряхивать, так как (хотя это явно и не было озвучено) складывается впечатление, что многие члены комитета только отбывают в нем повинность, но ни хрена не делают или занимаются отписками, а также неглядя голосуют «за» все вносимые документы. Поэтому сейчас есть возможность у желающих подать свою кандидатуру на вступление в ТК122 (она всегда была).
10-го февраля был утвержден обновленный СТО БР БФБО-1.5-2018 по формам взаимодействия с Банком России (ФинЦЕРТ) участников информационного обмена. В него, среди прочего, включили уведомления по операционной надежности и ряду других вопросов (вроде как по ПДн тоже, но до конца не уверен).
Про инициативу о запрете проведения финансовых операций через мессенджеры ЦБ был не в курсе. Но Департамент НПС уже работает по данному вопросу.

Наконец, в очередной раз встал вопрос о качестве подготавливаемых ДИБом документов, необходимости их ревизии, пересмотру и синхронизации терминологии, сокращению числа «Пешек» и «Ушек», увязывании новых документов с ранее выпущенными.

В чем отличия простоя от деградации и нарушения техпроцесса? А в чем отличие информационных угроз от угроз безопасности информации? А чем отличаются риски ИБ от киберрисков?

Руководство ДИБа предложило сформировать инициативную группу, которая бы смогла не просто огульно обвинять регулятора во всех смертных грехах, а выйти с реальными предложениями, которые можно было бы обсудить и, при целесообразности, принять к рассмотрению. Желающие это сделать могут написать через АСОИ ФинЦЕРТа или Выборнову А.О. Во время обсуждения этого вопроса было поднято 7-8 рук желающих из 200 человек, присутствовавших на закрытой секции.

Не все интересующие отрасль вопросы я задал на закрытой секции, так как часть из них касалась будущих планов Банка России (например, когда ГОСТы 57580.3/4 будут включены в нормативные акты ЦБ), а про это было запланировано несколько отдельных секций на Уральском форуме. Но с учетом написанного вчера про форматы секций не уверен, что эти вопросы были рассмотрены 🙁

Ну и чтобы не делать отдельную заметку, еще парочка новостей, которые имеют отношение к кибербезопасности финансовых организаций:

ТК122 начал рассмотрение проекта стандарта Банка России СТО БР БФБО-1.8-2023 «Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Я получил ответ на вопрос одного из банков, который входит в международную финансовую группу и по корпоративным правилам должен передавать данные об инцидентах в головной SOC. Вопрос касался запрета такой передачи, упомянутой в 368-м приказе ФСБ. Так вот данный запрет касается передачи данных только в специализированные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты; внутренние SOC финансовых организаций в их число не включаются и поэтому согласовывать с НКЦКИ отправку каждого тикета за пределы РФ не нужно.

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).