2023/08/17 17:37:45

Политика ЦБ в сфере защиты информации (кибербезопасности)


Содержание

Эта статья о политике Центрального банка РФ в сфере защиты информации. Основная статья верхнего уровня: Информационная безопасность в банках

2023

Российские банки переходят на отечественные модули безопасности ИТ-систем

24 августа 2023 года стало известно о том, что Банк России рекомендовал финансовым организациям протестировать отечественные аппаратные модули безопасности (Hardware Security Module, HSM). Использование таких решений необходимо в рамках программы импортозамещения, осуществляемой в сложившейся геополитической обстановке.

Как сообщает газета «Коммерсантъ», речь идет о решениях «Крипто-Про» и «Системы практической безопасности», которые удовлетворяют требованиям Национальной системы платежных карт (НСПК). Изделия HSM обеспечивают защиту транзакций, идентификационных данных и приложений, предотвращая несанкционированный доступ к криптографическим ключам, с помощью которых зашифрована информация.

ЦБ рекомандовал финансовым организациям протестировать отечественные аппаратные модули безопасности

Внедрение отечественных HSM-модулей связано с определенными сложностями. Тестирование таких решений предполагает комплекс мероприятий по миграции, встраиванию и апробированию решения. Сам модуль представляет собой технически сложный продукт, для оценки всех функций которого может потребоваться большое количество человеческих ресурсов и времени.

Существуют также финансовые вопросы. Отмечается, что кредитной организации требуются как минимум два HSM-модуля — основной и резервный. Но стоят такие продукты довольно дорого: например, цена изделия «Крипто-Про» может достигать 3 млн рублей. Кроме того, могут возникнуть проблемы совместимости. Дело в том, что взаимодействие с HSM в платежном сегменте в банках реализуется либо с помощью программного обеспечения собственной разработки, либо посредством инструментов одного из нескольких разработчиков процессинговых решений. Но все такие реализации ранее создавались, дорабатывались, тестировались и применялись с HSM зарубежных производителей. Впрочем, подчеркивается, что для широкого спектра систем уже подтверждена совместимость с модулем «КриптоПро».[1]

ИБ-шник с испорченной репутацией. ЦБ намерен усилить персональную ответственность за утечки данных в банках

Банк России прорабатывает инициативу по усилению мер, направленных на предотвращение утечек сведений, содержащих охраняемую законом информацию, в части возможности влияния на деловую репутацию заместителя руководителя, ответственного за обеспечение информационной безопасности. Об этом говорится в письме ЦБ с ответами на вопросы от участников отрасли, направленном в Ассоциацию банков России в конце июля 2023 года, с которым ознакомился TAdviser.

Речь идёт о внесении сведений о должностном лице, не соответствующих квалификационным требованиям и (или) требованиям к деловой репутации, в базу данных, ведение которой предусмотрено №86-ФЗ «О Центральном банке РФ (Банке России)». Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

Также планируется использовать существующий механизм применения мер в соответствии со статьей 74 №86-ФЗ вплоть до замены лиц, перечень должностей которых проверяется ЦБ на соответствие квалификационным требованиям и требованиям к деловой репутации.

«
Инициатива утверждена концептуально. В данный момент осуществляется проработка деталей, в частности уточняется перечень субъектов, на которых планируется распространить инициативу, а также прорабатываются критерии влияния на деловую репутацию заместителей руководителей организаций, ответственных за информационную безопасность, - говорится в июльском письме ЦБ.
»

ЦБ прорабатывает инициативу по усилению мер, направленных на предотвращение утечек сведений, содержащих охраняемую законом информацию, в части возможности влияния на деловую репутацию замруководителя, ответственного за ИБ (фото: РИА Новости / Мария Девахина)

Осуществляется подготовка редакции законопроекта, которая также учитывает квалификационные требования для заместителей руководителя, ответственного за обеспечение ИБ, в соответствии с требованиями указа президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности РФ».

В ответах ЦБ на вопросы участников рынка по части ИБ затрагиваются и другие темы. В том числе, работа ЦБ в области регулирования кибербезопасности в целом. Здесь, согласно ответу регулятора, продолжается работа над законопроектами, связанными с:

  • совершенствованием механизма противодействия хищению денежных средств («антифрода») – законопроект № 197920-8;
  • регулированием аутсорсинга ИТ и облачных услуг.

Что касается аутсорсинга, в частности, кредитные организации заинтересованы в получении информации о планируемых сроках разработки Банком России требований к облачным сервисам и аутсорсингу информационных систем, включая требования к обеспечению ИБ в таких сервисах. В своём письме ЦБ сообщает, что в настоящее время разработан проект ФЗ «О внесении изменений в отдельные законодательные акты РФ» в целях обеспечения правового регулирования аутсорсинга ИТ и облачных услуг, который находится на межведомственном согласовании.

А в части общего регулирования в сфере кибербезопасности в банковской сфере ранее также был принят №243-ФЗ от 13.06.2023, определяющий полномочия Банка России в области обеспечения технологического суверенитета на значимых объектах критической информационной инфраструктуры (КИИ) организаций кредитно-финансовой сферы.

Этот закон, в частности, определяет полномочия Банка России по согласованию планов мероприятий кредитных и некредитных финансовых организаций по переходу на преимущественное использование российского ПО, отечественных радиоэлектронной продукции и телеком-оборудования, в том числе в составе ПАК, на принадлежащих им значимых объектах КИИ и осуществления закупок иностранного ПО, радиоэлектронной продукции и телеком-оборудования, в том числе в составе ПАК, а также закупок услуг, необходимых для их использования на принадлежащих им значимых объектах КИИ.

Затронуты в письме и вопросы технологического суверенитета. ЦБ объясняет, что вопросы обеспечения технологического суверенитета он рассматривает в тесной взаимосвязи с вопросами обеспечения операционной надежности. В этой связи ЦБ будет применять меры в отношении кредитных организаций в случаях выявления фактов нарушения целевых показателей операционной надежности, при отсутствии у таких организаций планов перехода на преимущественное использование российского ПО и оборудования, отвечающих фактическим потребностям кредитной организации.

Отдельно ЦБ в своём письме разъяснил свою позицию о мерах воздействия к кредитным организациям, не выполнившим требования нормативного правового регулирования в части ИБ и защиты данных, по причинам, связанным с уходом иностранных вендоров с российского рынка.

Если кредитные организации по тем или иным причинам не соблюдают требования в области ИБ, ЦБ будет применять в отношении таких организаций соответствующие меры.

«
Вместе с тем, если отдельные кредитные организации сталкиваются с серьезными рисками в отношении их ИТ-инфраструктуры в связи с уходом с российского рынка ряда крупных поставщиков ПО и оборудования, по мнению Банка России, таким организациям следует разработать план реагирования на возникшие риски с детальной проработкой мер, направленных на их снижение, и указанием сроков реализации по каждому пункту. В этом случае Банк России по результатам рассмотрения и анализа таких планов будет принимать решение о неприменении мер в текущих условиях, - сказано в письме ЦБ.
»

ЦБ проверит готовность банков к киберугрозам без предупреждений

10 августа 2023 года стало известно о решении ЦБ РФ проверять готовность банков к киберугрозам без предупреждений. Раньше регулятор уведомлял кредитные организации об учениях заранее.

Как пишет «Коммерсантъ», ЦБ просит банки направить ему не менее 30 адресов электронных почты сотрудников, отдавая приоритет тем, кто не работает в службе информационной безопасности. Работники получат письма с вложенным вредоносным программным обеспечением. После открытия файла происходит «исходящее соединение скомпрометированного автоматизированного рабочего места с управляющим сервером», говорится в письме регулятора, с которым ознакомилась газета.

«
Результатом учения может быть как открытие файла с вредоносным программным обеспечением (с последующим разбором инцидента), так и отказ сотрудника банка открыть подозрительный файл. Это важная метрика, поскольку по количеству открытых писем можно судить об осведомленности сотрудников организации о правилах кибергигиены, — отмечает коммерческий директор компании SafeTech Дарья Верестникова.
»

Ведущий консультант по ИБ Aktiv Consulting Александр Моисеев в разговоре с изданием отметил, что сценарии направлены на тренировку противодействия таргетированным (целевым) компьютерным атакам, способы и инструменты которых достаточно слабо детектируемы условными средствами антивирусной защиты, поскольку атакующие применяют техники их обхода.

Источник «Коммерсанта» предупреждает, что разосланное банкам письмо не грифованное, вследствие чего оно активно обсуждается в профессиональных чатах и среди специалистов, чем могут воспользоваться злоумышленники. При этом банки не будут извещаться, когда придет письмо от ЦБ и как оно будет выглядеть. Но будут ждать его на конкретных адресах, чем могут воспользоваться злоумышленники, которые в курсе учений, сообщил собеседник газеты.[2]

ЦБ РФ утвердил основные направления развития кибербезопасности финансового сектора. Документ

В середине июня 2023 года Банк России опубликовал стратегический документ о защите прав потребителей финансовых услуг и повышении уровня доверия к цифровым технологиям. В нем перечисляются основные направления развития информационной безопасности кредитно-финансовой сферы на 2023-2025 гг.:

  • защита прав потребителей финансовых услуг и повышение уровня доверия к цифровым технологиям;
  • создание условий для безопасного внедрения цифровых и платежных технологий и обеспечения технологического суверенитета;
  • обеспечение контроля рисков информационной безопасности, операционной надежности для непрерывности оказания банковских и финансовых услуг.

Для противодействия мошенническим операциям ЦБ РФ собирается усовершенствовать механизм возврата похищенных денег. Планируется повысить качество сведений о платежных реквизитах злоумышленников в информационном обмене между банками, противостоять так называемым дропперам с помощью экономических барьеров.

Кроме того, регулятор предлагает предоставить пострадавшим от злоумышленников возможность подать через портал Госуслуг и онлайн-сервисы банков заявление в полицию о хищении. Это позволит быстрее сообщать о мошенниках в правоохранительные органы, а банки смогут оперативно учитывать такую информацию в своих антифрод-системах, рассчитывают в ЦБ. Будет расширен и усложнен сценарий атак для киберучений, которые регулятор проводит с банками ежегодно с 2019 года.

Уделяется внимание переходу финансовых организаций на отечественные информационные технологии, регулятор будет контролировать этот процесс (соответствующий закон подписан 13 июня 2023 года). Банк России продолжит формировать условия для безопасного внедрения цифровых и платежных технологий путем развития регулирования и иных механизмов, а также определения стандартов информационной безопасности, подчеркнули в ЦБ.

ОСНОВНЫЕ НАПРАВЛЕНИЯ РАЗВИТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ НА ПЕРИОД 2023−2025 ГОДОВ

ЦБ РФ обязал банки раскрыть регулятору информацию об использовании VPN

До 2 июня 2023 года российские банки должны передать Роскомнадзор информацию «об использовании для автоматизации технологических процессов VPN-протоколов». Об этом говорится в письме ЦБ РФ, которое было разослано в кредитные организации. «Коммерсантъ» приводит выдержки из этого документа 12 мая 2023 года.

Регулятор предлагает передать данные в формате Excel по электронной почте. Причем в ЦБ отправлять ответ не требуется, указано в письме. Необходимость передачи информации об использовании VPN в Роскомнадзор в ЦБ объяснили необходимостью «исключения рисков функционирования отраслевых информационных систем».

Российские банки должны передать Роскомнадзору информацию об использовании VPN

По мнению представителей финансовой отрасли, способ передачи закрытой информации по незащищенному каналу несёт определённые риски. Например, данные в файле содержат информацию про используемые диапазоны IP-адресов для внешних узлов или конкретные IP-адреса VPN-серверов банков. Сети VPN используются в банках для подключения к SWIFT и других финансовым системам, получения и обмена данных через сеть банкоматов, обменных пунктов и филиалов по всем стране.

При этом управляющий RTM Group Евгений Царев не видит большие риски в использовании электронной почты банками. Этот канал связи «безусловно, незащищенный и риск утечки существует, но едва ли высокий», уверен он.

«
Атакующие постоянно сканируют сети финансовых организаций, находят открытые порты и сервисы, - говорит владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев. - Если злоумышленники получат доступ к пересылаемым данным, это несколько упростит их задачу по поиску ресурсов в сети жертвы, которые более уязвимы к DDoS-атаке.
»

Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов подтверждает, что более надежный вариант — собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ.[3]

ЦБ разработал единые правила сбора «цифровых отпечатков» для борьбы с мошенниками

11 апреля 2023 года ЦБ РФ опубликовал для кредитных организаций единые правила формирования, хранения и применения уникальных «цифровых отпечатков» для идентификации устройства пользователя, с помощью которого совершаются финансовые операции. Эта инициатива регулятора стала еще одним инструментом для борьбы с мошенничеством.

Стандарт устанавливает для банков единые правила формирования, хранения, применения «цифровых отпечатков» устройств — набора параметров, позволяющих однозначно идентифицировать устройство пользователя, с помощью которого совершаются банковские и другие финансовые операции, объяснили в ЦБ.

Здание ЦБ РФ
«
За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов. Это позволит им заблаговременно определять устройства и злоумышленников, выявленных ранее при осуществлении подозрительных операций и приостанавливать их совершение в будущем, — говорится в заявлении ЦБ. Стандарт принят и введен в действие приказом Банка России от 1 марта 2023 года. Положения стандарта Банка России носят рекомендательный характер, доставили в пресс-службе регулятора.
»

По данным Банка России, объем операций без согласия клиентов в 2022 году увеличился на 4,3% – до 14,16 млрд рублей. Большая часть средств была похищена через каналы дистанционного банковского обслуживания (9,2 млрд рублей) и при онлайн-оплате товаров и услуг (2,5 млрд рублей).

В феврале 2023 года глава ЦБ Эльвира Набиуллина сообщила, что снижения объемов похищенных средств в борьбе с мошенничеством в финансовой сфере пока не наблюдается, в крупных финансовых организациях это может произойти в 2023 году, во всей системе – в течение трех лет.[4]

2022: ЦБ РФ решил регулировать наем банками айтишников на аутсорсе

1 декабря 2022 года стало известно о решении ЦБ РФ регулировать наем банками ИТ-специалистов, работающих по схеме аутсорсинга. Регулятор видит риски для банковской тайны, особенно при использовании иностранных решений, поэтому считает инициатива поможет повысить финансовую стабильность.

«
Нам необходимо предпринять все меры, чтобы та информация, с которой работают потенциальные ИТ-компании, была защищена, - заявил директор департамента информационной безопасности ЦБ Вадим Уваров.
»

Центральный Банк России решил регулировать наем банками айтишников

Ранее Комитет Госдумы по финансовому рынку предложил разрешить банкам пользоваться аутсорсингом ИТ и облачных услуг. Это следует из письма главы комитета Анатолия Аксакова к главе Минцифры Максуту Шадаеву, которое он направил 30 августа 2022 года. Как сообщается в законопроекте, финансовые организации смогут поручать аутсорсинговым компаниям хранить и обрабатывать полученную от них информацию без согласия людей, к которым относятся эти сведения. Это право получат банки и микрофинансовые организации, биржи, брокеры и дилеры, негосударственные пенсионные фонды, кредитные рейтинговые агентства, ломбарды, а также страховые и аудиторские компании.

В ЦБ признают, что аутсорсинг широко распространен в финансовой сфере. В основном организации запрашивают ИТ-услуги и облачные сервисы для резервного копирования, обработки и хранения данных, разработки и сопровождения ПО, технического обслуживания программно-аппаратных средств и сопровождения сетевой инфраструктуры.

Согласно выводам регулятора, ИТ-аутсорсинг потенциально повышает эффективность деятельности финансовой организации, в том числе при отсутствии или нехватке собственных ресурсов и компетенций. При этом в ЦБ предупреждают о рисках аутсорса - например, если банки нанимают иностранных поставщиков или российские компании, которые, в свою очередь, также передают выполнение отдельных функций иностранцам или зависят от зарубежных технологических и программных решений. [5]

2021

ЦБ РФ предписал банкам найти замену зарубежным ИБ-решениям

В конце марта 2022 года ЦБ РФ разослал банкам письмо, в котором сообщил о необходимости найти замену зарубежному программному обеспечению в сфере кибербезопасности после того, как иностранные ИТ-вендоры остановили свою деятельность на российском рынке.

Как пишет «Коммерсантъ» со ссылкой на это сообщение регулятора, он просит банки ввести «компенсирующие меры» для обеспечения информационной безопасности в условиях ухода с российского рынка профильных зарубежных компаний и международных санкций.

ЦБ РФ предписал банкам найти замену зарубежным ИБ-решениям

В Банке России заявили изданию, что приняли решение «пересмотреть порядок принятия мер в отношении банков за нарушения», а обращение было разослано в целях «поддержки участников финансового рынка». Однако в регуляторе не прояснили свою позицию и порядок действий для банков, не уточненным остался вопрос по изменениям в нормативные акты, которые позволят банкам искать аналоги используемого ПО и оборудования без риска предписаний со стороны Центробанка.

Источник газеты, близкий к ЦБ, пояснил, что предписание касается в основном участка платежной системы регулятора и клиентских платежей, в том числе дистанционного банковского обслуживания и мобильных приложений. Оно также распространяется на системы антифрода, периметровой защиты (обнаружение вторжений, антивирусы, защита от DDoS-атак, межсетевые экраны), но не имеет отношения к показателям бесперебойности Системы быстрых платежей (СБП) и реагирования на инциденты по несанкционированным платежам.

По словам независимого эксперта по кибербезопасности Алексея Лукацкого, так как на практике проверяющим из ЦБ непросто доказать достаточность компенсирующих мер, данное письмо приведет к тому, что ИБ-специалистам придется больше заниматься «бумажной безопасностью» и писать для регулятора доказательства, а не заниматься реальными проблемами.[6]

ЦБ готовит масштабные проверки кибербезопасности развивающих экосистемы банков

В декабре 2021 года стало известно о том, что ЦБ РФ готовит масштабные проверки кибербезопасности развивающих экосистемы банков.

«
Будет проведен анализ рисков, принимаемых банками, развивающими экосистемы, включая стратегический риск, риск вынужденной поддержки и риск информационной безопасности, а также оценка влияния этих рисков на финансовую устойчивость таких банков, — говорится в обнародованном регулятором проекте основных направлений цифровизации финансового рынка на период 2022-2024 гг.
»

Как пояснили в ЦБ, в отношении регулирования участия банков в экосистемах регулятор рассматривает в качестве основного подход, которые дает кредитным организациям возможности для развития экосистем при адекватном покрытии рисков капиталом для того, чтобы возможные потери ложились на плечи акционеров, а не кредиторов и вкладчиков.

Согласно документу, значительным источником операционного риска могут быть экосистемы, в том числе строящиеся на базе банков, ввиду необходимости координации между участниками, отсутствия у банка достаточного контроля за действиями партнеров, сложной архитектуры информационных технологий и бизнес-процессов.

В ЦБ отметили, что в условиях масштабной цифровизации экономики и общества на первый план также выходят вопросы информационной безопасности, так как появляются новые угрозы, связанные с цифровыми технологиями. Конфиденциальность и защита данных приобретают первостепенное значение на фоне роста мошенничества с платежами и случаев кражи, имитации поведения или биометрических данных человека для получения доступа к его банковской информации.

Банк России к концу 2021 года разрабатывает регуляторные меры должны способствовать развитию конкурентной среды на российском рынке как лидирующих экосистемных бизнес-моделей, так и менее крупных платформ, сохраняя также возможности для нишевых поставщиков.

ПРОЕКТ ОСНОВНЫХ НАПРАВЛЕНИЙ ЦИФРОВИЗАЦИИ ФИНАНСОВОГО РЫНКА НА ПЕРИОД 2022–2024 ГОДОВ

ЦБ упростит возврат денег пострадавшим от кибермошенников

11 мая 2021 года стало известно об инициативе ЦБ РФ по упрощению возврата денег жертвам киберпреступников. Регулятор предлагает автоматически блокировать сумму, переведенную на счет мошенников, после обращения пострадавшего.

О том, что Центробанк разрабатывает законопроект, который должен в несколько раз увеличить долю возврата похищенных мошенниками денег, «Известиям» рассказал замначальника департамента информбезопасности ЦБ Артем Сычев. Предполагается, что документ упростит судебную процедуру по возврату украденной суммы.

«
Мы хотим, чтобы по этой части была отдельная ускоренная судебная процедура. То есть деньги бы оперативно замораживались на счете, а потом их конечная судьба решалась бы в ускоренном судебном порядке, — пояснил Сычев.
»

ЦБ РФ планирует упростить возврат средств пострадавшим от кибермошенников

К маю 2021 года российские банки не имеют правовых оснований блокировать зачисленные на чей-то счет средства и не могут отказать держателям счетов в выдаче средств, даже если есть основания подозревать их в мошеннических действиях.

В публикации говорится, что в половине случаев мошенники снимают украденные деньги в течение часа после перевода. В 47% они обналичивают средства в течение двух-трёх часов и только в 3% — в течение суток. Нередко в схеме участвует посредник — похищенную сумму переводят на счёт подставного лица, чтобы банк не смог заблокировать зачисленные на счёт средства или отказать в их выдаче.

Руководитель проекта Общероссийского народного фронта «За права заемщиков» Евгения Лазарева в разговоре с изданием отметила, что для возврата средств в упрощенном судебном порядке необходимо внести изменения в том числе в Гражданский и Гражданский процессуальный кодекс. Как показывает практика, это очень сложные процессы, которые сильно растягиваются во времени и встречают жесткое сопротивление «сильных сторон договора», сказала она.[7]

ЦБ РФ разрешит россиянам закрывать онлайн-доступ к счетам

12 марта 2021 года стало известно о планах ЦБ РФ обязать банки закрывать онлайн-доступ к счетам по просьбе клиентов. За счет этой меры регулятор рассчитывает сократить мошенничество в банковской сфере.

О том, что ЦБ работает над тем, «чтобы у клиента было право, а, соответственно, у банка — обязанность ограничить дистанционный доступ к своим счетам», рассказал первый замглавы департамента информационной безопасности Банка России Артем Сычев на совещании о противодействии несанкционированным операциям, которое прошло на площадке Ассоциации российских банков.

В ЦБ считают, что это поможет при борьбе с мошенниками — так клиент не сможет переводить им деньги. Сычев заявил, что это затруднит возможность мошенников влиять на клиента. Но у банков должны быть «определенные технические доработки» для внедрения сервиса, сказал он.

Банк России разрешит россиянам закрывать онлайн-доступ к счетам
«
Мера действенна в случаях, когда клиента финансовой организации провоцируют дистанционно совершить действия с депозитными счетами в пользу злоумышленников, — отметил представитель ЦБ.
»

По словам Сычева, работа над инициативой требует внесения изменений «не столько в профильные законы, которые находятся в компетенции ЦБ или Минфина», а «в законодательство о защите прав потребителей».

Это нововведение «в случае полной проработки и реализации действительно может сказаться на снижении уровня мошенничества», считает директор департамента информационной безопасности Росбанка Михаил Иванов. При этом, по его словам, стоит учитывать, что необходимо соблюдать баланс между клиентским опытом и уровнем безопасности. Любые жесткие ограничения и усиление уровня безопасности могут вести к ухудшению уровня клиентского сервиса и наоборот — любая клиентская инновация потенциально несет новые риски, добавил он.[8]

ЦБ РФ впервые провел дистанционные антихакерские учения

10 февраля 2021 года стало известно о первых дистанционных антихакерских учениях, проведенных Центробанком РФ. Отчет с итогами мероприятий, состоявшихся в конце 2020 года, был направлен регулятором нескольким крупным банкам. В документе дана оценка готовности финансовых организаций к отражению киберугроз и предоставлены рекомендации по улучшению механизмов их выявления и устранения.

Как рассказали «Коммерсанту» в ЦБ РФ, в киберучениях добровольно приняли участие 22 поднадзорные организации. Регулятор моделировал несколько актуальных сценариев компьютерных атак в дистанционном режиме. С одной стороны, проверялась возможность противостоять этим атакам подразделений информационной безопасности и информационных технологий банков, с другой — готовность оперативно взаимодействовать и устранять возникшие проблемы, пояснили в ЦБ.

Банк России впервые провел дистанционные антихакерские учения

По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, в ходе учений отрабатывались различные ситуации реагирования на инциденты и тестировались процедуры взаимодействия с Банком России.

«
Акцент был сделан на вопросах предупреждения хищений денежных средств с корсчетов банков и вирусные атаки, а также на максимально быстром реагировании подразделений информационной безопасности и качестве взаимодействия с ФинЦЕРТ Банка России»,— пояснил он изданию.
»

Ранее ЦБ провел проверки систем кибербезопасности банков, по результатам которых организации, не отвечающие параметрам эффективности киберзащиты, получили штраф. В феврале 2021 года стало известно о 17 попавших под штрафные санкции финансовых организациях. Теперь, если нарушения банка будут выявлены во время учений, ЦБ понизит такой организации риск-профиль (сводная оценка защищенности банка от рисков).[9]

Центробанк оштрафовал 17 банков за нарушение требований по ИБ

По итогам проверок, проведённых Банком России, в стране выявлено 17 кредитных организаций, которые нарушили требования кибербезопасности. Об этом стало известно 9 февраля 2021 года, со слов перого заместителя директора департамента информационной безопасности регулятора Артем Сычев.

«
У нас за последнее время порядка 17 банков получили штрафы за несоблюдение требований в части информационной безопасности, — сообщил Сычев в ходе выступления в Госдуме.
»

Сычев добавил, что ЦБ начинает переходить от проверок к киберучениям. По его словам, это более эффективная форма, позволяющая быстрее выявлять риски, которым могут подвергнуться банки, финансовые организации. Соответственно, и реагировать на обнаруженные проблемы таким образом можно будет быстрее[10].

2020

Блокировка 7680 мошеннических сайтов

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России в 2020 году инициировал блокировку 7680 мошеннических сайтов. Большинство среди них (6256) — ресурсы, маскирующиеся под продажу авиа/железнодорожных билетов и p2p-переводы, обменники.

Чуть более 1 тыс. сайтов выдавали себя за продукты банков, 45 — за сайты страховых организаций, что в два раза больше, чем в 2019 году.

Как сообщает «Интерфакс» со ссылкой на обзор Банка России об основных типах компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах, 148 ресурсов распространяли вредоносное программное обеспечение, однако это в 7,5 раза меньше, чем годом ранее. 114 сайтов мошенников выдавали себя за те, что предназначены для профессиональных участников рынка ценных бумаг, а 83 маскировались под микрофинансовые организации.

За 2020 год ЦБ РФ заблокировал 7680 мошеннических сайтов

Регулятор отметил рост числа атак на банковских клиентов в 2020 году на 88%. За два отчетных года в 84% случаев злоумышленники использовали телефонную связь. Около 16% произошедших инцидентов связано с получением гражданами мошеннических смс или сообщений в различных мессенджерах.

Помимо этого, в 2020 году в доменных зонах .RU, .РФ, .SU Банком России было инициировано снятие с делегирования 2510 доменов, в остальных зонах - 5170.

Согласно данным ЦБ, в 2020 году регулятор выявил и отправил на блокировку 26,4 тыс. телефонных номеров, с которых мошенники обзванивали клиентов банков. Это почти в два раза (на 86%) больше, чем годом ранее.

Рост телефонного мошенничества и увеличение числа мошеннических сайтов определенных видов в Центробанки связали прежде всего с пандемией COVID-19 и переходом экономической деятельности в онлайн. Пик активности злоумышленников как по количеству несанкционированных операций, так и по объему средств пришелся на конец марта — начало апреля, то есть на время максимально строгого локдауна.[11]

Разработан стандарт для обеспечения безопасности финансовых сервисов на основе протокола OpenID

Компания «ИнфоТеКС» 24 ноября 2020 года сообщила о том, что приняла участие в разработке стандарта Банка России «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID» (СТО БР ФАПИ.СЕК-1.6-2020). Подробнее здесь.

Центробанк ужесточает нормы обработки информации для БКИ

В конце октября 2020 года Центробанк РФ опубликовал положение, в рамках которого регулятор решил ужесточить требования к информации, передаваемой в кредитные истории. Подробнее здесь.

ЦБ вводит новые требования к кибербезопасности брокеров

21 августа 2020 года стало известно о том, что ЦБ вводит новые требования к информационной безопасности для брокеров. Те оказались не готовы нести дополнительные расходы.

Национальная ассоциация участников фондового рынка (НАУФОР) в связи с многочисленными обращениями профессиональных участников рынка ценных бумаг, управляющих компаний (УК) и специализированных депозитариев направила в Банк России письмо с просьбой изменить положение №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации…».

С 2021 года ЦБ повысит порог для отнесения компаний к стандартному уровню защиты, чтобы как можно больше участников рынка остались на минимальном уровне. Действующая к 21 августа 2020 года редакция положения для брокеров предполагает переход на стандартный уровень защиты с минимального, если объем клиентских операций за три месяца превышает 100 млн рублей. Участники рынка просят поднять его до 200 млн рублей.

Брокеры не готовы нести допрасходы по новым требованиям ЦБ к кибербезопасности

Как пишет «Коммерсантъ», под стандартный уровень защиты подпадают около 200 брокеров или примерно 50% компаний, получивших соответствующую лицензию. По словам директора департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергея Демидова, под стандартный уровень защиты подпадают даже те брокерские компании, которые не имеют большого числа клиентов и работают только на себя, не создавая риска для клиентов, которых у них попросту нет.

Ожидается, что соответствие новым нормам обойдется каждой небольшой брокерской компании примерно в 10-30 млн рублей в год. Один из собеседников газеты пояснил, что для брокера не из топ-30 необходимо:

  • инвестировать в железо и средства защиты одновременно около 2–5 млн рублей;
  • ежегодная поддержка в 20–30% от стоимости;
  • внешняя оценка соответствия ГОСТ 57580 минимум 2 млн рублей;
  • оценка доверия программного обеспечения по уровням доверия (1,5–2 млн рублей).[12]

Банк России выпустил рекомендации по кибербезопасности в условиях пандемии коронавируса

24 марта 2020 года стало известно, что Центральный банк РФ разработал и порекомендовал финансовым компаниям и организациям меры по обеспечению кибербезопасности сотрудников в условиях пандемии коронавирусной инфекции (COVID-2019). Данные меры помогут свести к минимуму риски ошибок во время проведения денежных переводов, транзакций, ведению банковских счетов физических и юридических лиц, снятию наличных денег в банкоматах и пр.

Банковские операции, не связанные с открытием и ведением счетов и не влияющие на бесперебойность транзакций, предлагается осуществлять в удаленном режиме. Банк России рекомендует в целях безопасности применять технологии виртуальных частных сетей, многофакторной аутентификации, а также организовать мониторинг и контроль действий пользователей удаленного мобильного доступа.

Кредитным организациям рекомендуется обеспечить бесперебойную работу денежных переводов, а также открытие и ведение банковских счетов физических и юридических лиц. Для этого необходимо идентифицировать работников и минимизировать риски нарушения данных операций.

Также финансовым компаниям и организациям необходимо поддерживать оперативное информационное взаимодействие с Банком России посредством автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитнофинансовой сфере Департамента информационной безопасности Банка России (АСОИ ФинЦЕРТ) в соответствии с требованиями, предусмотренными нормативными актами Банка России[13].

ЦБ начинает штрафовать банки за отсутствие систем распознавания мошеннических операций

В начале марта 2020 года Центробанк РФ сообщил о том, что начинает штрафовать банки за отсутствие систем распознавания мошеннических операций. Речь идёт о технологиях антифрода, отслеживающих нетипичные для клиента операции, которые потенциально может совершать мошенник.

«
Мы готовим штрафы двум банкам за то, что они не обратили внимание на то, что они должны заботиться о своих клиентах, у них антифрода нет. В принципе антифрода не было, — заявил журналистам первый замдиректора департамента информационной безопасности ЦБ Артем Сычев (цитата по ТАСС Информационное агентство России).
»

Центробанк впервые оштрафует банки за отсутствие систем антифрода

Он не уточнил имена кредитных организаций, которые будут наказаны. Сычев сообщил, что документы о штрафах готовятся, а акты отсутствия в банках систем распознавания мошеннических операций были выявлены в ходе плановых проверок.

Как напоминают «Ведомости», к началу марта 2020 года действуют поправки, обязывающие банки блокировать транзакции, похожие на мошеннические. Финансовые организации должны выявлять такие операции по трёх главным признакам:

  • совпадение информации о получателе перевода с данными базы ЦБ о случаях и попытках хищений;
  • совпадение параметров устройства, с которого совершается перевод, с данными из базы ЦБ;
  • несовпадение характера, параметра, объема, места совершения операции или устройства, с которого она проводится, с данными об обычных для клиента транзакциях.

«
Закон вступил в силу, время мы дали на то, чтобы банки отработали эту тему. Последовательно будем добиваться того, чтобы у банков работали и эффективно работали системы антифрода, — заявил Артем Сычев.
»

По его словам, отсутствие систем распознавания мошеннических операций может сильно повлиять на финансовое состояние банка, также это является неприятностью для руководства банка — «все прекрасно понимают, что просто так не штрафуют».[14]

2019

Банки утвердили требования к разработке и оценке соответствия ГОСТу ПО и мобильных приложений

16 декабря 2019 года стало известно, что банки большинством голосов утвердили требования к разработке и оценке соответствия ГОСТу программного обеспечения (ПО) и мобильных приложений, которые были подготовлены в рамках рабочей группы при участии представителей нескольких крупных кредитных организаций, Московской биржи и Национального расчетного депозитария.

На заседании Технического комитета 122 с участием финансовых организаций и ЦБ был рассмотрен документ, описывающий требования к разработке и оценке соответствия ГОСТу программного обеспечения (ПО) и мобильных приложений банков и некредитных финансовых организаций. Назначение документа — минимизация и устранение угроз и рисков информационной безопасности. После двух месяцев обсуждения внесено порядка 400 предложений по изменениям, но самые спорные нормы, против которых протестовали банкиры, сохранились.

В числе недостатков документа было названо требование оценивать соответствие ГОСТу с привлечением специализированных лабораторий, которые работают крайне медленно, а также то, что в его основе лежит стандарт, принятый ранее, чем начала применяться практика гибкой методологии разработки мобильных приложений. Кроме того, участников заседания не устроило то, что документ сохранил свое распространение на мобильные устройства, хотя специфика требований в первую очередь относится к стационарным ПК, поэтому часть требований организации не смогут соблюдать чисто технически.

Замглавы департамента информационной безопасности ЦБ Артем Сычев пообещал, что в первый год финансовые организации не будут привлекаться к ответственности за неисполнение требований. Также он согласился дать возможность рабочей группе доработать документ, чтобы подтверждать соответствие собственных разработок можно было без сторонних специалистов[15].

ЦБ выявил в банках более 700 нарушений в сфере защиты информации

Как стало известно 6 ноября 2019 года, с начала 2019 года ЦБ РФ осуществил 109 проверок банков на предмет киберустойчивости, в ходе которых было выявлено более 730 нарушений. Около 80% из них так или иначе связаны с недостаточной защитой информации внутри кредитной организации. Об этом рассказала глава Центробанка Эльвира Набиуллина в своем выступлении в Совете Федерации.

«
Будем и дальше усиливать надзор, стимулировать банки тщательно подходить к вопросам кибербезопасности, — добавила глава Банка России.
»

«
Киберустойчивость — это не просто поставить на компьютер антивирусную программу, нужно писать требования киберустойчивости ко всем бизнес-процессам. Именно это критически важно для следующего динамичного развития технологий, — добавила Эльвира Набиуллина.[16]
»

ЦБ впервые оштрафует два банка за отсутствие систем антифрода

Центробанк впервые оштрафует банки за отсутствие систем антифрода, рассказал журналистам первый замдиректора департамента информационной безопасности ЦБ Артем Сычев. Об этом 10 октября 2019 года сообщила газета Ведомости. Системы антифрода отслеживают нетипичные для клиента операции, которые потенциально может совершать мошенник.

ЦБ
«
Мы готовим штрафы двум банкам за то, что они не обратили внимание на то, что они должны заботиться о своих клиентах, у них антифрода нет. В принципе антифрода не было, – сказал Сычев.
»

Какие кредитные организации будут наказаны, Сычев не уточнил, отметив только, что речь идет о двух банках. Окончательное решение о штрафах пока не вынесено, документы готовятся, добавил он. Факты отсутствия в банках систем распознавания мошеннических операций были выявлены в ходе плановых проверок.

ЦБ разъяснил три признака несанкционированной банковской операции[17].

Поправки, обязывающие банки блокировать транзакции, похожие на мошеннические, вступили в силу в сентябре 2018 года. Выявлять такие операции банки должны по трем признакам. Первый – совпадение информации о получателе перевода с данными базы ЦБ о случаях и попытках хищений. Второй признак – совпадение параметров устройства, с которого совершается перевод, с данными из базы ЦБ. Третий признак – несовпадение характера, параметра, объема, места совершения операции или устройства, с которого она проводится, с данными об обычных для клиента транзакциях.

ЦБ разработал план по кибербезопасности финансовой системы

16 сентября 2019 года Центробанк РФ представил доклад «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов».

Часть идей регулятор уже предлагал, но есть и новые положения. Так, планируется регулирование применение больших данных, искусственного интеллекта, роботизации и интернета вещей в кредитно-финансовой сфере.

Банк России разработал план обеспечения киберустойчивости финансовой системы до 2021 года

Кроме того, Банк России намерен заняться обработкой информации с использованием цифровых технологий, внедрить массовое использование криптографии на финансовом рынке и активно участвовать в развитии программы импортозамещения.

ЦБ задумался о подготовке специалистов в сфере ИБ. В числе прочего он хочет разработать образовательный профстандарт, ввести аттестацию сотрудников финансовых организаций на базе Университета ЦБ и обучать основам кибербезопасности школьников и студентов

В рамках основных направлений ЦБ ставит перед собой следующие задачи в области ИБ:

1)  Обеспечение киберустойчивости:

  • обеспечение готовности кредитно-финансовой сферы гарантировать финансовую стабильность и операционную надежность в условиях реализации компьютерных атак, в том числе обеспечение операционной надежности и непрерывности предоставления финансовых и банковских услуг;
  • контроль показателей риска реализации информационных угроз;
  • контроль уровня банковских и финансовых операций, совершенных без согласия клиентов; • мониторинг, оперативное реагирование и предотвращение компьютерных атак на организации кредитно-финансовой сферы.

2) Защита прав потребителей финансовых услуг через мониторинг показателей уровня финансовых потерь.

3) Содействие развитию инновационных финансовых технологий в части контроля показателей риска реализации информационных угроз и обеспечение необходимого уровня информационной безопасности.[18]

ЦБ будет штрафовать банки за слабую киберзащиту

12 сентября 2019 года стало известно о том, что ЦБ ведет новое наказание для банков за плохую киберзащиту. До конца года регулятор запустит для кредитных организаций новую характеристику — иск-профиль по уровню информационной безопасности.

Данный показатель, как сообщил журналистам первый замдиректора департамента информационной безопасности Банка России Артем Сычев, будет отражать вычисляемую вероятность возникновения проблем у банка из-за несоблюдения норм кибербезопасности.

ЦБ ведет новое наказание для банков за плохую киберзащиту

Риск-профиль сформируют на основе четырёх характеристик, в том числе доли несанкционированных операций по картам и готовности банка отразить атаку.

Также параметр будет учитываться в оценке экономического положения банка наравне с размером капитала, доходностью, ликвидностью, качеством управления и др.

В зависимости от риск-профиля по уровню кибербезопасности ЦБ будет давать банкам рекомендации, а для низшей категории могут быть предусмотрены штрафы и усиление надзора. Вычисление риск-профиля позволит оценивать, как менеджмент банка реагирует на возникающие киберугрозы, добавили в ЦБ.

По словам Сычева, отнесение к той или иной группе не будет оказывать влияние на капитал, но окажет — на резервирование по сделкам и условия кредитования на межбанке.

Сычев рассказал, что риск-профиль в сфере кибербезопасности также будет учитываться и при оценке экономического положения банка. Их, согласно оценке, будут включать в одну из групп — от не испытывающих трудностей до тех, где нарушения несут реальную угрозу интересам вкладчиков и кредиторов.

«
Никто до этого ни в Российской Федерации, ни в других странах не определял такие показатели, по которым регулятор может сформировать мнение о ситуации, достигает ли он целей своего регулирования или нет с точки зрения информационной безопасности, — пояснил он.[19]
»

Требование для кредитных организаций по обеспечению кибербезопасности

3 июня 2019 года стало известно, что вступило в силу Положение Центробанка, описывающее требования для кредитных организаций по обеспечению кибербезопасности.

Целью документа является предотвращение перевода денежных средств без согласия клиента с помощью как технических средств, так и методов социальной инженерии. Согласно положению, банки обязаны обеспечивать защиту IT-систем и приложений, используемых при открытии вкладов, выдаче кредитов, оформлении и ведении счетов физических и юридических лиц.

В частности документ обязывает банки один раз в год проводить анализ уязвимостей в ПО с привлечением сторонних специалистов, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Также один раз в два года должна проводиться оценка соответствия уровню защиты информации требованиям ГОСТа.

Согласно Положению, все действия сотрудников и клиентов в системах дистанционного обслуживания, а также данные об устройствах, использовавшихся для проведения операций, должны храниться в течение пяти лет.

«
Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимы на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации,
говорится в Положении[20]
»

ЦБ реализует пилотный проект по подтверждению электронной почты банковских клиентов

3 июня 2019 года стало известно, что Центробанк РФ вместе с банками реализует пилотный проект по подтверждению электронной почты банковских клиентов — физических лиц. Первый заместитель главы департамента информационной безопасности Банка России Артем Сычев подтвердил изданию эту информацию. Он пояснил, что банки часто направляют клиенту сообщения по SMS или электронной почте, при этом, если адрес не подтвержден, доступ к банковской тайне может получить злоумышленник.

Изначально граждане, становясь клиентами банка или оформляя какой-то продукт, сами предоставляют электронный адрес. Но со временем он может устареть, быть взломан или в случае корпоративной почты перейти к другому лицу. Банки эти риски фактически игнорируют, не запрашивая данные об изменении электронного адреса, а клиенты нередко просто забывают, какой почтовый ящик указывали при заполнении анкеты.

Между тем, кредитные организации отправляют гражданам по электронной почте важную персональную информацию, такую, например, как выписки по счетам. Верификация телефонных номеров существует и будет усилена через законопроект по обмену информации по SIM-картам.

«
Однако провести схожую верификацию с имейлами невозможно: разные операторы, почты разные, собственные есть системы. Между тем важно, чтобы информация (выписка, сообщение о платежах и так далее), если направляется по данному каналу, попала тому, кому принадлежит,
пояснил Сычев Артем, заместитель главы департамента ИБ ЦБ
»

В ходе пилотного проекта банки прорабатывают варианты подтверждения электронной почты. Среди участников пилотного проекта — Тинькофф Банк, ОТП Банк, ВТБ. В кредитных организациях участие не отрицают, однако раскрывать не хотят. В ОТП Банке указали лишь, что процедура должна быть простой, но при этом обеспечивающей достаточный уровень верификации. Артем Сычев подчеркнул, что необходимо верифицировать почту как новых, так и уже действующих клиентов.

По словам председателя правления банка «Русский Стандарт» Александра Самохвалова, доступным способом подтверждения почты для клиентов могут стать интернет- и мобильный банки, банкомат (при введении карты и ПИН-кода), предложение подтвердить имейл клиент может получать при входе в дистанционный канал обслуживания. По словам гендиректора Zecurion Алексея Раевского, например, при подтверждении через мобильный банк клиенту может приходить на почту код, который опять же надо будет ввести в мобильном банке.

После появления перечня предложений его планируется обсудить со всем рынком. Пока не решено, будут предложения по верификации электронной почты выпущены в виде методических рекомендаций или же станут обязательными требованиями путем внесения поправок к положению 382-П. В ЦБ этот вопрос не комментируют.

Участники рынка в целом поддерживают инициативу регулятора, уточняя, что важно конкретное содержание будущих требований или рекомендаций. По словам директора департамента клиентских взаимоотношений Промсвязьбанка Даниила Ткача, подтверждение почты позволит повысить эффективность коммуникации, однако для верификации электронных адресов банкам может потребоваться дополнительная автоматизация.

«
Важно, чтобы ЦБ дал время на реализацию требований по верификации, разумным может быть срок от полугода,
прокомментировал Ткач Даниил, директор департамента клиентских взаимоотношений Промсвязьбанка
»

Кроме того, регулятор должен определить, что можно отправлять по электронной почте, а что нет.

«
Почта была и остается каналом, по которому данные пересылаются в открытом виде, их легко перехватить, подменить. И потому сообщения не должны содержать критическую информацию. Если же речь идет о банковской тайне, то письма с ее содержанием должны направляться только с согласия клиента,
отмечает Алексей Лукацкий, консультант по интернет-безопасности компании Cisco[21]
»

ЦБ РФ расширил требования к банкам по защите информации

Банк России ужесточил требования к банкам по защите средств клиентов от киберпреступников, следует из нового положения ЦБ. Документ одобрен руководством регулятора, ФСБ и Федеральной службы по техническому и экспортному контролю.

Документ вводит обязанность банков обеспечивать защиту при привлечении вкладов (как от физических, так и от юридических лиц), размещении привлеченных средств и ведении банковских счетов клиентов. Ранее кредитные организации должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денежных средств.

«Максимальные требования будут предъявляться к системно значимым кредитным организациям, банкам, выполняющим функции оператора услуг платежной инфраструктуры системно значимых платежных систем, а также к значимым на рынке платежных услуг кредитным организациям. Ко всем остальным будут предъявляться стандартные требования», - указывается[22] в сообщении пресс-службы ЦБ.

В положении обозначены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного программного обеспечения, технологии обработки защищаемой информации.

ИБ-защиту небольших банков предложили доверить новой компании под патронажем ЦБ

Одной из тем, поднятых на состоявшейся 18 февраля 2019 года встрече банкиров с главой Центробанка РФ Эльвирой Набиуллиной, стала проблема обеспечения информационной безопасности небольших банков. Предлагается создать специальную ауторсинговую компанию, которая бы под патронажем ЦБ занималась киберзащитой кредитных организаций с небольшим капиталом.

«
Такой аутсорсинговый институт неплохо было бы создать, поскольку ИТ — капиталоемкая вещь, — рассказал «Коммерсанту» глава комитета Госдумы по финансовому рынку Анатолий Аксаков.
»

Банкам с базовой лицензией поможет аутсорсинг, считает глава комитета Госдумы по финансовому рынку Анатолий Аксаков

По его словам, небольшие банки не могут самостоятельно обеспечить должный уровень безопасности, а привлечение на аутсорсинг ключевых компаний на этом рынке обходится слишком дорого — они сначала вовлекают банки в свою цифровую архитектуру, от которой сложно отказаться, и затем давят тарифами.

С другой стороны специальный институт, работающий с небольшими банками, должен вызывать доверие у них. Не каждый банк готов предоставить свои данные конкуренту, что, например, удерживает некоторых от сотрудничества с компанией Bi.zone, которая принадлежит Сбербанку, отмечает газета.

Анатолий Аксаков видит одним из вариантов решения проблемы создание института на базе уже действующих компаний, которые готовы предложить свою платформу. Выбор такой компании должен осуществляться по итогам конкурса, а сама компания должна находиться под патронажем ЦБ, считает чиновник.

По мнению директора по развитию компании «Информзащита» Михаила Савельева, создание специализированного игрока не пойдет на пользу. Такие компании, как правило, начинают стремительно искать высококвалифицированных специалистов, а в условиях сжатых сроков ей приходится лишь переманивать сотрудников у конкурентов, предлагая большие зарплаты. Стоимость таких кадров искусственно взвинчивается, что отражается на конечной цене решений и проектов по всему рынку, пояснила эксперт.[23]

2018

ЦБ внес в антифрод-систему 10 тыс. счетов мошенников для вывода денег

По сообщению от 30 ноября 2018 года записи о более чем 10 тыс. счетов, которые используются мошенниками для вывода денег, внесены в автоматизированную антифрод-систему ЦБ РФ (база данных об операциях по переводу денежных средств без согласия клиента).

«
До недавнего времени все знали, что банки обменивались информацией о счетах тех физических или юридических лиц, через которые выводили ворованные деньги. Мы этот обмен легализовали путем внесения изменений в законодательство. С апреля по август 2018 года мы сумели запустить саму систему, и с августа по ноябрь в этой системе появилось более 10 тыс. записей о счетах, через которые злоумышленники пытаются выводить ворованные деньги. Коллеги активно пользуются этой базой и видят, как их клиенты защищены от того, чтобы их деньги уходили на такие счета.
Артем Сычев, первый заместитель директора департамента информационной безопасности ЦБ
»

База функционирует в рамках автоматизированной системы обработки инцидентов (АСОИ), к которой подключены все российские банки[24].

ФинЦЕРТ будет защищать центральные банки государств-членов ЕАЭС

Банк России заключил соглашения о взаимодействии в сфере информационной безопасности с несколькими странами Евразийского экономического союза.

Так, 15 ноября 2018 года соглашение о взаимодействии в области информационной безопасности заключено с Национальным банком Кыргызской Республики. Ранее аналогичные документы были подписаны с финансовыми регуляторами Республики Казахстан, Республики Армения и Республики Беларусь.

Банк России. Фото: newsnn.ru

В рамках заключённых соглашений партнеры Банка России в случае выявления угроз информационной безопасности направляют в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России оперативные уведомления, содержащие основные параметры компьютерных атак. Сотрудники центра, в свою очередь, оказывают им помощь в проведении исследований вредоносного программного обеспечения, а также консультируют по атакам на банкоматы и разделегированию фишинговых ресурсов. По итогам анализа полученной в рамках соглашений информации ФинЦЕРТ также формирует и направляет участникам информационного обмена оперативные информационные рассылки, содержащие основные параметры компьютерных атак и индикаторы компрометации.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) — структурное подразделение Департамента информационной безопасности ЦБ РФ. Главной задачей Центра является противодействие злоумышленникам путем взаимного информирования и оповещения участников банковского сообщества об уязвимостях, угрозах и рисках, с которыми каждому из них приходится сталкиваться. Изначально этот центр должен был обеспечивать безопасность только российского банковского сектора, однако вновь заключенные соглашения превращают его в международный орган кибербезопасности, распространяющий свою защиту на иностранные финансовые организации.

Как заявил первый заместитель директора Департамента информационной безопасности Банка России Артем Сычев, формирование общего финансового рынка ЕАЭС сопряжено с развитием цифровых технологий, что вызвало необходимость создания общей эффективной системы кибербезопасности на базе финансовых регуляторов стран — членов союза.

«
Вполне логично, если в рамках экономического союза будет функционировать общая система защиты финансовой информации с единым центром, — полагает Георгий Лагода, генеральный директор компании SEQ (ранее SEC Consult Services). — Такой подход позволит унифицировать и ускорить обмен данными о кибератаками между участниками союза, что по состоянию на ноябрь 2018 года особенно актуально, поскольку кредитно-финансовые организации стран ЕАЭС чаще всего сталкиваются с одними и теми же угрозами.
»

ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ

6 ноября 2018 года появилась информация о том, что Банк России закрепил форматы направления сообщений банками в ФинЦЕРТ в пятом стандарте по информбезопасности. Предыдущие четыре стандарта были добровольными для присоединения, однако в данном случае избежать работы по стандарту технически не удастся.

Вступивший в силу с 1 ноября 2018 года отраслевой стандарт ЦБ 1.5 утвердил форму и порядок взаимодействия банков с ФинЦЕРТ (подразделение ЦБ по борьбе с киберугрозами). Существенная часть этого документа посвящена формату направления информации в платформу АСОИ (платформа для оперативного обмена информацией ЦБ с банками об инцидентах и т.д., запущена с июля 2018 года).

Тот факт, что ЦБ решил закрепить техническую информацию в стандарте, удивил рынок.

«
До появления данного стандарта существовало еще четыре, посвященных информационной безопасности, и банк мог сам решить — соблюдать их или нет, — рассуждает собеседник газеты Коммерсантъ из банка топ-30. — Решение о соблюдении принималось руководством банка, соответствующее письмо направлялось в ЦБ, потом банк проходил сертификацию.
»

При этом требования к информационной безопасности в этих стандартах были более жесткие и дорогостоящие, и многие банки не желали к ним присоединяться, указал собеседник газеты.

В то же время, уклониться от направления информации в АСОИ банк не может, форматы едины для всех, таким образом, не соблюдать пятый стандарт банки фактически не могут. Но присоединиться к одному стандарту, не приняв остальных, нельзя. Как результат, банкам теперь придется соблюдать все пять стандартов, заключил представитель российского банка.[25]

Законопроект о защите информации в некредитных финорганизациях

Центробанк РФ подготовил законопроект "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков". Текст законопроекта опубликован 4 сентября 2018 года на сайте Правительства РФ и, по состоянию на 6 сентября, проходит независимую антикоррупционную экспертизу.

Независимая антикоррупционная экспертиза продлится до 17 сентября 2018 года. Фото: РИА Новости/Наталья Селиверстова

Законопроект устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации — в целях противодействия незаконным финансовым операциям.

Некредитным организациям предлагается привлекать организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации и/или на деятельность по разработке и производству средств защиты таких данных.

Законопроект также перечисляет конкретные категории защищаемой информации — под это определение подпадают любые конфиденциальные сведения, связанные с осуществлением финансовых операций, данные о клиентах и операторах, которые их осуществляют, и технических систем, используемых для таких операций. Для объектов информационной инфраструктуры и автоматизированных систем, используемых для осуществления финансовых операций «в целях обработки, передачи, хранения защищаемой информации», некредитные финансовые организации должны обеспечивать три уровня защиты: усиленный, стандартный и минимальный. Усиленный уровень защиты предписывается реализовывать только системно значимым инфраструктурным организациям финансового рынка, при условии совершения более 3 млн финансовых операций в день.

Законопроект перечисляет виды деятельности для компаний, которые могут обойтись минимальным уровнем защиты: микрофинансовые организации; кредитные потребительские кооперативы; жилищные накопительные кооперативы; сельскохозяйственные кредитные потребительские кооперативы и ломбарды. Прочим организациям потребуется обеспечивать стандартный уровень защиты.

Организации, которым предписывается иметь усиленный и стандартный уровень защиты информации, на стадиях создания и эксплуатации объектов информационной инфраструктуры должны использовать для финансовых операций прикладное программное обеспечение автоматизированных систем и приложений, «сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю РФ на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013», указывается в законопроекте.

Также они обязаны проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Для этого и предполагается привлекать сторонние организации, обладающие лицензиями на проведение подобного рода работ.

При модернизации объектов информационной инфраструктуры также должна проводиться проверка на уязвимости, но она может быть ограничена только теми компонентами, которые непосредственно претерпели какие-либо изменения. Финансовая организация может проводить такую проверку самостоятельно или с привлечением сторонних экспертов.

Законопроект также устанавливает порядок распространения и защиты клиентского ПО (мобильных приложений) для осуществления операций через Сеть. В документе оговаривается, что финансовая организация, в случае выявления поддельных приложений в репозиториях мобильного ПО, должна проинформировать о подделках и клиентов, и операторов репозитория.

Описывается также порядок защиты данных в электронных сообщениях, сопутствующих финансовым операциям — сюда входят аутентификация и авторизация клиентов; защита от ложной авторизации; выявление фальсифицированных электронных сообщений и прочих попыток злоумышленников атаковать канал связи. Регламентируется порядок реагирования на киберинциденты и хранение информации о них.

Организациям, которые должны обеспечивать стандартный и усиленный уровни защиты, предписывается сформировать собственные службы информационной безопасности (если они ещё не созданы) и определить их цели и задачи во внутренней документации.

Кроме того, некредитные финансовые организации должны информировать Банк России обо всех выявленных инцидентах, связанных с нарушением защиты информации, а также о своих планах по раскрытию информации об этих инцидентах — в том числе о размещении информации на официальных сайтах интернета, выпуске пресс-релизов и проведении пресс-конференций — не позднее одного рабочего дня до проведения мероприятия.

Оценка соответствия защиты информации осуществляется в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденным приказом Росстандарта от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта» (М., ФГУП «РСТ - Российский институт стандартизации (ранее Стандартинформ)», 2018).

«
По состоянию на 6 сентября это лишь законопроект, — указал Олег Галушкин, директор по информационной безопасности компании SEQ (ранее SEC Consult Services), — и к окончательному чтению документ может поменяться до неузнаваемости. Однако на первый взгляд проект предъявляет вполне логичные требования и к порядку защиты данных при осуществлении финансовых транзакций, и к порядку информирования ЦБ об инцидентах.
»

Полный текст законопроекта доступен здесь. Независимая антикоррупционная экспертиза будет проводиться до 17 сентября 2018 года.

"Песочница" для тестирования сторонних финансовых ИТ-систем

На испытательной регулятивной площадке («песочнице») Центробанка был осуществлен первый пилотный проект по тестированию продукта. Проверку прошел сервис Сбербанка для удаленного управления полномочиями по счетам корпоративных клиентов, которые дают право совершать операции в банковских отделениях. Эксперты считают, что «песочница» поможет банкам сэкономить на обслуживании корпоративных клиентов, сообщает Центробанк на своем сайте[26].

Пилот был реализован в сотрудничестве с профессиональными ассоциациями игроков финансового рынка и госорганами. Центробанк и организованные в «песочнице» экспертные советы порекомендовали сервис к внедрению на рынке, сделав ряд замечаний, которые при этом необходимо учесть.

«По итогам проведенного пилотирования сервиса предполагаются изменения в нормативные акты Банка России, чтобы все желающие участники финансового рынка могли его реализовать и использовать как для повышения удобства при обслуживании своих клиентов, так и для сокращения собственных издержек», – отметил исполняющий обязанности директора департамента финансовых технологий Центробанка Иван Зимин.

Регулятор сообщает, что на данный момент получил более 20 заявок на тестирование продуктов в песочнице от финансовых организаций, финтех-компаний и других предприятий. Среди них есть проекты в сфере цифровых активов и внедрения новых финансовых технологий.

Испытательная регулятивная площадка Центробанка — так называемая «песочница» — была создана в апреле 2018 г. «Песочница» — это ограниченная среда, где тестируются инновационные финансовые технологии, нуждающиеся в корректном регулировании. За ходом пилотных проектов, которые осуществляются в «песочнице», наблюдает Центробанк, а также профильные госорганы, ассоциации и институты развития.

Банк России вычислит «черных кредиторов» с помощью Big Data

Возможности Big Data используют для защиты россиян в интернете от «черных кредиторов». Центробанк разрабатывает проект, который позволит применить новую модель надзора: различать сайты компаний, имеющих и не имеющих право выдавать займы потребителям. Об этом сказано в документах регулятора, с которыми ознакомились «Известия» в июле 2018 года. Машина гораздо быстрее и эффективнее человека проанализирует огромные объемы информации в Сети, поясняют эксперты[27].

Минфин готовит доклад президенту о разработке и реализации комплекса мероприятий, направленных на выявление и пресечение нелегальной деятельности по предоставлению потребительских займов. Банк России сформировал свою часть данных для этого доклада. Это следует из письма первого зампреда ЦБ Сергея Швецова в Минфин от 11 мая. В нем сказано, что регулятор работает над специализированной моделью надзора на основе Big Data.

Она позволит разделять сайты на имеющие и не имеющие право на выдачу займов. Развитие проекта осуществляется во взаимодействии с компанией «ЕС-Лизинг», которая занимается разработкой программного обеспечения и вычислительной техники. В IT-компании на запрос «Известий» не ответили.

Центробанк обязал банки уведомлять о спаме с вредоносными файлами

17 июля 2018 года стало известно о том, что Центробанк РФ обязал банки отчитываться обо всех спам-рассылках с вредоносными файлами. В случае невыполнения требования кредитные организации могут быть наказаны за неполное раскрытие данных.

Как пишет «Коммерсантъ», соответствующие поправки к положению ЦБ №382-П вступили в силу с 1 июля. С этого дня банки обязаны информировать о компьютерных инцидентах Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. При этом конкретный перечень инцидентов, подлежащих отчету, в новой редакции документа не определен. Он будет опубликован отдельным документом на сайте ЦБ, однако сроки публикации неизвестны.

Банки обязаны направить регулятору миллионы сообщений о вредоносных рассылках

Источники в опрошенных изданием банках рассказали, что объем нежелательных писем, которые они получают каждый день, огромен, но о спам-рассылках компании сообщают ЦБ не во всех случаях. Бизнес-консультант по безопасности Cisco Алексей Лукацкий в разговоре с газетой указал, что в общем объеме e-mail спам составляет 60–80%, что, по словам эксперта, «делает задачу информирования ФинЦЕРТа непростой». В Сбербанке в сутки фиксируется более 2 тыс. фишинговых писем и более 100 попыток доставки вредоносного ПО, рассказали изданию в пресс-службе банка.

Лукацкий отметил, что теоретически отказ от информирования Банка России обо всех случаях получения спам-рассылки с вредоносными кодами могут счесть нарушением. В пресс-службе регулятора «Коммерсанту» сообщили, что коммерческие кредитные учреждения несут «ответственность в соответствии с федеральным законом о Центральном банке». Однако определить факт такого нарушения будет достаточно сложно, если банк будет сообщать хоть о каких-то спам-рассылках, уверен Алексей Лукацкий.[28]

ЦБ обязал банки сообщать о хакерских атаках

28 июня 2018 года Центробанк РФ сообщил о том, что с 1 июля кредитные организации должны будут отчитываться перед регулятором о хакерских атаках и их технических параметрах. Ранее банки делали это на добровольной основе.

«
Теперь для повышения качества защиты от киберугроз кредитные организации должны использовать для перевода денежных средств только сертифицированное программное обеспечение и проводить его периодическое тестирование, — заявили в Банке России.
»

Банки РФ с 1 июля будут обязаны информировать ЦБ о хакерских атаках

Отмечается, что действовавший на протяжении нескольких лет подробный информационный обмен оказался востребованным как у кредитных организаций, так и у правоохранительных органов. Полученные от банков данные ЦБ использует для выработки рекомендаций по противодействию хакерским атакам. Речь также идет о несанкционированном переводе средств и доступе к устройствам клиентов банков, нарушениях оказания платежных услуг, вредоносных кодах, фишинге, DDoS-атаках.

Теперь оценивать соответствие уровня защиты будут организации, имеющие лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК). Кроме того, станет обязательным оценивание выполнения требований к обеспечению защиты информации при переводах денежных средств сторонними организациями, привлекаемыми к проведению оценки соответствия.

С 1 января 2020 года вводится требование ежегодного тестирования на проникновение и анализ уязвимостей информационной безопасности. Для этого банкам нужно будет привлекать внешнего аудитора.

Также с 2020 года внедряется условие об обязательном разделении программных сред подготовки и подтверждения платежей, в том числе при использовании систем дистанционного банковского обслуживания. Это поможет защитить клиентов банков от хакерских атак, уверены в ЦБ.[29]

ЦБ обязал банки проверять устройства клиентов при переводе денег

Банк России обязал кредитные организации проверять устройства клиентов, которые они используют при переводе денежных средств. Эти меры должны помочь в борьбе с отмыванием денег. Как пишут в «Ведомости» в номере от 21 июня 2018 года, по новой, апрельской, версии положения ЦБ, банки должны присваивать идентификаторы устройствам клиентов. В случае, если идентификаторы у нескольких клиентов совпадут, то они будут считаться клиентами с повышенным уровнем риска.

К концу июня 2018 года использование ИТ-характеристик для анализа деятельности клиентов рекомендовано ЦБ и уже используется многими банками, например, кредитные организации фиксируют IP-адреса клиентов. Но для соблюдения новых требований положения ЦБ потребуются ИТ-доработки, считают эксперты.

Банк России обязал кредитные организации проверять устройства клиентов, которые они используют при переводе денежных средств

В ВТБ сообщили изданию, что новые требования ЦБ лишь закрепили существующую практику: нововведения не приведут к каким-либо ограничениям для клиентов, банки просто обращают больше внимания на «рискованные» операции.

По словам управляющего директора по ИТ «Абсолют банка» Натальи Поздеевой, подробные данные о цифровом отпечатке гаджета выявить сложнее, и не все существующие системы способны это сделать. Банку придется чаще запрашивать у некоторых клиентов данные и обновлять их анкеты, отметила она.

Как пояснил глава практики финансовых расследований и противодействия коррупции ФБК Grant Thornton Александр Сотов, совпадение идентификаторов гаджетов может свидетельствовать о существовании «финансового диспетчерского центра», в котором мошенники с одного компьютера переводят деньги через интернет-банки подконтрольных им компаний. Один подобный центр выявили в 2010 году, но с тех пор преступники стали лучше скрываться при помощи VPN и других средств, добавил он.

Традиционные банковские системы мониторинга отслеживают сами транзакции: источник денег, куда они уходят и параметры операции в целом, рассказывает руководитель направления решений «Лаборатории Касперского» по предотвращению онлайн-мошенничества Александр Ермакович. Это работающая и надежная технология, но есть и более новые подходы, рассказывает он: анализ пользовательского поведения, который охватывает и устройства, с которых пользователь работает с банковскими системами, и окружение, привычки и его обычные поведенческие паттерны.

По словам Ермаковича, собираются сотни параметров: и информация о самом устройстве, и его характеристиках, в какой среде оно обычно работает, об особенностях использования устройства, поведения клиента в системе банк – клиент, связи с другими пользователями или устройствами. Все эти параметры объединяются, и машина выявляет аномалии поведения и нарушения шаблонов, что позволяет отличать мошенников и «обнальщиков» от обычных пользователей.[30]

ЦБ РФ обяжет банки раскрывать финансовый ущерб от кибератак

С 1 июля 2018 года Банк России изменит для банков - операторов по переводу средств и операторов услуг платежной инфраструктуры форму отчетности о событиях, связанных с нарушением защиты информации при переводе средств, сообщается на сайте регулятора[31]. Из отчетности будут исключены данные о технических характеристиках инцидента (способы и причины возникновения киберугрозы), вместо этого будут указываться экономические последствия для операторов и их клиентов[32].

В частности, операторы будут сообщать в Банк России о том, на какие суммы за отчетный период покушались киберпреступники и какой объем средств удалось похитить. «Важным показателем будет сумма похищенных средств, возвращенных оператором своим клиентам», - отмечает регулятор.

Данный показатель позволит Банку России оценить, насколько добросовестно операторы исполняют обязанность по возмещению своим клиентам похищенных денежных средств, установленную законом «О национальной платежной системе». Также в новую форму отчетности включены показатели непрерывности оказания услуг по переводу денежных средств при проведении компьютерной атаки.

Как считают в ЦБ, изменение формы отчетности позволит повысить достоверность данных о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств, более эффективно контролировать риски операторов по переводу денежных средств и услуг платежной инфраструктуры. Кроме того, предоставляемая ими информация позволит более точно оценивать качество систем управления рисками и капиталом кредитных организаций и банковских групп.

Информацию о технических подробностях атак операторы должны будут передавать в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) – структурное подразделение Банка России, которое занимается сбором и анализом информации от финансовых организаций о кибератаках.

Создание департамента информационной безопасности

Основная статья: Департамент информационной безопасности ЦБ России

В мае 2018 года Центральный банк РФ формирует новый департамент, деятельность которого целиком посвящена информационной безопасности.

Совет директоров ЦБ принял решение разделить Главное управление безопасности и защиты информации на два самостоятельных подразделения - департамент информационной безопасности и департамент безопасности Банка России. [33]

ЦБ готовит стандарт обеспечения ИБ для финорганизаций

Центробанк России 3 мая 2018 года опубликовал проект стандарта «Обеспечение информационной безопасности финансовых организаций Российской Федерации. Технология подготовки, направления и форматы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (СТО БР ИБФО-1.5-2018). Как указывается в пояснительной записке к документу, проект стандарта разработан с целью повышения достоверности данных о подобных событиях. Подробнее здесь.

ЦБ хочет получить полномочия силовиков

Правительство направило в апреле 2018 года в Госдуму проект, по которому ЦБ наделяется полномочиями беспрепятственного доступа в помещения компаний и к их документам. – сообщает РБК. Речь идет о борьбе с инсайдерскими махинациями.

Разрешение на подобную деятельность содержится в редакции правительственного законопроекта от 30 марта, направленного в Госдуму для рассмотрения во втором чтении и вносящего поправки в ст. 14 закона «О противодействии неправомерному использованию инсайдерской информации».

В рамках инсайдерских проверок, сотрудники ЦБ получат доступ к документам и информации, в том числе ограниченной федеральным законом – говорится в тексте законопроекта. Также, сотрудники смогут копировать оригиналы документов.

Сегодня ЦБ имеет полномочия только запрашивать документацию у организаций. Во время проверок все российские юридические лица, иностранные граждане и организации, работающие в России будут обязаны предоставить доступ к актам, договорам, справкам, деловой корреспонденции, а также «иным документам и материалам». ЦБ получит доступ к коммерческой, служебной, банковской тайне, информации о почтовых переводах денег и «иной охраняемой законом тайне» (за исключением государственной и налоговой тайны) – сообщает РБК.Инициатором поправки в правительственный законопроект выступил Банк России.

Банк объясняет необходимость расширения полномочий возможностью борьбы с манипулированием рынка. «Высокая степень опасности, скрытность таких преступлений, совершаемых «профессионалами» финансового рынка, требует внесения соответствующих изменений», — сообщается в документе.

Беспрепятственный доступ ЦБ в компании — это «общая практика предотвращения противоправных действий»,уточнил РБК со ссылкой на пресс-службу Банка.Проверки с беспрепятственным доступом представителей ЦБ в помещения юридических лиц и других организаций будут осуществляться только при серьезных основаниях полагать, что нарушен закон об инсайдерской информации – сообщил замглава Минфина Алексей Моисееев. «Не просто вы шли мимо и решили зайти, должны быть подозрения. Там целый перечень процедур принятия решения, все будет утверждено специальным органом внутри ЦБ», — прокомментировал он «Интерфаксу».Законопроект о наделении ЦБ новыми полномочиями планировалось вынести на рассмотрение во втором чтении на заседании комитета Госдумы по финансовым рынкам 5 апреля, но оно было перенесено.

ЦБ предложил стандарт по информационной безопасности

Банк России опубликовал в марте стандарт оказания услуг в сфере информационной безопасности для финансовых организаций. Соблюдение стандарта будет добровольным, однако в ЦБ не исключают, что в дальнейшем стандарт станет обязательным для всех компаний, оказывающих участникам финрынка услуги в сфере информационной безопасности[34].

В минувшем году российский банковский сектор столкнулся с волной киберактак. По данным международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности ESET, за год число подобных атак на финансовый сектор выросло почти в полтора раза.

Стандарт предназначен для банков, некредитных финансовых организаций, субъектов национальной платежной системы и других участников финансового рынка, поясняется в сообщении на сайте регулятора. По мнению ЦБ, использование стандарта поможет формировать и поддерживать на приемлемом уровне систему обеспечения информационной безопасности малым и средним организациям, которым обычно не хватает финансовых и кадровых ресурсов.

«Стандарт вступает в силу с 1 июля 2018 года. Его положения носят рекомендательный характер. В дальнейшем при необходимости может быть рассмотрен вопрос об их обязательном применении», — говорится в сообщении ЦБ.

Перечень угроз безопасности для биометрических данных

12 февраля 2018 года стало известно о том, что Центральный банк РФ определил перечень угроз безопасности при обработке, сборе, хранении и проверке биометрических персональных данных в государственных органах, а также банках и иных организациях. Проект соответствующего нормативного акта опубликован на сайте Банка России.[35]

ЦБ определил угрозы для биометрических данных

Проект указания разработан для обеспечения защиты биометрических данных и прав граждан при работе с такими данными в ходе проведения идентификации, говорится в пояснительной записке банка.[36]

ЦБ полагает, что вступление в силу этого нормативного акта позволит сформировать основы для установления требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических данных в рамках идентификации, пишет «Интерфакс». Указание должно будет вступить в силу 30 июня 2018 года. Замечания и предложения по его содержанию принимаются с 12 по 25 февраля 2018 года, то есть, в течение всего лишь двух недель.

Под угрозой безопасности биометрических данных понимается совокупность условий и факторов, создающих опасность несанкционированного (в том числе случайного) доступа к этим данным с последующим их уничтожением, изменением, блокировкой, копированием, распространением и т.д.

Госдума в декабре 2017 года приняла закон, позволяющий банкам открывать счета физическим лицам без их личного присутствия, только с использованием биометрических паспортов и данных, загруженных на портал «Госуслуги».[37] Планируется, что закон об удаленной идентификации вступит в силу летом 2018 года.

«
В принципе, такой закон вполне релевантен современности, и в этом плане мы даже обгоняем законодательство ЕС, — заявил Олег Галушкин, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — Однако необходимо понимать, что защита биометрических данных требует высочайшего уровня исполнения, поскольку без нее возможность, например, открывать счета физлицам без их участия — это "генератор массовых рисков", которые непонятно кто на себя будет брать. Известно также, что Банк России совместно с Федеральной службой безопасности готовит мобильное приложение для удаленной идентификации клиентов кредитных организаций.
»

Открыт центр по борьбе с мошенничеством на финансовом рынке

Банк России открыл Центр компетенции по противодействию нелегальной деятельности на финансовом рынке. Об этом сообщили в пресс-службе регулятора. Центр открыт 2 февраля 2018 г. в Краснодаре. В нем будет аккумулироваться информация о нелегальной деятельности на финансовом рынке, поступающая из всех регионов страны.

«Ключевая задача Центра – разработка методологии по выявлению и пресечению подобных практик на основе анализа полученных данных. Использовать единую базу данных и методологию смогут все структурные подразделения Банка России, работающие по указанному направлению», — говорится в заявлении регулятора.

В ЦБ считают, что создание такого Центра позволит отслеживать миграцию мошеннических схем и купировать их распространение на ранних стадиях, выявлять организаторов подобных компаний, способствовать выстраиванию более эффективного взаимодействия с правоохранительными органами и общественностью.

В пресс-службе добавили, что в настоящее время регулятор разворачивает более активную работу в регионах и создает во всех главных управлениях Банка России отделы по противодействию нелегальной деятельности.

«Мы заинтересованы в качественном росте российского финансового рынка и должны уберечь конкурентную среду от искажения. Однако если нелегального бизнеса много, он вытесняет легальный. Причем это одноразовый бизнес, построенный на обмане потребителя. А благосостояние граждан является конечной целью нашей экономической политики», — отметил, выступая на открытии центра, первый заместитель Председателя Банка России Сергей Швецов.

2017

Предложение ЦБ о включении ответственных за ИБ и ИТ в советы директоров публичных компаний

В ноябре 2017 года Центробанк РФ сообщил о планах внести изменения в кодекс корпоративного управления, связанные с кибербезопасностью. Регулятор предложит публичным компаниям добавить в советы директоров компетенции информационной безопасности

Как пишет «Коммерсантъ» со ссылкой на директора департамента корпоративных отношений ЦБ Елену Курицыну, Банк России считает необходимым закрепить стратегическую роль совета директоров публичных акционерных обществ (ПАО) в организации системы управления рисками, связанными с развитием информационных технологий и кибербезопасности.

ЦБ РФ внесет изменения в кодекс корпоративного управления, связанные с кибербезопасностью

Выступая на круглом столе ОЭСР—Россия по корпоративному управлению, который состоялся 15 ноября 2017 года, Курицына отметила, что в свете возрастающих киберрисков советы директоров должны обладать необходимой компетенцией в вопросах ИТ и кибербезопасности, поскольку им предстоит утверждать соответствующие политики компаний и контролировать их исполнение со стороны руководства.

С одной стороны, по ее словам, новые технологии предлагают огромное количество новых возможностей для развития бизнеса, но с другой стороны возникают вопросы кибербезопасности. Киберриски уже реализуются в виде целенаправленных спланированных акций по нападению на те или иные отрасли или компании. Все это требует серьезного вовлечения системы корпоративного управления для того, чтобы отразить эти угрозы должным образом, добавила она.

ЦБ намерен прописать эти нововведения в кодексе корпоративного управления, их обсудят до конца 2017 года. При этом к середине ноября исполнение кодекса является для публичных компаний не обязательным, а рекомендованным. В то же время исполнение части основных положений кодекса является условием включения акций компаний в первый и второй уровень котировального списка Московской биржи. Так что рекомендации по передаче стратегических функций по управлению вопросами в области ИТ и кибербезопасности совету директоров ПАО в будущем могут также оказаться в правилах листинга, отмечает издание.[38]

Аттестаты специалистов по кибербезопасности в финансовой сфере

Уже через два года в России начнут выдавать аттестаты специалистов в области кибербезопасности в финансовой сфере. Об этом 11 октября сообщил изданию «КоммерсантЪ» заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.

По словам Сычева, разработаны квалификационные требования, а также программа по магистерской специальности и по повышению квалификации. «Следующим этапом будет уже квалификационное испытание. Потому что нельзя аттестовать людей, не предложив их сначала обучить», – сообщил Сычев.

В будущем также планируется ввести требование об обязательном наличии аттестатов нового типа для работающих в банках специалистов в области кибербезопасности, однако этого не стоит ожидать в ближайшем будущем. О расширении списка подлежащих аттестации специальностей заявил первый зампред Банка России Сергей Швецов в апреле 2016 года. Помимо специалистов по кибербезопасности, новые аттестаты должны будут получить эксперты по управлению активами и внутреннему контролю.

Сейчас ощущается острая необходимость в обучении и аттестации безопасников, отметил Сычев. Если раньше вся IT-структура банков просто обслуживала их интересы, то теперь на технологии, стоящие между банком и клиентом, может влиять кто-то третий. В связи с этим нужны эксперты, не просто защищающие периметр (таких кадров в настоящее время вполне достаточно). Нужны кадры, понимающие сам принцип работы технологии и способные определить, как на нее можно повлиять извне и что делать в таком случае.

Как пояснил Сычев, обучение специалистов будет проводиться в трех наиболее популярных направлениях – методология, технология и юриспруденция в кибербезопасности. Правда, кто будет обучать новые кадры и выдавать аттестаты, пока неизвестно. В настоящее время аттестацией специалистов финансовой сферы занимаются 11 организаций, получивших аккредитацию Банка России. Возможно, квалифицировать экспертов по кибербезопасности в финансовой сфере будет ФСТЭК, однако этот вопрос еще окончательно не решен.

Возврат похищенных с банковских счетов денежных средств

В конце сентября 2017 года Банк России и Министерство финансов РФ заявили о намерении упростить для клиентов банков возврат денежных средств в тех случаях, когда деньги уже списаны со счета и поступили на счет банка, но еще не были переведены на счета злоумышленников, передают «Ведомости».[39]

Поправки к законопроекту о противодействии хищению денежных средств, направленному в Госдуму в конце мая 2017 года, разрешили банковским клиентам не доказывать свою правоту в суде. В предыдущей редакции поправки предусматривали, что факт списания средств должен установить суд. В частности, клиентам, чьи средства были списаны без их согласия и заблокированы, предлагалось в течение 14 дней предоставить банку соответствующее решение арбитражного суда. В противном случае банк должен был провести платеж.

По словам представителя Банк России, предложенный ЦБ и Минфином механизм затронет, в основном, юридические лица. В случае списания средств со счета компании без ее согласия, банк, на корреспондентский счет которого поступили деньги, может приостановить их зачисление на счет получателя на срок до пяти дней. Если же получатель не предоставит документы, подтверждающие обоснованность перевода средств (копии договоров, накладных, счета-фактуры и т.д.), деньги вернутся на счет компании.

Что касается физлиц, то процедура возмещения сумм, неправомерно списанных со счета, прописана в законе о национальной платежной системе, уточнил представитель ЦБ.

Тем не менее, всё еще остается нерешенной проблема возврата денежных средств, уже перечисленных на счет получателя. Возвратить или заблокировать данные средства на длительный срок без решения суда банки не вправе. Однако к моменту получения разрешения злоумышленники могут благополучно вывести средства со счета.

Минимальная сумма ущерба от кибератак для отчётности

Банк России установит минимальную сумму ущерба от кибератак, которую банки обязаны отражать в своей отчетности. Нововведение появится в 2018 году вместе с новой формой отчетности.

С 2013 года все финансовые организации ежемесячно сдают в ЦБ отчеты о проблемах, возникших при переводе денег клиентов. В отчете фиксируются все подобные случаи: кражи данных пластиковой карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Банки подают отчет в виде таблицы, в которой отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по их устранению, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляют нули.

Но с 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками. Таким образом, через год банки будут передавать регулятору только суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов и информацию о средствах, возвращенных гражданам[40].

Ужесточение требований

14 сентября 2017 года стало известно об ужесточении Банком России требований к информационной безопасности (ИБ) кредитных организаций. Последние должны будут пересмотреть взаимодействие со сторонними компаниями, нанятыми для обеспечения киберзащиты.

Как пишет «Коммерсантъ», в сентябре 2017 года на общественное обсуждение вывесили проект документа Банка России «Управление риском нарушения информационной безопасности на аутсорсинге», в котором регулятор указывает на риски для информационной безопасности банка от привлечения аутсорсеров и выдвигает требования по их минимизации.

Здание ЦБ

В ЦБ сообщают, что риски от привлечения сторонних организаций в том, что можно выбрать поставщика, не обладающего нужными знаниями или ресурсами, а также в том, что сам банк может слабо контролировать его действия. Результатом некачественной работы аутсорсеров может стать появление уязвимости в системе информзащиты банка и даже хищения средств кредитной организации, указывает регулятор. Стандарт вступит в силу уже с 1 января 2018 года.

Банк России требует от банков разработать политику взаимодействия с аутсорсером, то есть четко определить перечень услуг сторонней компании и список функций, которые осуществляет сам банк, а также необходимо четко разделить и обозначить сферы ответственности банка и сторонней организации.

При передаче существенных функций ЦБ требует от банков проводить периодический мониторинг возможности реализации риска нарушения информбезопасности, а также степень тяжести последствий от реализации риска нарушения информбезопасности (которая напрямую зависит от сумм операций по переводу денег, остатков на корсчетах и т. д.). Банкам, признанным ЦБ системно значимыми, регулятор рекомендует о планах передачи определенных функций на аутсорсинг заблаговременно ставить в известность FinCert.[41]

Блокировка мошеннических сайтов

Банк России и Минкомсвязи работают над изменениями в закон «Об информации, информационных технологиях и о защите информации», которые позволят противодействовать мошенническим ресурсам в сети интернет более эффективно.

Предполагается наделить Банк России правом принимать решение о включении ресурсов в единый реестр запрещенных сайтов. Таким образом, в Рунете появится новый вид запрещенной информации — информация, использующаяся для мошенничеств на финансовом рынке. Например, в ряде случаев финансовые организации, которые лишились лицензии, продолжают через интернет предлагать «заем до зарплаты».

Банк России на основе соглашений с компетентными организациями инициирует блокировку в российском сегменте интернета мошеннических ресурсов, относящихся к сфере финансовых рынков и национальной платежной системе, — подтвердили в пресс-службе ЦБ. — На данный момент снято с делегирования порядка 400 доменов.

Сайты, созданные для мошенничества на финансовом рынке, будут блокироваться. Экспертизу подобных ресурсов будет проводить Центральный банк России. Об этом говорится в Стратегии государственной политики в области защиты прав потребителей.

Смотрите также Фишинг

Требования безопасности платежей в интернете

Банк России предложил в сентябре 2017 года расширить список требований к защите информации при переводе денежных средств в интернете. Соответствующий проект поправок в положение ЦБ размещен на портале раскрытия проектов нормативно-правовых актов.

В частности, требования необходимо повысить для операторов по переводам денежных средств, которые должны обеспечить безопасность проведения операций в интернете.

«Оператор по переводу денежных средств на основании заявления клиента… определяет ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы интернет-банкинга», — говорится в документе.

Операторам необходимо повысить безопасность с помощью определенных технологических мер, которые обеспечивают идентификацию клиента, аутентификацию его электронных сообщений при переводе средств и возможность контролировать реквизиты.

Также поправки регулируют возможность оператора подтверждать право клиента на проведение операции или устанавливать ограничения, среди которых: максимальная сумма перевода, перечень возможных получателей денежных средств, время совершения операции, географическое местоположение устройств, с помощью которых клиенты проводят операции.

Операторы должны сообщать в Центробанк случаи выявления инцидентов, а также «о планируемых мероприятиях по раскрытию информации об инцидентах».

 

Кроме того, поправки устанавливают необходимость и обязанность операторов ежегодно тестировать системы на проникновение угроз информационной безопасности.

Изменения предлагается внести в положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»[42].

Стандарты по аутсорсингу кибербезопасности

Банк России разработал стандарты по аутсорсингу кибербезопасности. Согласно им банки при отсутствии потенциала, необходимого для самостоятельной разработки и апгрейда систем кибербезопасности, должны передать эти функции сторонней компании, специализирующейся на борьбе с хакерами, то есть на аутсорсинг.

Привлеченная компания может в срок до шести недель помочь банку выстроить систему кибербезопасности, а затем на постоянной основе мониторить атаки хакеров, контролировать защиту в круглосуточном режиме и обучать персонал.

Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявил, что «для небольших и средних банков вопросы, связанные с кибербезопасностью и IT в целом, весьма недешевые и сложные», поэтому необходимо развивать аутсорсинг информбезопасности. Сейчас подобные услуги на рынке оказывают 30 компаний.

Как следует из стандарта ЦБ, банки могут выбрать три модели взаимодействия с аутсорсерами: долговременное, среднесрочное и кратковременное сотрудничество. В первом случае сторонняя компания занимается мониторингом кибератак на банк и реагированием на них. Во втором аутсорсер привлекается банком, чтобы выполнить для него проект по информбезопасности — например, построить собственный центр мониторинга и реагирования на киберугрозы. Третья модель подразумевает, что банк привлекает компанию на время, когда возрастает уровень киберрисков.

Услуги аутсорсинговых компаний могут быть базовыми, расширенными и премиальными. В первом случае компания работает в режиме 8х5, во втором и третьем — 24х7. Время обнаружения критически опасных кибератак в рамках базового пакета составляет до 30 минут, в рамках расширенного — до 20 минут, в рамках премиального — до 10 минут. Анализ ситуации займет 45 минут, 30 минут и 20 минут соответственно, а время выдачи рекомендаций по устранению инцидента — 2 часа, 1,5 часа и 45 минут.

Руководитель направления аутсорсинга ИБ центра информбезопасности компании «Инфосистемы джет» Екатерина Сюртукова отметила, что по сравнению с базовым пакетом стоимость расширенного выше в 1,2-1,5 раза, а стоимость премиального – в 1,5–1,7 раза. За базовый пакет небольшим банкам придется заплатить 250 тыс. рублей в месяц, а крупным — до 2,5 млн[43].

База биометрических данных клиентов банков

Основная статья Единая биометрическая система идентификации

Система обмена информацией о кибератаках на банки

Центральный Банк продолжает усиливать меры по борьбе с киберпреступностью, выступая координатором этой деятельности в кредитно-финансовой отрасли. Разработка мер реализуется через рабочую группу, в которую входят представители ЦБ, ФСБ, ФСТЭК, Минкомсвязи, Минфина и Росфинмониторинга. Технические задачи в рамках этой деятельности возложены на «ФинСерт». Очередной задачей стала разработка платформы для автоматизации и ускорения информационного обмена между заинтересованными госструктурами и банковской системой в целях повышения уровня кибербезопасности, сообщила газета "Коммерсант" в июле 2017 года.

Платформа представляет собой онлайн-ресурс, который позволит участникам системы обмениваться информацией через личные кабинеты в новом формате.

«
Сейчас мы даем рассылки, фактически текстовой файл с определенными индикаторами,— пояснил заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев.— Хотим выйти на новый формат обмена, который позволит кредитным организациям эти признаки компрометации в автоматизированном режиме грузить в свои системы обнаружения
»

По его словам, фактически речь идет об аналоге международного сервиса Virus Total (позволяет проверить файлы на наличие вредоносного ПО «с использованием большого количества антивирусных движков»). Кроме того, платформа будет содержать сервисы по разбору критических ситуаций.

Техническое проектирование системы начнется в августе 2017, а запуск платформы намечен на конец 2017 года. К середине 2018 года, как ожидается, она заработает в полном объеме.

Отчет о суммах, похищенных хакерами, объем хищений со счетов клиентов, а также объемы средств, возвращенных гражданам, финансовые организации будут передавать в Центробанк. Как отмечает регулятор, из докладов также исключили технические данные, из-за которых возник тот или иной инцидент. Ожидается, что с помощью нововведения повысится достоверность предоставляемой информации о кибератаках, а также кредитные организации обратят больше внимания на обеспечение информационной безопасности.

Ежегодные пентесты банковского ПО

Банк России разработал проект указания о внесении изменений в Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.

Что такое свидетельство доверия ИСО/МЭК 15408-1 2.4 доверие (assurance):

  • Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.
  • Основание для уверенности в том, что сущность отвечает своим целям безопасности.

2.16 свидетельство доверия (assurance evidence): Документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчеты (обоснования) в поддержку утверждения о доверии.


Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.

Госстандарт защиты информации для банков ГОСТ Р 57580.1-2017

  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.

Базовый набор организационных и технических мер» утв. 08.08.2017

  • Распространяется на Банки, некредитные финансовые организации, других субъектов НПС

Что принципиально нового

  • Уровни защиты информации
    • Уровень 3 – минимальный (соответствует четвертому УЗ ПДн)
    • Уровень 2 – стандартный (соответствует второму и третьему УЗ ПДн)
    • Уровень 1 – усиленный (соответствует первому УЗ ПДн)

  • Уровень защиты информации устанавливается для конкретного контура безопасности (информационная система, реализующая бизнес-процессы единой степени критичности, для которых применяется единый режим защиты информации)
  • Пример: Платежные и информационные технологические процессы могут составлять разные контуры безопасности
  • Формируется один или несколько контуров безопасности
  • Уровень защиты для контура безопасности устанавливается нормативными актами Банка России на основе:
  • Вида деятельности, состава предоставляемых услуг, бизнес-процессов в рамках контура безопасности

    • Объема финансовых операций
    • Размера организации
    • Значимости для финансового рынка и НПС

Сравнение с СТО БР ИББС-1.0-2014


В России утвержден в августе 2017 года ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года.

Согласно документу, к планированию, реализации, контролю и совершенствованию процесса защиты данных в банках необходимо подходить комплексно. Стандарт описывает требования к организации всех основных процессов защиты информации, в том числе меры по предотвращению утечек и нарушения целостности информационной инфраструктуры, а также по защите от атак с использованием вредоносного ПО.

Предписания по защите информации при осуществлении операций через мобильные устройства указаны отдельным пунктом. Кроме того, стандарт описывает требования по обеспечению безопасности данных на всех этапах жизненного цикла используемых в финорганизациях автоматизированных систем и приложений.

Как сообщает «Коммерсантъ», новым ГОСТом вводится обязательная сертификация средств защиты информации для всех компаний финансового рынка. Участники рынка считают, что требование тотальной сертификации невыполнимо из-за его дороговизны и особенностей российской IT-индустрии[44].

Основное требование ГОСТа – все технические меры защиты информации должны иметь сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Так, финансовым организациям, которым присвоен минимальный, третий уровень защиты информации, необходимо будет обеспечить наличие ПО, сертифицированного не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), у компаний второго уровня должны применяться решения не ниже 5-го класса, а организации первого уровня должны работать с системными разработками не ниже 4-го класса.

Также вводится дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Всего уровней будет три — минимальный, стандартный и усиленный. Присваиваться они будут в зависимости от вида деятельности, состава реализуемых бизнес- и технологических процессов, объема финансовых операций и других факторов.

Структура стандарта

  • Раздел 6. Методология применения требований и определение уровней защиты
  • Раздел 7. Требования к системе защиты информации (СИБ)
    • Управление доступом (IDM)
    • Защита сетей (IDS/IPS, NGFW)
    • Контроль целостности и защищенности инфраструктуры (Vulnerability Scanner)
    • Защита от вредоносного кода (AV)
    • Предотвращение утечек (DLP)
    • Управление инцидентами (SIEM)
    • Защита среды виртуализации (СЗИ для виртуальных сред)
    • Защита информации при использовании мобильных устройств (MDM)

  • Раздел 8. Требования к системе управлению защитой информации (СОИБ / СМИБ)

    • Планирование процесса системы защиты
    • Реализация
    • Контроль
    • Совершенствование

  • Раздел 9. Требования к ЗИ на этапах ЖЦ АС и приложений

    • Приложение А. Базовая модель угроз и нарушителя
    • Приложение Б. Орг меры, связанные с обработкой ПДн
    • Приложение В. Перечень событий ЗИ, потенциально связанных с инцидентами

Дмитрий Скобелкин назначен куратором ИБ в Центробанке РФ

В июле 2017 года Центробанк РФ сообщил, что Дмитрий Скобелкин будет курировать Департамент финансового мониторинга и валютного контроля, Главное управление безопасности и защиты информации, Межрегиональный центр безопасности банка.

До Скобелкина работу Главного управления безопасности и защиты информации Центробанка координировал и курировал первый заместитель председателя банка Георгий Лунтовский. По информации Центробанка, он принял решение покинуть свой пост и уходит с сентября 2017 года по собственному желанию.

Контроль за безопасностью в финсекторе

В 2017 году ЦБ РФ проведет более 100 проверок систем дистанционного банковского обслуживания (ДБО), а также утвердит стандарты кибербезопасности для участников биржевого рынка и создаст центр безопасности для средних и малых банков. Ужесточение требований в сфере информационной безопасности (ИБ) должно основываться на анализе угроз, иначе оно может привести к тому, что банковские сервисы станут менее удобными.

Центральный банк России намерен усилить контроль за безопасностью совершения платежных операций в российских банках. С этой целью в 2017 году он организует более 100 проверок систем дистанционного банковского обслуживания (ДБО), сообщает РБК со ссылкой на заместителя начальника главного управления безопасности и защиты информации Центробанка РФ Артема Сычева. По его словам, первые проверки уже были проведены в феврале 2017 года.

Банки, результаты проверки которых окажутся неудовлетворительными, должны будут либо увеличить капитал, либо доначислить резервы на величину существующего операционного риска в размере среднесуточного остатка по корреспондентскому счету. Точная информация о том, какая из этих мер будет принята, должна появиться в середине 2017 года[45].


Система документооборота в банках складывается из двух частей - автоматизированной банковской системы (АБС) и автоматизированного рабочего места клиента Банка России (АРМ КБР). В АБС обрабатываются платежные поручения клиентов и формируются реестры платежей. В АРМ КБР поступающие реестры шифруются и отправляются в ЦБ РФ. Поскольку и АБС, и АРМ КЦБ надежно защищены (по крайней мере, в теории), единственное уязвимое место системы – это канал передачи данных между АБС и АРМ КЦБ.

По мнению банков, строгое следование инструкции (а именно использование для обмена информацией не корпоративных серверов, а защищенных съемных носителей) не оставляет хакерам лазеек для подмены настоящих данных фиктивными. Со своей стороны ЦБ РФ полагает, что при таком положении дел усилия киберпреступников будут сосредоточены на попытках взломать АБС. Если их попытки увенчаются успехом, то отследить подмену настоящих данных фиктивными на уровне АБС не представляется возможным. А шифрование банковских данных, к которым получат доступ хакеры, с помощью более совершенного аналога вируса WannaCry может полностью парализовать работу конкретной кредитной организации.

Единая стратегия информационной безопасности банков

Ассоциация российских банков (АРБ) в феврале 2017 года обратилась в ЦБ РФ с просьбой разработать единую стратегию развития информационной безопасности кредитно-финансовых организаций. Об этом рассказал на IX Уральском форуме «Информационная безопасность финансовой сферы» глава АРБ Гарегин Тосунян.

Он отметил, что ответственность подразделений информационной безопасности банков регулируется примерно 130 документами, включающими около 50 федеральных законов, 20 указов президента и постановлений правительства, 15 актов федеральных органов исполнительной власти, 25 нормативных актов Банка России, 20 стандартов и нормативных документов международных и российских платежных систем.

Глава АРБ считает, что назрела необходимость в упорядочении этих документов и в создании единого отраслевого документа по информационной безопасности, позволяющего кредитно-финансовым организациям оперативно реагировать на постоянно возникающие новые вызовы.

«
Все эти документы не очень сопрягаются друг с другом, это создает проблему. Создание единого документа снизит вероятность возникновения коллизий, - заявил Гарегин Тосунян.
»

Гарегин Тосунян из АРБ считает, что назрела необходимость в едином документе по развитию информационной безопасности в банковской сфере

Для наиболее эффективного использования потенциала банковского сообщества при подготовке стратегии необходимо привлечь к участию все заинтересованные организации и предложить Банку России возглавить этот процесс в качестве межведомственного координатора, полагают в АРБ.

Тосунян напомнил, что еще не менее десятка нормативных актов ЦБ по информационной безопасности вступят в силу в 2017-2018 годах.

Заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев на этом же форуме рассказал, что количество кибератак на коммерческие банки и граждан в России с каждым годом увеличивается, но результативность этих атак снижается[46].

«
Тренд на увеличение количества атак есть, он остается и продолжает, к сожалению, наращиваться. С другой стороны, есть хорошая новость. Хорошая новость заключается в том, что результативность таких атак далеко не всегда оказывается положительной, - сказал он.
»

Сычев отметил, что в 2016 году количество DDoS-атак увеличилось почти в два раза. Количество рассылок, содержащих вредоносное программное обеспечение, увеличивается практически с каждым месяцем, заявил представитель Банка России. При этом зафиксированные в конце 2016 года - начале 2017 года DDoS-атаки существенного ущерба банкам не принесли: они доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Регулятор отмечает также рост в геометрической прогрессии количества рассылок мошеннических СМС-сообщений.

Артем Сычев добавил, что рынок недавно столкнулся с новым видом атак, когда используется интернет вещей.

«
Для безопасников. это значит, что в один прекрасный момент масса телевизоров, которые установлены в домах граждан, будет неожиданно обрушиваться на нашу сеть, и мы ничего с этим сделать не сможем, - отметил Сычев.
»

Изменения подхода к проведению платежей для борьбы с хакерами

Как пишет «Коммерсантъ», ЦБ РФ разослал руководителям ИТ-отделов банков письмо, в котором попросил до 10 февраля оценить, в какие сроки они могут внедрить шифрование платежей, направляемых в платежную систему регулятора, на уровне автоматизированной банковской системы (АБС)[47].

АБС банка, поясняет газета, — это аппаратно-программный комплекс, который состоит из множества компьютеров, объединенных в единый защищенный контур, где обрабатываются платежные поручения и формируются реестры платежей. Сформированные в АБС реестры поступают в АРМ КБР (автоматизированное рабочее место клиента Банка России) — специальный компьютер в банке в отдельном защищенном контуре, с которого уходят платежи в ЦБ.

Внедрение систем шифрования в АБС банка, пояснили в пресс-службе Центробанка газете, позволит защищать данные на более раннем этапе, «усложнит для злоумышленников условия атак и снизит уровень хищений». Мера, как отметили в регуляторе, предлагается на основе анализа фактов хищений у коммерческих банков и учитывает мировой опыт и современные тенденции. «Именно такая практика применяется почти во всех крупных платежных системах», — подчеркнула пресс-служба Банка России.

Мера ЦБ призвана ввести шифрование платежей на более раннем этапе. Как объяснил аналитик центра мониторинга и противодействия кибератакам Solar JSOC Алексей Павлов, банки нарушают рекомендации ЦБ, касающиеся полной изолированности АРМ КБР от остальной сети банка и переноса данных с использованием защищенных съемных носителей. При отправке реестров часто используется промежуточная папка на файловом сервере корпоративной сети банка, и именно в этом месте хакеры подменяют файл с реестрами, в результате чего в АРМ КБР приходят уже частично или полностью фиктивные данные, которые шифруются и уходят в ЦБ. Фиктивный платеж в зашифрованном виде выявить невозможно, однако если шифровать реестры сразу в АБС, то подменить их по пути к АРМ КБР будет невозможно.

В банках «Коммерсанту» рассказали, что оценивают сроки и возможную стоимость внедрения новации. Павлов сообщил, что банку придется проводить масштабное обновление в техническом отношении. Решения под ключ не соответствуют всем требованиям законодательства о криптозащите, необходимо подключать специалистов, имеющих специальную лицензию ФСБ и минимум год времени на внедрение, отметил специалист по криптозащите в одной из крупных фирм. В результате новация обойдется банку в несколько миллионов рублей. ЦБ обсуждает с участниками рынка сроки внедрения систем шифрования «с целью определения комфортного переходного периода», отметили в регуляторе.

Как пишет газета, банкиры негативно относятся к идее ЦБ и официально комментировать ее не хотят. АБС — это сотни компьютеров, которым потребуется дополнительная защита, говорит руководитель ИТ-департамента банка из топ-100. Специалист по ИТ из банка из топ-50 добавляет, что будет утеряна возможность дополнительного контроля: сейчас банк может сверить реестры, выгруженные в АБС, с попавшими в АРМ КБР и выявить фиктивный, а при шифровании в АБС такой возможности не будет. Представитель крупного банка подчеркнул, что ЦБ уже потребовал от банков к 30 июня текущего года усилить меры безопасности на участке АРМ КБР, что сопряжено с расходами, однако теперь меняет подход.

2016

Блокировка сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС Информационное агентство России[48].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Контроль интернет-банкинга

В декабре 2016 года стало известно, что Банк России проведет масштабную проверку безопасности онлайн-банкинга. Регулятор проверит степень защищенности платежных онлайн-сервисов и мобильных приложений от киберугроз. После проверки ЦБ намерен взять данную сферу под контроль и сертифицировать дистанционные сервисы на соответствие требованиям информационной безопасности.

Подробнее: Безопасная система ДБО

Лаборатория киберзащиты банков

31 октября 2016 года стало известно о планах Центробанка создать лабораторию для защиты банков от киберугроз. Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT).

Регулятор собирается оснастить кредитные организации технологиями по предотвращению киберугроз. ЦБ планирует создать лабораторию, изучающую технологии и последствия компьютерных атак.

Лабораторию предполагается создать в структуре самого ЦБ — на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Прототипом исследовательского центра может стать действующий в Малайзии аналог[49]. В реализации могут принять участие правоохранительные органы и кредитные организации[50].

Network operations center, (2016)

Специалисты лаборатории станут изучать способы и последствия компьютерных угроз, включая атаки на банкоматы, POS-терминалы и устройства самообслуживания. Сотрудники ЦБ будут анализировать мошеннические интернет-ресурсы, мобильные устройства. Эта структура будет помогать кредитно-финансовым организациям корректно снимать и опечатывать передаваемые на исследование объекты. Центробанк со своей стороны займется подготовкой описания средств и методов атак на устройства самообслуживания, рекомендаций по противодействию атакам на устройства самообслуживания.

Точных сроков создания лаборатории, как и ее названия, не заявлено. Согласно «Известиям», в Банке России идет разработка плана запуска лаборатории и «дорожной карты», утверждение которой запланировано на конец 2016 года.

Рекомендации Банка России по защите от утечек информации

В апреле 2016 года Банк России опубликовал для организаций банковской системы рекомендации по обеспечению информационной безопасности (ИБ) в части предотвращения утечек информации. Документ (скачать PDF) вступает в силу с 1 июня 2016 года. Банк России отмечает, что такие рекомендации вводятся впервые. Применять их банковские организации могут на добровольной основе, указывается в документе.

Рекомендации охватывают только случаи утечки информации в результате действия работников банковской организации или лиц, обладающих легальным доступом к информации или в помещения, где осуществляется обработка информации. При этом на организации банковской системы, осуществляющие обработку информации с использованием облачных технологий или передавшие ее на аутсорсинг сторонней организации, рекомендации не распространяются.

Банк России поясняет, что выполнение представленных рекомендаций обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. Вместе с тем, в документе не рассматриваются рекомендации, выполнение которых косвенно влияет на снижение рисков утечки информации: например, по обеспечению защиты от воздействия вредоносного кода, межсетевому экранированию и разделению вычислительных сетей, к проведению аудитов ИБ, к организации логического доступа.

Рекомендации для банков по борьбе с утечками информации через сотрудников ЦБ выпустил впервые

В числе мер, способствующих снижению рисков утечки информации, Банк России предлагает финансовым организациям установить и документировать классификацию обрабатываемой информации. Рекомендуется выделить как минимум два класса – «информация конфиденциального характера» и «открытая информация». Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации от возможных утечек информации конфиденциального характера, говорится в документе.

Организациям также рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В этом пункте подробно рассматривается состав правил идентификации и учета информационных активов и объектов среды информационных активов, типы информационных активов и объектов, подлежащих идентификации и учету, набор учетных данных, которые необходимо хранить и др. Для учета и идентификации информационных активов и средств вычислительной техники рекомендуется использовать средства автоматизации.

Банк России рекомендует определить категории возможных внутренних нарушителей и потенциальных каналов утечки информации, состав процессов их мониторинга и контроля, обеспечить реализацию процессов системы менеджмента информационной безопасности и др.

Один из подпунктов рекомендаций, достаточно обширный, охватывает автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации организации. Советов по выбору конкретных технических решений здесь не содержится, за исключением пункта о централизованном управлении и мониторинге использования мобильных устройств сотрудниками организации. Здесь в пример приводятся возможные к использованию решения, такие как XenMobile, MobileIron, SAP Afaria, IBM Endpoint Manager.

2014: Стандарт обеспечения информационной безопасности в банках

1 июня 2014 г. вступил в действие новый стандарт обеспечения информационной безопасности в банках, рекомендованный им Банком России. Согласно стандарту, Банк России рекомендует российским банкам внедрять системы Data Loss Prevention (DLP), чтобы предотвратить утечку данных о клиентах. С их помощью кредитные организации смогут анализировать переписку сотрудников, а также выяснять, какими интернет-сайтами они пользуются.

Вступивший в силу 1 июня новый стандарт заменил старый, действовавший с 2010 года. В документе впервые говорится об «утечке данных» и прописаны меры для ее предотвращения. Для этого Центробанк России разрешил банкам использовать DLP (Data Loss Prevention — система для предотвращения утечек). Этот тип программного обеспечения устанавливается на компьютеры сотрудников и корпоративные серверы и позволяет отслеживать все их действия в интернете, а также переписку и обмен информацией.

Применение DLP обязывает банки архивировать электронную почту, чтобы в случае утечки информации можно было отследить ее источник. Кроме того, стандарт безопасности подразумевает применение защищенных сетевых протоколов. Cогласно тексту внесенного в Думу документа, компании планируется наделить возможностью получать дистанционное согласие гражданина на обработку его персональных данных. В настоящее время сделать это можно только при личном присутствии человека.

2013

16 рекомендаций по безопасности онлайн-платежей

5 августа 2013 года было опубликовано письмо Банка России № 146-Т, содержащее ряд рекомендаций кредитным организациям по повышению безопасности предоставления розничных платежных услуг в Интернете.

Рынок интернет платежей наряду с рынком электронной коммерции еще несколько лет назад существовал в «параллельной реальности» относительно российского финансового рынка, Центробанка и изменений российского законодательства. Однако ежегодный рост рынка e-commerce более чем на четверть и возрастающий интерес россиян к безналичным платежам в Интернете и использованию банковских карт в целом изменили ситуацию.

В Письме № 146-Т ряд пунктов описывает стандартные функции системы fraud-мониторинга организации, занимающейся обеспечением безопасности платежей. Актуализировать механизмы системы fraud-мониторинга рекомендуется не реже, чем раз в два года, а при появлении новых факторов риска и внесении кардинальных изменений в систему защиту информации – своевременно и оперативно адаптировать под них систему анализа рисков.

Для повышения уровня безопасности платежей в Интернете и снижения риска возникновения мошеннических операций рекомендуется использовать многофакторную аутентификацию плательщика. Как поясняют составители Письма, к факторам аутентификации относятся «обладание предметом или устройством (например, персональным идентификатором), знание определенной информации (например, пароля), обладание определенными постоянными неотъемлемыми свойствами (например, отпечатками пальцев)».

В тех же целях рекомендуется использовать динамическую аутентификацию клиента - аутентификацию, при которой на одном из этапов используется пароль с ограниченным сроком действия и ограничением на число использований. Рекомендации по подтверждению платежных операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, соответствуют формату работы XML-протокола 3-D Secure (3D-Secure) и практике международных платежных систем: Verified by Visa, MasterCard SecureCode и J/Secure. Также внимание уделяется важности использования механизмов мониторинга платежей, в том числе в целях анализа рисков. В качестве критериев мониторинга указаны частота, сумма, место совершения и получатель платежа.

Все рекомендации по обеспечению безопасности предоставления розничных платежей должны учитываться как при передаче функций оператора по переводу денежных средств на аутсорсинг, так и при составлении договоров с субагентами, предоставляющими электронные средства платежа, позволяющие получить розничные платежные услуги через Интернет.

И, конечно же, значительное внимание в Письме уделяется мерам повышения грамотности физических лиц – плательщиков. Операторам по переводу розничных средств рекомендуется информировать клиентов о возможной приостановке получения услуг, о неудачных попытках получения доступа к ним, о возможности управления лимитами на совершение платежей через Интернет. Данные рекомендации направлены на повышение уровня доверия населения к безналичным формам денежных средств и мотивации к их активному использованию. Один из инструментов популяризации безналичных денежных операций среди населения - это возможность страхования рисков плательщика.

Таким образом, Письмо № 146-Т – это сборник базовых рекомендаций по повышению уровня безопасности при предоставлении розничных платежных услуг через Интернет, направленных как на развитие систем управления рисками и защиты информации на стороне операторов по переводу денежных средств, так и на повышение грамотности и информированности пользователей розничных платежных услуг в Интернете.

2004

МВФ: Статистика причин простоев платежных систем 1996-2004

К формированию требований по безопасности инфраструктуры платежной системы ЦБ РФ

Стратегическая устойчивость

  • Жизненный цикл компонентов инфраструктуры должен быть не менее 15 лет.

Доступность:

  • Время простоя в год / Коэффициент готовности
  • 8.8 часов / 0,999
  • 53 мин. / 0,9999
  • 5 мин. / 0,99999

Целостность, конфиденциальность –требуют дальнейших исследований в части влияния накладных расходов по реализации на доступность.

Катастрофоустойчивость –свойство сохранения доступности в форс-мажорных обстоятельствах. При уничтожении сервера/клиентов/персонала процесс должен быть восстановлен в другом удаленном (за пределами радиуса катастрофы) месте за заданное время. Расстояние между центрами по требованию мировых финансовых регуляторов ≥300 км.

Управляемость – централизованное управление и обслуживание (недоступность инфраструктуры для персонала)

См. также

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Банки не оценили российскую безопасность
  2. Банкиров отправят на учения
  3. Шлите VPN почтой
  4. ЦБ опубликовал единые правила обработки "цифровых отпечатков" клиентов
  5. ЦБ решил регулировать наем банками айтишников на аутсорсе
  6. ЦБ потребовал компенсации
  7. Обратный порядок: ЦБ намерен упростить возврат денег жертвам кибермошенников
  8. ЦБ обяжет банки закрывать онлайн-доступ к счетам по просьбе клиентов Поможет ли эта мера бороться с мошенниками из «служб безопасности»
  9. Враг будет разбит, победа будет за банком. ЦБ впервые провел дистанционные антихакерские учения
  10. Центробанк оштрафовал 17 банков за нарушение требований по ИБ
  11. Банк России за год инициировал блокировку 7680 мошеннических сайтов
  12. Информбезопасность дорого стоит. Брокеры не готовы нести дополнительные траты
  13. Банк России выпустил рекомендации по кибербезопасности в условиях коронавируса
  14. ЦБ впервые оштрафует банки за отсутствие систем распознавания мошеннических операций
  15. Банки согласились на требования ЦБ по безопасности
  16. ЦБ выявил в банках более 700 нарушений в сфере защиты информации
  17. ЦБ разъяснил три признака несанкционированной банковской операции
  18. Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 гг.
  19. ЦБ введет новое наказание для банков за плохую защиту от кибератак
  20. ЦБ РФ обязал банки обеспечить кибербезопасность вкладов
  21. ЦБ планирует ввести верификацию электронной почты физлиц
  22. Банк России расширил требования по защите информации для кредитных организаций
  23. Кибербезопасность ушла на базу
  24. ЦБ внес более 10 тыс. мошеннических счетов в свою базу
  25. ЦБ закрепил форматы направления сообщений банками в ФинЦЕРТ
  26. В Центробанке заработала «песочница» для тестирования сторонних финансовых ИТ-систем
  27. Банк России вычислит «черных кредиторов» с помощью Big Data
  28. ЦБ подписался на спам
  29. Кредитные организации будут обязаны информировать Банк России о хакерских атаках
  30. ЦБ обязал банки проверять устройства, с которых клиенты переводят деньги
  31. Банки и операторы услуг платежной инфраструктуры будут обязаны сообщать в Банк России об экономических последствиях хакерских атак
  32. ЦБ РФ обяжет банки раскрывать финансовый ущерб от кибератак
  33. Банк России создал департамент информационной безопасности
  34. ЦБ предложил стандарт по информационной безопасности
  35. ЦБ определил перечень угроз безопасности при работе с биометрическими данными
  36. «Проект указания Банка России «Об определении перечня угроз безопасности биометрических персональных данных…»
  37. Портал Госуслуги
  38. Директора кибербезопасности
  39. Центробанк РФ и Минфин упростят возврат украденных у клиентов банков средств
  40. Как сообщает газета «Известия» со ссылкой на пресс-службу ЦБ, «вопросы, касающиеся новой формы отчетности, находятся в стадии проработки».
  41. ЦБ видит риск на стороне
  42. По материалам Банка России, RNS
  43. По материалам газеты «Известия»
  44. Финансовая защита по ГОСТу
  45. Банк России усилит контроль за безопасностью в финсекторе
  46. В ЦБ рассказали о росте числа кибератак на банки и граждан
  47. ЦБ шифруется от хакеров
  48. ЦБ поможет блокировать сайты с вредоносным контентом
  49. Аdroit Data Recovery Centre (ADRC) — центр восстановления данных в Юго-Восточной Азии. Компания заключила контракты с министерствами и международными коммерческими банками. Клиенты компании действуют в Индонезии, Таиланде, Гонконге, Китае, Японии, США, Европе. Организация занимается восстановлением паролей, операционных систем, утерянных данных с флэш-носителей, ноутбуков, жестких дисков, RAID, NAS. В центре работает подразделение компьютерной криминалистики
  50. ЦБ вооружит банки защитой против хакеров