View
233
Download
11
Category
Preview:
Citation preview
Что год грядущий нам готовит?Обзор изменений в сфере ИБ в 2014 году
Артем Агеев@4rt3m
Агеев Артем Александрович• Руководитель проекта BugHunt
• Заместитель генерального директора ООО «РосИнтеграция» по информационной безопасности
• Личный блог www.itsec.pro
• Твиттер @4rt3m
• A.ageev@rosint.net
http://www.cbr.ru/press/pr.aspx?file=18042014_165029intern1.htm
Критическая уязвимость OpenSSL (Heartbleed)
Информационное сообщение ЦБ РФ от 18 апреля 2014г.О мерах по минимизации риска, связанного с наличием
уязвимости в программном обеспечении «OpenSSL»
проверить свои сервера https://filippo.io/Heartbleed/ обновить OpenSSL сменить криптографические ключи в порядке, определенном в
соответствии с пунктом 2.9.3 Положения Банка России № 382-П довести до клиентов информации о рекомендуемых мерах по
снижению возможных рисков в соответствии с пунктом 2.12.3 Положения Банка России № 382-П
* Кроме Windows XP Embedded
http://support.microsoft.com/lifecycle/?c2=1173
патчей больше не будет! техподдержка не поможет новые версии ПО и драйверов
будут/могут быть несовместимы в продаже нет
30% всех ПК в мире с 8 апреля беззащитны
Стандарт безопасности данных индустрии платежных карт (PCI DSS)
Информационное сообщение ФСТЭК России от 7 апреля 2014 г. N 240/24/1208
http://fstec.ru/component/content/article/64-normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informatsionnoe-soobshchenie-fstek-rossii5
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННОЙ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS XP В УСЛОВИЯХ ПРЕКРАЩЕНИЯ ЕЕ ПОДДЕРЖКИ
РАЗРАБОТЧИКОМ
необходимо усилить защиту имеющихся аттестованных ИС с Windows XP и запланировать переход на более современную ОС до декабря 2016 года;
все системы с Windows XP, аттестованные до 8 апреля 2014 года, должны пройти дополнительные аттестационные испытания в рамках действующих аттестатов.
СТО БР ИББС 1.0 – 2014. Общие положенияСТО БР ИББС 1.2 – 2014. Методика оценки
РС БР ИББС 2.Х – 2014. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских системРС БР ИББС 2.Х – 2014. Менеджмент инцидентов информационной безопасности
Положение 382-П
• Обязательные требования для всех участников НПС
• Обязательная оценка соответствия до февраля 2014 года, и потом каждые 2 года
• ЦБ РФ обещал подумать над опубликованием внутреннего регламента по контролю за исполнением 382-П
Положение 397-П• Кредитная организация обязана предоставить резервные копии
электронных баз данных по запросу из ЦБ
• банк обязан обеспечить хранение резервных копий не менее 5 лет (п.1.2. Положения);
• резервные копии должны позволять получить необходимую информацию за любой заданный операционный день (п.3.3. Положения) в течение срока хранения;
• должна быть обеспечена возможность определения даты операций (сделки) и номера соответствующего лицевого счета;
• должна быть обеспечена возможность восстановления временной последовательности событий и действий пользователей по внесению изменений в электронные базы данных, а также возможность идентификации лиц, которые вносили данные изменения;
• в кредитной организации должны быть назначены ответственные за ведение, хранение и защиту резервных копий электронных баз данных;
• должны быть разработаны и утверждены соответствующие внутренние регламенты.
Письмо ЦБ от 24 марта 2014 г. N 49-Т про антивирусы
• регулярно проводить обучающие мероприятия;
• органы управления КО должны не реже 1 раза в квартал рассматривать результаты антивирусных мероприятий;
• разработать требования по антивирусной защите клиентов ДБО;
• информировать клиентов ДБО о вирусной активности;
• и другие рекомендации…
Письмо ЦБ от 14 марта 2014 г. N 42-Т
Персональные данные
Территориальным учреждениям Банка России при осуществлении надзора за деятельностью кредитных организаций следует учитывать случаи выявления недостатков в деятельности, связанных с исполнением норм Федерального закона от 27.07.2006 N 152-ФЗ, и рассматривать их как негативный фактор при оценке качества управления кредитной организацией, в том числе оценке организации системы внутреннего контроля в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".
Роскомнадзор
• Методические рекомендации по обезличиванию• Штрафы за ПДн пока не увеличили
http://rkn.gov.ru/news/rsoc/news17877.htmКадровые вопросы
http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.docО ксерокопиях паспортов и фотографиях в личном деле
• Разъяснения Роскомнадзора
ФСТЭК
• Отменен приказ ФСТЭК/ФСБ/Мининформсвязи 55/86/20 («приказ трёх»)
• Методические рекомендации по защите ГИС от 11 февраля 2014 года
• Разработаны документы по защите виртуальных и облачных инфраструктур, но ещё не утверждены
Спасибо за внимание!
Recommended