2017/09/14 11:00:49

Политика ЦБ в сфере защиты информации (кибербезопасности)

.

Содержание


Эта статья о политике Центрального банка РФ в сфере защиты информации. Основная статья верхнего уровня: Информационная безопасность в банках

2017

Ужесточение требований

14 сентября 2017 года стало известно об ужесточении Банком России требований к информационной безопасности (ИБ) кредитных организаций. Последние должны будут пересмотреть взаимодействие со сторонними компаниями, нанятыми для обеспечения киберзащиты.

Как пишет «Коммерсантъ», в сентябре 2017 года на общественное обсуждение вывесили проект документа Банка России «Управление риском нарушения информационной безопасности на аутсорсинге», в котором регулятор указывает на риски для информационной безопасности банка от привлечения аутсорсеров и выдвигает требования по их минимизации.

Здание ЦБ

В ЦБ сообщают, что риски от привлечения сторонних организаций в том, что можно выбрать поставщика, не обладающего нужными знаниями или ресурсами, а также в том, что сам банк может слабо контролировать его действия. Результатом некачественной работы аутсорсеров может стать появление уязвимости в системе информзащиты банка и даже хищения средств кредитной организации, указывает регулятор. Стандарт вступит в силу уже с 1 января 2018 года.

Банк России требует от банков разработать политику взаимодействия с аутсорсером, то есть четко определить перечень услуг сторонней компании и список функций, которые осуществляет сам банк, а также необходимо четко разделить и обозначить сферы ответственности банка и сторонней организации.

При передаче существенных функций ЦБ требует от банков проводить периодический мониторинг возможности реализации риска нарушения информбезопасности, а также степень тяжести последствий от реализации риска нарушения информбезопасности (которая напрямую зависит от сумм операций по переводу денег, остатков на корсчетах и т. д.). Банкам, признанным ЦБ системно значимыми, регулятор рекомендует о планах передачи определенных функций на аутсорсинг заблаговременно ставить в известность FinCert.[1]

Блокировка мошеннических сайтов

Банк России и Минкомсвязи работают над изменениями в закон «Об информации, информационных технологиях и о защите информации», которые позволят противодействовать мошенническим ресурсам в сети интернет более эффективно.

Предполагается наделить Банк России правом принимать решение о включении ресурсов в единый реестр запрещенных сайтов. Таким образом, в Рунете появится новый вид запрещенной информации — информация, использующаяся для мошенничеств на финансовом рынке. Например, в ряде случаев финансовые организации, которые лишились лицензии, продолжают через интернет предлагать «заем до зарплаты».

Банк России на основе соглашений с компетентными организациями инициирует блокировку в российском сегменте интернета мошеннических ресурсов, относящихся к сфере финансовых рынков и национальной платежной системе, — подтвердили в пресс-службе ЦБ. — На данный момент снято с делегирования порядка 400 доменов.

Сайты, созданные для мошенничества на финансовом рынке, будут блокироваться. Экспертизу подобных ресурсов будет проводить Центральный банк России. Об этом говорится в Стратегии государственной политики в области защиты прав потребителей.

Смотрите также Фишинг

Требования безопасности платежей в интернете

Банк России предложил в сентябре 2017 года расширить список требований к защите информации при переводе денежных средств в интернете. Соответствующий проект поправок в положение ЦБ размещен на портале раскрытия проектов нормативно-правовых актов.

В частности, требования необходимо повысить для операторов по переводам денежных средств, которые должны обеспечить безопасность проведения операций в интернете.

«Оператор по переводу денежных средств на основании заявления клиента… определяет ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы интернет-банкинга», — говорится в документе.

Операторам необходимо повысить безопасность с помощью определенных технологических мер, которые обеспечивают идентификацию клиента, аутентификацию его электронных сообщений при переводе средств и возможность контролировать реквизиты.

Также поправки регулируют возможность оператора подтверждать право клиента на проведение операции или устанавливать ограничения, среди которых: максимальная сумма перевода, перечень возможных получателей денежных средств, время совершения операции, географическое местоположение устройств, с помощью которых клиенты проводят операции.

Операторы должны сообщать в Центробанк случаи выявления инцидентов, а также «о планируемых мероприятиях по раскрытию информации об инцидентах».

 

Кроме того, поправки устанавливают необходимость и обязанность операторов ежегодно тестировать системы на проникновение угроз информационной безопасности.

Изменения предлагается внести в положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»[2].

Стандарты по аутсорсингу кибербезопасности

Банк России разработал стандарты по аутсорсингу кибербезопасности. Согласно им банки при отсутствии потенциала, необходимого для самостоятельной разработки и апгрейда систем кибербезопасности, должны передать эти функции сторонней компании, специализирующейся на борьбе с хакерами, то есть на аутсорсинг.

Привлеченная компания может в срок до шести недель помочь банку выстроить систему кибербезопасности, а затем на постоянной основе мониторить атаки хакеров, контролировать защиту в круглосуточном режиме и обучать персонал.

Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявил, что «для небольших и средних банков вопросы, связанные с кибербезопасностью и IT в целом, весьма недешевые и сложные», поэтому необходимо развивать аутсорсинг информбезопасности. Сейчас подобные услуги на рынке оказывают 30 компаний.

Как следует из стандарта ЦБ, банки могут выбрать три модели взаимодействия с аутсорсерами: долговременное, среднесрочное и кратковременное сотрудничество. В первом случае сторонняя компания занимается мониторингом кибератак на банк и реагированием на них. Во втором аутсорсер привлекается банком, чтобы выполнить для него проект по информбезопасности — например, построить собственный центр мониторинга и реагирования на киберугрозы. Третья модель подразумевает, что банк привлекает компанию на время, когда возрастает уровень киберрисков.

Услуги аутсорсинговых компаний могут быть базовыми, расширенными и премиальными. В первом случае компания работает в режиме 8х5, во втором и третьем — 24х7. Время обнаружения критически опасных кибератак в рамках базового пакета составляет до 30 минут, в рамках расширенного — до 20 минут, в рамках премиального — до 10 минут. Анализ ситуации займет 45 минут, 30 минут и 20 минут соответственно, а время выдачи рекомендаций по устранению инцидента — 2 часа, 1,5 часа и 45 минут.

Руководитель направления аутсорсинга ИБ центра информбезопасности компании «Инфосистемы джет» Екатерина Сюртукова отметила, что по сравнению с базовым пакетом стоимость расширенного выше в 1,2-1,5 раза, а стоимость премиального – в 1,5–1,7 раза. За базовый пакет небольшим банкам придется заплатить 250 тыс. рублей в месяц, а крупным — до 2,5 млн[3].

База биометрических данных клиентов банков

Законопроект, обязывающий все банки фиксировать такие биометрические данные клиентов, как изображение лица и голосовой слепок, подготовил ЦБ России. Основная цель документа – способствовать внедрению единой биометрической системы (ЕБС), которая позволит гражданам пользоваться услугами банков удаленно, лишь пройдя биометрическую аутентификацию.

Российские банки, согласно разработанному законопроекту ЦБ, с целью формирования единой биометрической системы (ЕБС) обяжут формировать базы биометрических данных клиентов. Созданная система будет способствовать удаленному взаимодействию финансовых организаций и граждан – пройдя удаленную аутентификацию россияне смогут стать вкладчиками любого банка, не посещая его офис.

По сообщению Центробанка, работа над созданием необходимой технологической инфраструктуры уже начата. В рабочую группу по созданию ЕБС вошли и представители таких банков, как Сбербанк, ВТБ, Бинбанк и Россельхозбанк. Пресс-служба Банка России сообщила: «Основой нового механизма банковского обслуживания станет биометрическая идентификация, использующая современные технологии распознавания изображения лица и голоса, а также проверки наличия живого человека, что делает невозможным подмену биометрических данных. Уже начата работа по созданию соответствующей технологической инфраструктуры. Новация повысит доступность финансовых услуг и снизит стоимость их предоставления. При этом всем клиентам будет предоставлено право выбора – сдавать биометрические параметры и регистрироваться в ЕСИА или нет». Эксперты отмечают, что благодаря новшеству значительно упростится процесс совершения любых банковских операций, но и обращают внимание, что система должна быть оснащена хорошей защитой от кибератак.

Банки на всей территории России будут собирать биометрические данные клиентов (изображение лица и слепок голоса), которые будут фиксироваться в ЕБС в виде персональной «карточки» пользователя. В дальнейшем любой гражданин, идентифицированный по голосу или изображению лица с помощью компьютера, планшета или мобильного телефона, сможет воспользоваться услугами финансовой организации без явки в офис. Планируется, что ЕБС интегрируют с Единой системой идентификации и аутентификации (ЕСИА), которая была создана для исполнения закона о госуслугах. Банки при использовании биометрической идентификации через ЕСИА будут подтверждать личность гражданина (ФИО, дата рождения, пол, СНИЛС, номер мобильного телефона). Фактически, пользователи, желающие сдать биометрические параметры в банковской системе, должны быть одновременно зарегистрированы и на портале госуслуг.

Комментарий эксперта эксперт АО ИК «ЦЕРИХ Кэпитал Менеджмент»

После привязки биометрической «карточки» к персональным данным гражданина в ЕСИА (ФИО, дата рождения, пол, СНИЛС, номер мобильного телефона) появляется возможность удаленно идентифицировать клиента по изображению лица и голосу с помощью компьютера, планшета, мобильного телефона или камеры, установленной в банкомате. Дистанционно подтвердив свою личность, гражданин сможет совершать юридически значимые действия без предъявления паспорта или иных удостоверяющих документов – например, стать клиентом любого банка без необходимости явки в офис или же получать, помимо банковских, государственные и иные услуги.

В Центробанке рассчитывают, что уже к марту 2018 года у банков появится возможность удаленно идентифицировать как существующих, так и новых клиентов. Однако для этого нужно успеть принять разработанный законопроект во время осенней сессии парламента, а также внести ряд поправок в законодательство. В частности, положения Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» не позволяют сегодня идентифицировать клиента дистанционно.

Предлагаемые новации позволят максимально упростить процесс совершения любых банковских операций. Авторы законопроекта в первую очередь акцентируют внимание на тех преимуществах, которые получат клиенты банков – возможность открывать счета в любых банках без посещения офиса, оплачивать покупки и услуги, пополнять счета, переводить деньги, брать кредиты. Также весьма важно, что новый механизм повысит защиту от мошенников, поскольку подделать персональные биометрические данные, по уверениям разработчиков программного обеспечения, невозможно.

У банков свой интерес к внедрению новой технологии. В первую очередь удаленная идентификация с помощью биометрии сократит нагрузку на отделения, что позволит банкам провести оптимизацию собственной филиальной сети и снизить расходы на ее обслуживание. Кроме того упростится процесс получения банковских услуг, а сами они будут обходиться дешевле.

Вместе с тем повсеместное внедрение биометрии перекроит рынок розничных банковских услуг: если клиенту станет проще переходить из банка в банк, а значит, конкуренция между кредитными организациями усилится. В таких условиях единственным способом удержать клиента станет высокое качество сервиса, набор услуг и их цена.

Однако остается ряд вопросов, связанных с хранением персональных данных, а также стоимостью новой услуги и результативностью ее применения. К примеру, эффективная защита информации является актуальной для любой базы данных. Сегодня по фамилии можно в интернете узнать адрес человека и номер его телефона. Причем эта проблема не является сугубо российской, что подтверждают регулярные сообщения об утечках персональных данных клиентов ведущих мировых банков и платежных систем. Чем больше информации хотят получить банки от своих клиентов, тем надежнее должны быть защита от посягательств злоумышленников.

Установка и обслуживание оборудования для сбора биометрических данных станет для банков дополнительной статьей расходов. Можно не сомневаться, что эти расходы они традиционно перенесут на клиентов. Причем, тарифы вырастут для всех – и для тех, кто согласится, и для тех, кто откажется проходить биометрическую процедуру.

Наконец об упрощении процесса получения банковских услуг. Нет сомнения в том, что с помощью биометрической идентификации Вы сможете открыть счет в банке – поскольку в этом случае Вы отдаете банку свои деньги. Но будет ли достаточно удаленной идентификации для получения ипотечного кредита?

Система обмена информацией о кибератаках на банки

Центральный Банк продолжает усиливать меры по борьбе с киберпреступностью, выступая координатором этой деятельности в кредитно-финансовой отрасли. Разработка мер реализуется через рабочую группу, в которую входят представители ЦБ, ФСБ, ФСТЭК, Минкомсвязи, Минфина и Росфинмониторинга. Технические задачи в рамках этой деятельности возложены на «ФинСерт». Очередной задачей стала разработка платформы для автоматизации и ускорения информационного обмена между заинтересованными госструктурами и банковской системой в целях повышения уровня кибербезопасности, сообщила газета "Коммерсант" в июле 2017 года.

Платформа представляет собой онлайн-ресурс, который позволит участникам системы обмениваться информацией через личные кабинеты в новом формате.

« Сейчас мы даем рассылки, фактически текстовой файл с определенными индикаторами,— пояснил заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев.— Хотим выйти на новый формат обмена, который позволит кредитным организациям эти признаки компрометации в автоматизированном режиме грузить в свои системы обнаружения »

По его словам, фактически речь идет об аналоге международного сервиса Virus Total (позволяет проверить файлы на наличие вредоносного ПО «с использованием большого количества антивирусных движков»). Кроме того, платформа будет содержать сервисы по разбору критических ситуаций.

Техническое проектирование системы начнется в августе 2017, а запуск платформы намечен на конец 2017 года. К середине 2018 года, как ожидается, она заработает в полном объеме.

Отчет о суммах, похищенных хакерами, объем хищений со счетов клиентов, а также объемы средств, возвращенных гражданам, финансовые организации будут передавать в Центробанк. Как отмечает регулятор, из докладов также исключили технические данные, из-за которых возник тот или иной инцидент. Ожидается, что с помощью нововведения повысится достоверность предоставляемой информации о кибератаках, а также кредитные организации обратят больше внимания на обеспечение информационной безопасности.

Ежегодные пентесты банковского ПО

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Госстандарт защиты информации для банков ГОСТ Р 57580.1-2017

В России утвержден в августе 2017 года ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года.

Согласно документу, к планированию, реализации, контролю и совершенствованию процесса защиты данных в банках необходимо подходить комплексно. Стандарт описывает требования к организации всех основных процессов защиты информации, в том числе меры по предотвращению утечек и нарушения целостности информационной инфраструктуры, а также по защите от атак с использованием вредоносного ПО.

Предписания по защите информации при осуществлении операций через мобильные устройства указаны отдельным пунктом. Кроме того, стандарт описывает требования по обеспечению безопасности данных на всех этапах жизненного цикла используемых в финорганизациях автоматизированных систем и приложений.

Как сообщает «Коммерсантъ», новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии[4].

Основное требование ГОСТа – все технические меры защиты информации должны иметь сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Так, финансовым организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие ПО, сертифицированного не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), у компаний второго уровня должны применяться решения не ниже 5-го класса, а организации первого уровня должны работать с системными разработками не ниже 4-го класса.

Также вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.

Контроль за безопасностью в финсекторе

В 2017 году ЦБ РФ проведет более 100 проверок систем дистанционного банковского обслуживания (ДБО), а также утвердит стандарты кибербезопасности для участников биржевого рынка и создаст центр безопасности для средних и малых банков. Ужесточение требований в сфере информационной безопасности (ИБ) должно основываться на анализе угроз, иначе оно может привести к тому, что банковские сервисы станут менее удобными.

Центральный банк России намерен усилить контроль за безопасностью совершения платежных операций в российских банках. С этой целью в 2017 году он организует более 100 проверок систем дистанционного банковского обслуживания (ДБО), сообщает РБК со ссылкой на заместителя начальника главного управления безопасности и защиты информации Центробанка РФ Артема Сычева. По его словам, первые проверки уже были проведены в феврале 2017 года.

Банки, результаты проверки которых окажутся неудовлетворительными, должны будут либо увеличить капитал, либо доначислить резервы на величину существующего операционного риска в размере среднесуточного остатка по корреспондентскому счету. Точная информация о том, какая из этих мер будет принята, должна появиться в середине 2017 года[5].


Система документооборота в банках складывается из двух частей - автоматизированной банковской системы (АБС) и автоматизированного рабочего места клиента Банка России (АРМ КБР). В АБС обрабатываются платежные поручения клиентов и формируются реестры платежей. В АРМ КБР поступающие реестры шифруются и отправляются в ЦБ РФ. Поскольку и АБС, и АРМ КЦБ надежно защищены (по крайней мере, в теории), единственное уязвимое место системы – это канал передачи данных между АБС и АРМ КЦБ.

По мнению банков, строгое следование инструкции (а именно использование для обмена информацией не корпоративных серверов, а защищенных съемных носителей) не оставляет хакерам лазеек для подмены настоящих данных фиктивными. Со своей стороны ЦБ РФ полагает, что при таком положении дел усилия киберпреступников будут сосредоточены на попытках взломать АБС. Если их попытки увенчаются успехом, то отследить подмену настоящих данных фиктивными на уровне АБС не представляется возможным. А шифрование банковских данных, к которым получат доступ хакеры, с помощью более совершенного аналога вируса WannaCry может полностью парализовать работу конкретной кредитной организации.

Единая стратегия информационной безопасности банков

Ассоциация российских банков (АРБ) в феврале 2017 года обратилась в ЦБ РФ с просьбой разработать единую стратегию развития информационной безопасности кредитно-финансовых организаций. Об этом рассказал на IX Уральском форуме «Информационная безопасность финансовой сферы» глава АРБ Гарегин Тосунян.

Он отметил, что ответственность подразделений информационной безопасности банков регулируется примерно 130 документами, включающими около 50 федеральных законов, 20 указов президента и постановлений правительства, 15 актов федеральных органов исполнительной власти, 25 нормативных актов Банка России, 20 стандартов и нормативных документов международных и российских платежных систем.

Глава АРБ считает, что назрела необходимость в упорядочении этих документов и в создании единого отраслевого документа по информационной безопасности, позволяющего кредитно-финансовым организациям оперативно реагировать на постоянно возникающие новые вызовы.

« Все эти документы не очень сопрягаются друг с другом, это создает проблему. Создание единого документа снизит вероятность возникновения коллизий, - заявил Гарегин Тосунян. »

Гарегин Тосунян из АРБ считает, что назрела необходимость в едином документе по развитию информационной безопасности в банковской сфере

Для наиболее эффективного использования потенциала банковского сообщества при подготовке стратегии необходимо привлечь к участию все заинтересованные организации и предложить Банку России возглавить этот процесс в качестве межведомственного координатора, полагают в АРБ.

Тосунян напомнил, что еще не менее десятка нормативных актов ЦБ по информационной безопасности вступят в силу в 2017-2018 годах.

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев на этом же форуме рассказал, что количество кибератак на коммерческие банки и граждан в России с каждым годом увеличивается, но результативность этих атак снижается[6].

« Тренд на увеличение количества атак есть, он остается и продолжает, к сожалению, наращиваться. С другой стороны, есть хорошая новость. Хорошая новость заключается в том, что результативность таких атак далеко не всегда оказывается положительной, - сказал он. »

Сычев отметил, что в 2016 году количество DDoS-атак увеличилось почти в два раза. Количество рассылок, содержащих вредоносное программное обеспечение, увеличивается практически с каждым месяцем, заявил представитель Банка России. При этом зафиксированные в конце 2016 года - начале 2017 года DDoS-атаки существенного ущерба банкам не принесли: они доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Регулятор отмечает также рост в геометрической прогрессии количества рассылок мошеннических СМС-сообщений.

Артем Сычев добавил, что рынок недавно столкнулся с новым видом атак, когда используется интернет вещей.

« Для безопасников. это значит, что в один прекрасный момент масса телевизоров, которые установлены в домах граждан, будет неожиданно обрушиваться на нашу сеть, и мы ничего с этим сделать не сможем, - отметил Сычев. »

Изменения подхода к проведению платежей для борьбы с хакерами

Как пишет «Коммерсантъ», ЦБ РФ разослал руководителям ИТ-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему регулятора, на уровне автоматизированной банковской системы (АБС)[7].

АБС банка, поясняет газета, — это аппаратно-программный комплекс, который состоит из множества компьютеров, объединенных в единый защищенный контур, где обрабатываются платежные поручения и формируются реестры платежей. Сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, с которого уходят платежи в ЦБ.

Внедрение систем шифрования в АБС банка, пояснили в пресс-службе Центробанка газете, позволит защищать данные на более раннем этапе, «усложнит для злоумышленников условия атак и снизит уровень хищений». Мера, как отметили в регуляторе, предлагается на основе анализа фактов хищений у коммерческих банков и учитывает мировой опыт и современные тенденции. «Именно такая практика применяется почти во всех крупных платежных системах», — подчеркнула пресс-служба Банка России.

Мера ЦБ призвана ввести шифрование платежей на более раннем этапе. Как объяснил аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов, банки нарушают рекомендации ЦБ, касающиеся полной изолированности АРМ КБР от остальной сети банка и переноса данных с использованием защищенных съемных носителей. При отправке реестров часто используется промежуточная папка на файловом сервере корпоративной сети банка, и именно в этом месте хакеры подменяют файл с реестрами, в результате чего в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Фиктивный платеж в зашифрованном виде выявить невозможно, однако если шифровать реестры сразу в АБС, то подменить их по пути к АРМ КБР будет невозможно.

В банках «Коммерсанту» рассказали, что оценивают сроки и возможную стоимость внедрения новации. Павлов сообщил, что банку придется проводить масштабное обновление в техническом отношении. Решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ и минимум год времени на внедрение, отметил специалист по криптозащите в одной из крупных фирм. В результате новация обойдется банку в несколько миллионов рублей. ЦБ обсуждает с участниками рынка сроки внедрения систем шифрования «с целью определения комфортного переходного периода», отметили в регуляторе.

Как пишет газета, банкиры негативно относятся к идее ЦБ и официально комментировать ее не хотят. АБС — это сотни компьютеров, которым потребуется дополнительная защита, говорит руководитель ИТ-департамента банка из топ-100. Специалист по ИТ из банка из топ-50 добавляет, что будет утеряна возможность дополнительного контроля: сейчас банк может сверить реестры, выгруженные в АБС, с попавшими в АРМ КБР и выявить фиктивный, а при шифровании в АБС такой возможности не будет. Представитель крупного банка подчеркнул, что ЦБ уже потребовал от банков к 30 июня текущего года усилить меры безопасности на участке АРМ КБР, что сопряжено с расходами, однако теперь меняет подход.

2016

Блокировка сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС[8].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Контроль интернет-банкинга

В декабре 2016 года стало известно, что Банк России проведет масштабную проверку безопасности онлайн-банкинга. Регулятор проверит степень защищенности платежных онлайн-сервисов и мобильных приложений от киберугроз. После проверки ЦБ намерен взять данную сферу под контроль и сертифицировать дистанционные сервисы на соответствие требованиям информационной безопасности.

Подробнее: Безопасная система ДБО

Лаборатория киберзащиты банков

31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз. Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).

Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз. ЦБ планирует создать лабораторию, изучающую технологии и последствия компьютерных атак.

Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[9]. В реализации могут принять участие правоохранительные органы и кредитные организации[10].

Network operations center, (2016)

Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.

Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.

Рекомендации Банка России по защите от утечек информации

В апреле 2016 года Банк России опубликовал для организаций банковской системы рекомендации по обеспечению информационной безопасности (ИБ) в части предотвращения утечек информации. Документ (скачать PDF) вступает в силу с 1 июня 2016 года. Банк России отмечает, что такие рекомендации вводятся впервые. Применять их банковские организации могут на добровольной основе, указывается в документе.

Рекомендации охватывают только случаи утечки информации в результате действия работников банковской организации или лиц, обладающих легальным доступом к информации или в помещения, где осуществляется обработка информации. При этом на организации банковской системы, осуществляющие обработку информации с использованием облачных технологий или передавшие ее на аутсорсинг сторонней организации, рекомендации не распространяются.

Банк России поясняет, что выполнение представленных рекомендаций обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. Вместе с тем, в документе не рассматриваются рекомендации, выполнение которых косвенно влияет на снижение рисков утечки информации: например, по обеспечению защиты от воздействия вредоносного кода, межсетевому экранированию и разделению вычислительных сетей, к проведению аудитов ИБ, к организации логического доступа.

Рекомендации для банков по борьбе с утечками информации через сотрудников ЦБ выпустил впервые

В числе мер, способствующих снижению рисков утечки информации, Банк России предлагает финансовым организациям установить и документировать классификацию обрабатываемой информации. Рекомендуется выделить как минимум два класса – «информация конфиденциального характера» и «открытая информация». Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации от возможных утечек информации конфиденциального характера, говорится в документе.

Организациям также рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В этом пункте подробно рассматривается состав правил идентификации и учета информационных активов и объектов среды информационных активов, типы информационных активов и объектов, подлежащих идентификации и учету, набор учетных данных, которые необходимо хранить и др. Для учета и идентификации информационных активов и средств вычислительной техники рекомендуется использовать средства автоматизации.

Банк России рекомендует определить категории возможных внутренних нарушителей и потенциальных каналов утечки информации, состав процессов их мониторинга и контроля, обеспечить реализацию процессов системы менеджмента информационной безопасности и др.

Один из подпунктов рекомендаций, достаточно обширный, охватывает автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации организации. Советов по выбору конкретных технических решений здесь не содержится, за исключением пункта о централизованном управлении и мониторинге использования мобильных устройств сотрудниками организации. Здесь в пример приводятся возможные к использованию решения, такие как XenMobile, MobileIron, SAP Afaria, IBM Endpoint Manager.

2013

16 рекомендаций по безопасности онлайн-платежей

5 августа 2013 года было опубликовано письмо Банка России № 146-Т, содержащее ряд рекомендаций кредитным организациям по повышению безопасности предоставления розничных платежных услуг в Интернете.

Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.

В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.

Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».

В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure (3D-Secure) и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.

Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.

И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.

Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.

Смотрите также