俄央行在新形势下保障金融机构信息安全的要求
——浅析俄罗斯382-P信息安全法案
中国工商银行(莫斯科)总经理助理 郑祥星
近年来,金融科技发展迅猛,各种新产品、新技术层出不穷,特别是基于移动互联网技术发展的产品,给人们的工作和日常生活带来极大便利。与此同时,网络信息安全的问题也逐步引起了大家的关注和重视。2018年5月,俄罗斯中央银行(以下简称“俄央行”)副行长Westerovsky宣布,在俄央行下单独新设信息安全部,从原来的安全和信息保护部中独立出来,旨在加强金融机构信息安全,打击网络犯罪,以应对愈发复杂的新形势。7月1日,新版俄央行382-P信息安全法案“关于资金汇划保障信息安全的要求和俄央行对资金汇划保障信息安全要求的执行情况进行监督的程序规定”(以下简称“信息安全法案”)生效。382-P信息安全法案还明确规定,银行需要单独设立信息安全服务团队,该团队不隶属银行科技部,并由银行不同高管分管。因此,俄央行在组织架构和法律制度等方面都采取了相应措施,加强防控,以确保金融领域信息安全。
一、俄央行信息安全法案的总体要求
俄央行的信息安全法案首次发布于2012年,2018年是发布后第二次修订。上一次修订是2013年(主要内容在2014年开始生效),从129个主评分项增加到142个,主要新增部分是保障自助渠道资金汇划的信息安全要求。本次修订主评分项个数不变,但内容进行了更新,并新增8个子评分项,进一步加强了对软件认证、移动端互联网渠道、个人数据保护等信息安全要求。俄央行的信息安全法案的总体要求包括:
(1)金融机构应制定一套关于382-P信息安全法案所有要求的内部制度,制度中需描述满足要求的所有措施。
(2)实施制度中所有描述的措施需监督其执行,并有相关日志材料可查。
(3)具备必要的设施实施信息保护和反病毒保护。
(4)定期监测信息保护和反病毒保护的运作和使用情况。
(5)制定内部计划,培训和提高金融机构员工在信息安全领域的意识,并定期开展员工培训。
二、俄央行信息安全法案的评价方法
金融机构信息安全团队需要通过分析机构内部的规章制度,整理出相关措施和信息保护工具,调阅相关日志材料,根据382-P信息安全法案要求,填写142个主评分项和子评分项的得分。对于每个评分项,根据检查类别要求分类成1级、2级和3级,得分分值为从0到1的数值。
例如,对1级检查:
(1)完全没有执行资金汇划保障信息安全的要求,评估分数为0。
(5)对所有客户支付交易要求强制分离成信息提交和信息确认两个步骤,特别是对电子银行系统,这项要求于2020年1月1日生效。
(2)有制度,但没有措施或硬件保护,评估分数为0.25。
(3)有制度,但没有完全按制度执行相应措施或硬件保护,评估分数为0.5。
通过对142个评分项打分后,分成两个评分集加权后取算术平均数分别为
和
,这两个数中的低值
为最后信息安全评分结果。
(5)完全执行资金汇划保障信息安全的要求,评估分数为1。
(4)有制度,但差一点完全按制度执行相应措施或硬件保护,评估分数为0.75。
(1)如果评分结果大于或者等于0.85,说明信息安全的工作在必要的水平上确保完成了规定的要求(评估值为“好”)。
在约会之外的时间,她从不与他们联系。没有短信、电话,只是约定俗成的见面,秘密沉默地推进。这重新回复的渴求,使她明白内心有一处陷落并未被填补。有时她觉得走在哪里都是一样。在这个地球上,走东走西,生活在哪一个角落,耳边响起的是哪一种语言,身边走过的是哪一种肤色的人群。贞谅从小给予她四海为家的生活,使她突破对空间概念性的界限。唯一相续的,只是孤独。
(2)如果评分结果
大于或者等于0.70,小于0.85,说明信息安全的工作总体上确保完成了规定的要求(评估值为“满意”)。
关于握手礼的起源有两种说法:第一种是说中世纪的骑士们为了表示互相尊重,就脱下右手的护具,伸出右手和对方握一握;第二种是说原始社会的人遇到陌生人时,就会把手里的武器扔掉,并让对方摸摸掌心,以示友好,后来慢慢演化成握手礼。在中国,握手礼最早是由孙中山先生倡导的,出现在辛亥革命之后。
(3)如果评分结果
大于或者等于0.50,小于0.70,说明信息安全的工作没有全部保证完成规定的要求(评估值为“可疑”)。
该信息安全法案要求金融机构每两年评估一次并上报俄央行,每一次评估后,金融机构有两年的时间根据新法案要求和自己评估发现的薄弱环节进行改进。据不完全了解,在俄中资银行平均评分结果处于“满意”水平。
(4)如果评分结果
低于0.50,说明信息安全的工作没有保证完成规定的要求(评估值为“不及格”)。
互联网一直以来被视为第三次工业革命的产物,标志着人类文明进入到信息化数字化智能化时代,人们有意无意间享受到了互联网带来的便捷和多彩,交往方式、购物方式、生活方式、学习方式等都发生了深刻变化,互联网的身影渗透到社会的各行各业、各个方面,顺时代潮流者昌盛,逆时代潮流者终将被摒弃。随着时代发展,会计信息处理需要更实时、集中、规范、高效,预算管理、财务管理、风险控制等制度需要更完善,根据环境变化参与动态预测和分析、提供实时决策支持的地位要求更突出,互联网技术正好解决了这一难题,为会计理论体系演进升级提供了技术支撑。可见,会计教育教学也应跟上时代步伐,接受时代洗礼,适应时代发展。
三、新版信息安全法案的变化
传统上,俄央行一直是俄罗斯联邦网络安全的创新者,它会将俄罗斯国家标准(GOST)作为强制性要求引入,虽然俄罗斯的国家标准只是一个推荐标准。俄央行下的FinCERT(金融领域计算机应急响应团队,目前并入俄央行新成立的信息安全部)强制要求各家金融机构每月报告信息安全事件。本次发布的新法案主要变化是:
(1)它澄清了信息安全事件的概念,现在包括“由于违反或企图侵犯受保护信息的完整性,机密性和(或)可用性而产生的事件,也包括俄央行在网站上列出的事件”。
(2)用于进行资金汇划的应用软件必须经过认证,以确定其是否存在安全漏洞,或者对已有安全漏洞进行分析。目前尚不清楚这里定义的应用软件包含哪些范围,不过该要求将于2020年1月1日生效。
(3)需要聘请有资质的第三方机构对电子银行系统进行渗透性测试并分析基础设施的安全漏洞。
EOS 5DS及EOS 5DS R这两款相机都使用了佳能全新的全画幅CMOS图像感应器,实现5060万有效像素。5DS R与5DS相比,取消了低通滤镜效果,更进一步提升图像的解像感(类似于尼康D800E和D800的关系)。配合双DIGIC 6数字影像处理器,这两款机型在高像素下能够实现5张/秒高速连拍能力,另外均搭载61点高密度网状阵列自动对焦感应器以及15万像素RGB+红外测光感应器。人工智能伺服对焦III代配合EOS iTR(智能追踪与识别)自动对焦技术则具备对于运动物体的出色捕捉力。为了能更好发挥5060万像素的优势,这两款机型上还使用了反光镜振动控制系统等技术。
(4)阐明了必须使用经过认证的MICP(信息加密保护工具)保护个人数据的信息安全。
为贯彻落实习近平总书记对广东提出“四个走在全国前列”要求,加快建立现代财政制度,建立全面规范透明、标准科学、约束有力的预算制度,全面实施绩效管理,打造“大财政、大预算”格局,提升财政资源配置效率,提升经济社会高质量发展保障能力,2018年5月,广东省印发实施了《关于深化省级预算编制执行监督管理改革的意见》,提出十二条改革措施,推动预算编制执行监督管理改革“两转变、两精简、两提高”,即通过转变财政财政管理重心,转变部门权责配置;精简财政资金项目审批事项,精简预算执行流程;提高部门、市县推动改革发展的积极性,提高资金使用效益,为广东实现“四个走在全国前列”目标提供坚实的财政保障。
外语语言教学不但要让学生树立“知彼”的文化观(目的语文化),更要培养“知己”的文化意识(母语文化)。在教学中鼓励两种文化的互动,既要让学生学习西方文化,吸收和借鉴西方文化的精华,也要保持知己的民族文化身份,输出中国文化的精髓。(贺宏志、周建设,2013:13-37)
(6)该法案的评估主体从金融机构自我评估要求转由第三方审计公司进行评估。
鉴于信息技术在金融行业的重要性不断提升以及网络威胁数量不断增加的现状,俄罗斯监管机构一方面试图精简监管模式,另一方面不断提高网络安全要求。从金融机构角度来看,这些安全措施可被视为非常重要和必要,但考虑到新要求实施的难度和复杂度,对于金融机构的技术要求和财务要求将是非常复杂和昂贵的。
秦明月等直奔毛德君位于西区三楼的办公室,毛德君作为医院的特殊人才拥有自己独立的巨大办公室,他坐诊时则是下到二楼的办公室。办公室中虽然多日没有主人了,但是仍然被打扫得纤尘不染,几盆绿色植物也被打理得生机勃勃。毛德君的现任助手是一个相貌普通的女性研究生。
目前,俄罗斯银行机构间规模是非常不平衡的(最大的银行俄罗斯储蓄银行,无论是资产规模还是全年利润都占到全国一半以上,而中国工农中建四大行加起来占比不到全国一半),对于中小型银行包括在俄中资银行而言,新要求的负担将是“非常沉重”的,这就要求各家银行在信息安全保护程度和成本投入之间找到一个都能接受的平衡点。
四、与我国信息安全管理要求的异同及思考
近几年是俄罗斯信息安全领域监管要求的多产期,已陆续出台多个法案或决议,包括有关个人信息保护的152、242、1119等方案或决议,161支付体系法案中对信息安全保护的要求,还有俄罗斯联邦技术与出口监察局的21号关于加密要求的决议等。俄央行根据行业的特点,结合国家层面的信息安全要求出台了382-P金融行业的信息安全法案。该法案的出台背景与我国类似。
唐纳森作为全球过滤行业领导者之一,早在70年代就进入中国展开业务,并于1997年在无锡建厂。无锡现有工厂占地面积60 000平方米,拥有员工1200人,主要生产发动机过滤和工业过滤产品。作为一家扎根中国多年的企业,唐纳森始终坚持以本土制造服务于本土客户,随着唐纳森在中国乃至亚洲地区业务的不断增长,目前工厂的产能已接近饱和。在无锡政府的大力支持下,唐纳森决定在无锡投资建立新的工厂。
我国的信息安全保护工作起步于20 世纪90年代,随后相继颁布了多个等级保护标准,主要是以信息安全等级划分为主要保护方式,有定级标准《信息系统安全等级保护定级指南》(GB/T 22240-2008)与建设标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)。金融行业作为信息化行业的一个重要组成部分,在2012 年发布了三项行业标准:《金融行业信息系统信息安全等级保护实施指引》(以下简称《实施指引》)、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》,分别规定等级划分的具体要求、如何测评以及对测评单位的要求。
俄罗斯382-P信息安全法案规定了具体保护要求和评分规则,在最新修订的版本里提出了第三方参与测评的要求,但详细要求还有待俄央行进一步公布。从法案内容架构看,382-P信息安全法案从三个程度提出对金融机构的信息安全保护要求:内部是否有制度要求;是否有配套的措施或工具平台;相关措施或流程是否有文档或日志可检查。并依据评分体系对每个金融机构进行总体评价和提出改进要求。
石门水电站增效扩容工程实施后自动化程度将大大提高,可达到无人值守或少人值守,经测算可减少运行管理职工80人。该项费用为负值。估算人均年减少费用4.65万元。
我国的信息安全《实施指引》以国家等级保护要求为原则,兼顾技术和管理要求形成“一个中心,三重防护”的技术保障体系和PDCA(计划、执行、检查、处理)四个过程的管理体系。本质上两国要求都是相似的,包括制定信息安全管理要求,明确检查评价方法,强制周期性检查,找出差距,进行改进,提升安全防御水平。相比较而言,我国的信息安全的三个法案比较清晰,易于落地检查执行。但在具体举措方面,俄罗斯信息安全法案还是有值得我们借鉴的地方:
(3)提高司法责任感之需。[5]司法是社会公正的最后一道防线,关乎国之根基。就像医生是救死扶伤的天使一样,法官历来是正义的化身,民众尚不能容忍行政腐败,更不能容忍司法腐败。要防止、减少和杜绝司法腐败的发生,就需要加强对司法的监督,而司法赔偿制度就是一种变相的监督机制,它从侧面告诫司法人员,错误的裁判会给当事人和国家造成损失,所以需要谨慎裁决。如果民事和行政裁判没有相应的司法赔偿机制来加以约束、限制,则可能会导致部分民事和行政案件司法人员的恣意妄为。因此,将民事和行政司法赔偿作为一把“达摩克利斯之剑”悬在司法人员头上,可提高其司法责任感。
(1)组织架构方面,进行顶层设计,在央行分设信息安全部;
(2)金融机构里,要求对信息安全人员与科技人员分部门独立管理,保证信息安全管理的独立性;
(3)对软件国产化提出高要求,确保技术安全可控;
(4)适应新形式,对信息安全相关法案要求进行及时修订。
此外,俄罗斯也发布了最新版本的国家标准STO BR IBBS-1.4-2018,主要是关于银行信息系统的安全标准。虽然这只是一个推荐标准,但很多要求已经被引入最新版382-P信息安全法案中并要求强制执行。制度完善加上工具支撑和事后检查对银行信息安全管理体系的建立和风险防范固然重要,但银行内部员工是整个体系运行有效的关键因素,提高内部员工的安全防范意识,让制度要求深入每个员工的日常工作中,才能构建起一道有效的安全防护网,保护好金融资产的安全。
栏目编辑: 伍曼 wuman@fcc.com.cn
标签:网络信息安全论文; 金融机构论文; 俄罗斯论文; 央行论文; 法案论文; 中央银行论文; 信息安全服务论文; 资金汇划论文; 中国工商银行(莫斯科)论文;