Что готовит нам законодательство по ИБ?

Не раз обращаясь на страницах IT Manager к теме регулирования информационной безопасности, я вновь решил это сделать. Тем более что и повод есть — принятие целого ряда важных нормативных актов, которые зададут тон в реализации как ИТ-стратегии предприятия, так и его проектов по информационной безопасности (ИБ).

Указание Банка России № 3361-У

14 августа Банк России утвердил, а в сентябре опубликовал новое указание от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», которое вступает в силу с 16 марта 2015 года.

Положение № 382, в которое внесены изменения, хорошо известно банковским безопасникам, а также специалистам по ИБ различных платежных систем, на чью деятельность оно распространяется в полной мере. Положение устанавливает перечень организационных и технических мер, которые должны быть реализованы для защиты информации о денежных переводах. За прошедшие два с небольшим года, что оно действует, в него уже второй раз вносят коррективы; на этот раз достаточно серьезные. Пройдемся по ним.

Все изменения могут быть разбиты на пять блоков:

• Обновленные требования к обеспечению ИБ на этапах жизненного цикла платежной инфраструктуры и приложений.
• Обновленные требования к обеспечению ИБ при использовании Интернета.
• Новые требования по безопасности банкоматов и платежных терминалов.
• Новые требования по безопасности платежных карт.
• Новые параметры оценки выполнения требований 382-П.

Надо заметить, что Банк России планомерно усиливает требования по обеспечению безопасности в тех ключевых областях, которые представляют наибольший интерес для злоумышленников. В частности, при использовании систем дистанционного банковского обслуживания (ДБО), часто страдающих от рук мошенников, теперь необходимо:

• Применение систем одноразовых паролей.
• Установление различных ограничений на осуществление денежных переводов в ДБО — максимальная ежедневная и ежемесячная сумма, список получателей, перечень устройств, с которых можно переводить деньги, список услуг, оказываемых через Интернет, временные отрезки для совершения денежных переводов..
• Сопровождение передаваемого клиентам программного обеспечения для оказания услуг ДБО соответствующей программой, которая может контролировать целостность переданного ПО. Это простое на первый взгляд требование бывает достаточно сложно выполнимым на практике, поскольку зачастую средства контроля целостности считаются средствами криптографической защиты информации (СКЗИ), чье распространение достаточно серьезно регулируется действующим законодательством и надзирающей за этой сферой ФСБ России.
• Оперативная блокировка доступа к ДБО в случае получения от клиента уведомления о несанкционированном снятии денежных средств или иных попытках компрометации ДБО клиента.

Раздел о защите банкоматов и платежных терминалов схож с 34-м письмом Банка России, которое было утверждено 1 марта 2013 года и содержало рекомендации по повышению защищенности указанных устройств. Теперь эти рекомендации превратились в обязательные к исполнению требования. В частности, теперь необходимо:

• Классифицировать места установки банкоматов и платежных терминалов с учетом ряда параметров, влияющих на их безопасность.
• Устанавливать антискиммеры и иное оборудование, препятствующее установке злоумышленниками средств «снятия» копий платежных карт или нажатий на клавиатуре PIN-кода.
• Размещать на лицевой панели банкомата или терминала целый букет сведений о их владельце и порядке действий клиента в случае каких-либо мошеннических действий.
• Периодически контролировать состояние банкоматов и терминалов с целью обнаружения внедрения вредоносного кода, изменения программной или аппаратной части.
• Контролировать действия привлекаемых к обслуживанию банкоматов и терминалов лиц.

Нововведения, касающиеся безопасности платежных карт, оказались не столь значительными. По сути, с 1 июля 2015 года запрещается выдача банками своим клиентам карт без чипа. С этого момента на территории России будут выдаваться только чиповые (в том числе и совместно с магнитной полосой) карты. Хождение карт только с магнитной полосой будет разрешено до окончания срока их действия.

В разделе 382-П, посвященном обеспечению ИБ на различных этапах жизненного цикла платежной инфраструктуры, появилось четыре новых требования:

• При собственной или заказной разработке, а также при приобретении банковских приложений необходимо проверять выполнение приложением требований 382-го положения.
• Обязательность устранения уязвимостей в финансовых приложениях, а также контроль использования среди клиентов только актуальных версий приложений.
• Распространяемое среди клиентов банковское приложение должно сопровождаться соответствующей инструкцией по эксплуатации.
• Любые изменения в ПО или «железе», используемом клиентом для перевода денег, должны быть регламентированы и контролироваться банком (а не клиентом).

Помимо изменений в 382-П, Банк России подготовил и разрабатывает еще ряд поправок в свои нормативные акты. Они, в частности, коснутся требований по защите облачных технологий, виртуализации, аутсорсинга, по выбору DLP-решений, по расширению сферы действия СТО БР ИББС на некредитные организации. В целом надо признать, что сегодня банки в России являются самыми зарегулированными предприятиями с точки зрения ИБ.

На банки, как и на остальные работающие на территории России организации, распространяется и законодательство по персональным данным, которое вот уже больше восьми лет регулярно претерпевает изменения. Не был исключением и год 2014-й. Наиболее значительными стал выход 242-го Федерального закона о запрете хранения персональных данных (ПДн) россиян за границей в июле и приказа № 378 ФСБ по защите персональных данных с помощью СКЗИ в августе.

Приказ ФСБ № 378

Долгожданный приказ ФСБ, который наконец-то поставил точку в вопросе о наличии легитимных требований по защите персональных данных с помощью шифровальных средств (две методички 2008 года легитимными не были). Он зарегистрирован в Минюсте, опубликован в «Российской газете» и 28 сентября 2014-го вступил в действие. Начиная с этого момента в случае использования СКЗИ для обеспечения конфиденциальности ПДн, такое применение регулируется исключительно 378-м приказом ФСБ, согласно которому все СКЗИ должны быть только сертифицированными, и никакими иначе.

Сразу хочу отметить, что рынок сертифицированных СКЗИ в России очень мал и для большинства применений (магистральное шифрование, защита iSCSI или Fiber Channel, доступ с мобильных устройств, трансграничная передача и т. п.) продуктов, имеющих заветную бумагу ФСБ, попросту нет. В таком случае я бы порекомендовал уходить от использования СКЗИ и обеспечивать решение задачи с конфиденциальностью другими способами:

• Получить согласие субъекта на передачу его ПДн в открытом виде (так поступает, например, портал госуслуг).
• Сделать ПДн общедоступными (как делает, в частности, ОАО РЖД на своем сайте).
• Правильно провести границу своих ИСПДн, исключив из них Интернет (так поступает, например, Правительство РФ).
• Обеспечить контролируемую зону.
• Использовать оптические каналы связи и правильную модель угроз.
• Применять соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование с паролем.
• Переложить задачу обеспечения конфиденциальности на оператора связи.
• Передавать в канал связи обезличенные данные.

Если вас подобные сценарии не устраивают (хотя на многих заседаниях, где обсуждался проект 378-го приказа, сотрудники ФСБ именно так и рекомендовали делать), у вас остается только вариант с применением сертифицированных СКЗИ, уровень сертификации которых зависит от имеющихся возможностей нарушителя. Приказ № 378 предлагает следующие уровни сертификации применяемых СКЗИ:

• КС1 — если против вас может действовать внешний злоумышленник.
• КС2 — если против вас может действовать внутренний злоумышленник, не имеющий доступа к средствам шифрования.
• КС3 — если против вас может действовать внутренний злоумышленник, имеющий доступ к средствам шифрования.
• КВ — если против вас действует злоумышленник, имеющий возможность привлекать специалистов или целые НИИ для проведения криптоанализа ваших средств шифрования.
• КА — если против вас может действовать спецслужба иностранного государства или у нарушителя вероя тен доступ к исходным кодам среды функционирования средства шифрования. Например, если ваши сертифицированные VPN работают на Linux, формально они должны иметь сертификат по классу КА, так как исходные коды среды Linux у нас доступны всем желающим.

Иными словами, новый 378-й приказ ФСБ очень сильно осложняет жизнь операторам персональных данных и заставляют их либо сознательно занижать свою модель нарушителя (так, многие организации прописывают для себя модель Н2 и соответствующие ей СКЗИ класса КС2), либо вовсе уходить от применения СКЗИ в пользу других методов обеспечения конфиденциальности.

Федеральный закон № 242-ФЗ

Про этот нашумевший летом закон говорить сложно. Он противоречит не только здравому смыслу (передавать данные за границу можно, а хранить нельзя) и принятым Россией международным обязательствам (например, в части ратифицированной нами Евроконвенции по защите прав субъектов персональных данных при их автоматизированной обработке), но и сложившейся бизнес-практике. Данный закон ставит под вопрос возможность бронирования зарубежного отдыха и командировок, лечения и обучения за границей, участия в зарубежных мероприятиях, осуществления международных денежных переводов (в них ведь тоже циркулируют ПДн россиян в качестве отправителей или получателей денежных средств), деятельности кадровых служб международных компаний и т. п.

Но несмотря на явную невыполнимость закона в установленные сроки (к 1 сентября 2016 года), и депутаты, и Минкомсвязь, и Роскомнадзор делают вид, что все нормально и закон не представляет никакой трудности для исполнения. Такого же вывода придерживается и Администрация Президента, которая в достаточно жесткой форме отвечает на все аналогичные запросы от частных лиц либо от бизнес-сообщества. По мнению российских властей, с целью защиты персональных данных россиян должно быть запрещено зарубежное хранение таких ПДн. При этом не допускается хранения за рубежом никаких копий.

Мне довелось участвовать в нескольких встречах с российскими регуляторами и на каждой из них звучала мысль, что закон меняться не будет и он останется в том же виде, что и сейчас. Единственное исключение, которое может быть сделано, — сдвиг срока вступления закона в силу с 1 сентября 2016 на 1 января 2015 года; такой законопроект уже подготовлен, внесен в Госдуму и даже принят в двух чтениях.

Помимо основной части, касающейся запрета хранения ПДн россиян за рубежом, 242-ФЗ выводит Роскомнадзор из под действия закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля (надзора)». Если это произойдет, то Роскомнадзор сможет проводить свои надзорные мероприятия, не озираясь на прокуратуру, не согласовывая с ней планы проверок, не ограничиваясь одной проверкой в три года.

Из трех рассмотренных мной в статье нормативных актов ФЗ-242 является худшим из всех. Последствия от вступления его в силу совершенно непредсказуемы, как и практика его правоприменения, которая пока отсутствует. Остается только ждать.

В заключение же мне хотелось бы отметить, что нормативные акты по информационной безопасности, принятые за последнее время, лишний раз показывают, что сбрасывать их со счетов не следует ни безопасникам, ни айтишникам, которым при реализации своих ИТ-проектов придется учитывать требования, не всегда простые в исполнении.