В этом посте расскажем о последних изменениях стандартов и нормативных актов по ИБ, а также о реальной необходимости их применения в текущих условиях. Кроме того, рассмотрим, какие сложности сейчас возникают с поддержанием необходимого уровня защищенности в условиях недоступности подписок и поддержки на средства защиты информации.
В 2022 году произошли изменения в требованиях к защите информации. Обновления в нормативной базе и в стандартах происходят постоянно, но в этот раз они стали более заметны в связи с уходом из РФ некоторых производителей и последовавших изменений на рынке ИТ и ИБ.
В статье мы рассмотрим следующие темы:
Изменения в стандарте PCI DSS и применимость стандарта в целом.
Новые требования к ИБ ЦБ РФ.
Изменения в положении об аттестации.
Подход к поддержанию защищенности с отзывом подписок и поддержки на некоторые средства защиты информации.
Приказ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Оценка критичности внесения изменений в статус соответствия.
Изменения в стандарте PCI DSS и применимость стандарта в целом
Кратко: стандарт PCI DSS действует и продолжает быть нужным. Усложнились требования на соответствие ему, однако, значительная их часть выполняется достаточно легко.
Подробнее: стандарт PCI DSS не является государственным или национальным, он разработан Советом (PCI Council), и к нему присоединяются разнообразные платежные системы: Visa, Master, UnionPay, «Мир» и т.д.
Стандарт широко распространенный и зрелый, с понятными и привычными принципами, четкими правилами проверки и налаженной системой обучения и аккредитации аудиторов. Поэтому для платежных систем достаточно выгодно и удобно присоединиться к существующему стандарту, а не создавать свой.
Цепочка применения стандарта выглядит так: платежные системы, приходя в новую страну, подключают несколько крупных банков или процессинговых центров, и требуют от них:
Соответствовать PCI DSS.
Требовать соответствия PCI DSS от собственных клиентов (получающих доступ к платежной системе через эти крупные процессинговые центры).
В России подключение к платежным системам осуществляется через процессинг НСПК. НСПК еще и является оператором платежной системы «Мир», которая присоединилась к PCI DSS.
Таким образом, на территории России решения о соответствии PCI DSS принимает НСПК. И официальная позиция НСПК – необходимо продолжать соответствовать PCI DSS.
Кроме того, так как НСПК требует подтверждения соответствия клиентов от крупных банков и процессинговых центров, то и они в свою очередь продолжают требовать соответствия от своих клиентов и могут приостановить подключение к платежным системам при несоответствии.
Сложности в обеспечении соответствия стандарту такие:
Для успешной сертификации необходимо пройти ASV-сканирование на уязвимости. ASV-сканирование – это сервис, при оказании которого вендор (имеющий статус ASV) подтверждает корректность и применимость отчета. Абсолютное большинство сканирований производилось с помощью услуги от компании Qualys, которая ушла с рынка РФ. Но ASV-вендоров много, и найти другого – можно. Например, с помощью вашего PCI-аудитора.
Для успешной сертификации необходимо регулярно устанавливать обновления безопасности и обновления сигнатур средств защиты (антивируса, IPS, WAF и т.д.) Некоторые производители ушли с рынка, и обновления для них теперь не достать. Способ тут один – обновить сигнатурные средства защиты на что-то, для чего доступны обновления. В качестве временной меры можно перейти на публичные фиды сигнатур в snort-формате.
Новые требования ЦБ РФ
Банк России достаточно активно взялся за обновление и внедрение новых требований в части обеспечения информационной безопасности за последние два года.
ЦБ активно внедряет риск-ориентированный подход и разрабатывает массу документов, детализирующих требования по обработке операционных рисков.
В этом году сумма изменений сложилась в единую и целостную картину:
Обновились положения по защите информации для некредитных финансовых организаций и при осуществлении переводов средств: положения 757-П, 747-П и 719-П (вместо старых 684-П, 672-П и 382-П соответственно);
Опубликованы требования по обеспечению отказоустойчивости и операционной надежности для кредитных организаций (Положение 787-П), и для некредитных финансовых организаций (Положение 779-П).
Наиболее интересными в контексте этой статьи являются требования по отказоустойчивости. И одним из быстрых способов внедрения является перевод всех старых или проблемных активов на сервисную модель — например, в облака с заранее оговоренным SLA.
ЦБ внедряет риск-ориентированный подход, в том числе в ИТ и ИБ, требующий очень много всего.
В части ИТ:
обеспечивать отказоустойчивость;
подбирать подрядчиков, например, облачных провайдеров, обеспечивающих подходящий уровень отказоустойчивости;
разработать требования к «функциональному качеству», грубо говоря, архитектурные требования к подсистемам: какие можно использовать ОС, ПО, методы аутентификации, методы интеграции с БД, и т.д.
В части ИБ:
подбирать подрядчиков, например, облачных провайдеров, обеспечивающих требуемый уровень соответствия применимым требованиям по ИБ.
Изменения в положении об аттестации
Это достаточно консервативная часть информационной безопасности, тем не менее, она тоже меняется. Из свежих обновлений - Приказ ФСТЭК России №77 от 29.04.2021 «Порядок организации и проведения работ по аттестации объектов информатизации».
В этом приказе особенно хотелось бы отметить пункты №№ 32 и 33, регламентирующие действия при изменении аттестованной системы. Раньше аттестованную систему нельзя было изменять, но при незначительных изменениях можно было проводить периодический контроль.
Теперь периодический контроль обязательно надо проводить не реже одного раза в два года в любом случае (даже при отсутствии изменений). И протоколы испытаний необходимо предоставлять во ФСТЭК.
А при незначительных изменениях надо проводить процедуру «дополнительных аттестационных испытаний». В процессе этой процедуры вносятся изменения в Паспорт системы и подтверждается актуальность аттестата (с сохранением его номера).
Сложности информационной безопасности: есть ли замена ушедшим с рынка решениям
Возможность поиска решений может быть ограничена для компаний, входящих в санкционные списки или отнесенных к критическим элементам инфраструктуры и государственных информационных систем.
Для компаний, не подпадающих под вышеуказанные ограничения, выбор чуть больше:
Приобретение подписок и обновлений через аффилированные юридические лица вне РФ;
Перевод инфраструктуры на open source;
Использование существующих средств защиты с поддержкой от российских компаний и наполнение подписок из других источников. Например, некоторые российские компании анонсировали разработку собственных сигнатур, совместимых по формату с распространенными западными средствами защиты.
Для компаний, попавших под более строгие ограничения, пока что решение видится в переходе на средства защиты, доступные для покупки и сопровождающиеся поддержкой на территории РФ. Т.е. решения из стран, не входящих в перечень недружественных (Китай, Израиль), или на российские решения. А также использование open source.
Приказ Президента РФ №250 от 01.05.2022
К приказу разработан перечень организаций, подпадающих под его действие. Эти организации должны были в ближайшее время оценить уровень своей информационной безопасности и наладить процесс информирования об инцидентах ИБ.
Очевидно, что из этого приказа следует, что:
Оценивать надо по методологии, которая на момент написания статьи еще не опубликована, но скорее всего будет охватывать больше тем и мер защиты, нежели Приказ ФСТЭК №21.
Из оценки логично следует необходимость улучшать этот уровень защищенности. Требований, к сожалению, также пока что нет.
-
Для того, чтобы информировать об инцидентах, необходимо настроить логирование событий так, чтобы:
Видеть в логах отображение инцидентов в бизнес-процессах. Включая отказы, нарушения отказоустойчивости и т.п.
Собирать и коррелировать эти логи.
Да и для подключения к ГосСОПКА необходимо выполнить некоторые мероприятия по защите информации.
К сожалению методология оценки и улучшения защищенности информационных систем еще не опубликована, поэтому пока больше подробностей нет.
Итог: как оценивать для себя критичность изменений в законодательстве в новых условиях?
Конкретный roadmap у каждой компании будет уникален, но общий порядок действий таков:
Идентифицировать ИТ и ИБ активы, оставшиеся без поддержки и подписок или обновлений.
Определить, применимы ли способы получения поддержки и обновлений или подписок для существующего оборудования. Для оборудования, обеспечивающего функционирование критичных процессов, для которого нет возможности получать обновления и поддержку, необходимо запланировать замену.
Если компания относится к финансовому сектору, то оценить свое соответствие требованиям по отказоустойчивости. Возможно, вместо замены оборудования логично сразу переносить системы к сервис-провайдерам: и оборудование менять не понадобится, и SLA появится.
В зависимости от видов деятельности, проверить возможность продления статусов соответствия (в части ГОСТ и PCI DSS в первую очередь): замену оборудования в платежных сегментах нужно планировать в срок до начала переоценки или пересертификации. Если же срок переоценки или пересертификации близок, то необходимо обсудить с аудитором применимые компенсирующие меры.
В случае, если информационная система аттестована – то сначала провести все мероприятия по замене. И только потом делать дополнительные аттестационные испытания.
Didimus
Какие изменения с переводами? Неужели можно будет отзывать? Вот это был бы реальный шаг в направлении безопасности
Shaman_RSHU
И породить +100500 новых схем мошенничества
Didimus
Магазины как-то борются с возвратами товаров же, и ничего
Kifir42 Автор
Действительно, есть некоторые изменения, а также предлагаемые со стороны ЦБ РФ меры, правда они относятся скорее к экономической безопасности, и на технические меры скорее опираются как на инструменты.
Грубо говоря:
Банки должны иметь антифрод-систему, по которой, в том числе проверяются разные параметры, позволяющие вовремя определить: а не является ли кто-то из сторон сделки террористом, отмывателем денег (ПОД\ФТ), или еще кем-нибудь нехорошим. Это уже давно так;
ЦБ ведет реестр нехороших мошенников, и номеров их счетов и карт;
Банки должны данные из этого реестра загружать в свой антифрод, и если клиент совершает перевод на счет или карту из реестра - как минимум задерживать платеж на несколько дней (на "период охлаждения");
Реестр пополняется в том числе (и в большой степени, честно говоря) самими банками: если кто-то из клиентов жалуется на мошенническую деятельность, то банк должен принять сообщение, как-то его проверить, и внести упомянутые в жалобе счета или номера карт в реестр. И отправить в ЦБ.
Еще по новым изменениям - банки должны как-то сами (превентивно) выявлять карты "дропов" и счета мошенников - например, поддельные карты, или карты не находящиеся под контролем формальных владельцев, их их тоже вносить в реестр.
Это даст возможность останавливать волны краж - условно, после первой порции жертв мошенников и жалоб от них - карта попадает в реестр, новые платежи на нее задерживаются, у следующих жертв появляется несколько дней, чтобы отменить перевод и вернуть деньги.
С другой стороны - банки как-то должны проверять переводы на большее количество параметров, соответственно будут сильнее всего бояться, чаще проверять переводы на законность, нужность, отсутствие злого умысла и т.д., - и переводы могут начать ходить медленнее.