Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 году

Что год грядущий нам готовит?Обзор изменений в сфере ИБ в 2014 году

Артем Агеев@4rt3m

Агеев Артем Александрович• Руководитель проекта BugHunt

• Заместитель генерального директора ООО «РосИнтеграция» по информационной безопасности

• Личный блог www.itsec.pro

• Твиттер @4rt3m

• [email protected]

http://www.cbr.ru/press/pr.aspx?file=18042014_165029intern1.htm

Критическая уязвимость OpenSSL (Heartbleed)

Информационное сообщение ЦБ РФ от 18 апреля 2014г.О мерах по минимизации риска, связанного с наличием

уязвимости в программном обеспечении «OpenSSL»

проверить свои сервера https://filippo.io/Heartbleed/ обновить OpenSSL сменить криптографические ключи в порядке, определенном в

соответствии с пунктом 2.9.3 Положения Банка России № 382-П довести до клиентов информации о рекомендуемых мерах по

снижению возможных рисков в соответствии с пунктом 2.12.3 Положения Банка России № 382-П

* Кроме Windows XP Embedded

http://support.microsoft.com/lifecycle/?c2=1173

патчей больше не будет! техподдержка не поможет новые версии ПО и драйверов

будут/могут быть несовместимы в продаже нет

30% всех ПК в мире с 8 апреля беззащитны

Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Информационное сообщение ФСТЭК России от 7 апреля 2014 г. N 240/24/1208

http://fstec.ru/component/content/article/64-normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informatsionnoe-soobshchenie-fstek-rossii5

О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННОЙ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS XP В УСЛОВИЯХ ПРЕКРАЩЕНИЯ ЕЕ ПОДДЕРЖКИ

РАЗРАБОТЧИКОМ

необходимо усилить защиту имеющихся аттестованных ИС с Windows XP и запланировать переход на более современную ОС до декабря 2016 года;

все системы с Windows XP, аттестованные до 8 апреля 2014 года, должны пройти дополнительные аттестационные испытания в рамках действующих аттестатов.

СТО БР ИББС 1.0 – 2014. Общие положенияСТО БР ИББС 1.2 – 2014. Методика оценки

РС БР ИББС 2.Х – 2014. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских системРС БР ИББС 2.Х – 2014. Менеджмент инцидентов информационной безопасности

Положение 382-П

• Обязательные требования для всех участников НПС

• Обязательная оценка соответствия до февраля 2014 года, и потом каждые 2 года

• ЦБ РФ обещал подумать над опубликованием внутреннего регламента по контролю за исполнением 382-П

Положение 397-П• Кредитная организация обязана предоставить резервные копии

электронных баз данных по запросу из ЦБ

• банк обязан обеспечить хранение резервных копий не менее 5 лет (п.1.2. Положения);

• резервные копии должны позволять получить необходимую информацию за любой заданный операционный день (п.3.3. Положения) в течение срока хранения;

• должна быть обеспечена возможность определения даты операций (сделки) и номера соответствующего лицевого счета;

• должна быть обеспечена возможность восстановления временной последовательности событий и действий пользователей по внесению изменений в электронные базы данных, а также возможность идентификации лиц, которые вносили данные изменения;

• в кредитной организации должны быть назначены ответственные за ведение, хранение и защиту резервных копий электронных баз данных;

• должны быть разработаны и утверждены соответствующие внутренние регламенты.

Письмо ЦБ от 24 марта 2014 г. N 49-Т про антивирусы

• регулярно проводить обучающие мероприятия;

• органы управления КО должны не реже 1 раза в квартал рассматривать результаты антивирусных мероприятий;

• разработать требования по антивирусной защите клиентов ДБО;

• информировать клиентов ДБО о вирусной активности;

• и другие рекомендации…

Письмо ЦБ от 14 марта 2014 г. N 42-Т

Персональные данные

Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

Роскомнадзор

• Методические рекомендации по обезличиванию• Штрафы за ПДн пока не увеличили

http://rkn.gov.ru/news/rsoc/news17877.htmКадровые вопросы

http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.docО ксерокопиях паспортов и фотографиях в личном деле

• Разъяснения Роскомнадзора

ФСТЭК

• Отменен приказ ФСТЭК/ФСБ/Мининформсвязи 55/86/20 («приказ трёх»)

• Методические рекомендации по защите ГИС от 11 февраля 2014 года

• Разработаны документы по защите виртуальных и облачных инфраструктур, но ещё не утверждены

Спасибо за внимание!