В предыдущих публикациях мы рассмотрели основы информационной безопасности, обсудили законодательство в области защиты персональных данных и критической информационной инфраструктуры, а также затронули тему защиты информации в финансовых учреждениях с применением стандарта ГОСТ Р 57580.
Настала очередь более детально рассмотреть нормы действующего российского законодательства в финансовой сфере. Ключевым регулятором в данной отрасли является Центральный Банк Российской Федерации, который регулярно выпускает актуализированные документы по защите информации в финансовых учреждениях, отвечающие современным кибер-вызовам. Кроме этого, ЦБ РФ ведет активную работу с гражданами и организациями: проводятся конференции с участием представителей Центробанка, публикуются отчеты и предупреждения ФинЦЕРТ, даются разъяснения по выполнению нормативных требований. Анализу актуальных документов по защите информации в кредитно-финансовой сфере и будет посвящена данная публикация. Итак, приступим.
В кредитно-финансовых учреждениях вопросы защиты данных являются крайне актуальными по причине того, что именно в них зачастую можно поставить знак тождественности между информацией и деньгами. Проблемы конфиденциальности клиентских данных, целостности платежных поручений, доступности банковских сервисов стоят как никогда остро именно в наш цифровой век. С учетом внушительной конкуренции и разнообразия банковских продуктов лояльность клиентов (как физических, так и юридических лиц) ценится крайне высоко, а безопасность платежей и конфиденциальность предоставленных банку сведений относятся к важнейшим факторам выбора. Кроме очевидной и понятной широкому кругу людей цели проведения платежей банковская система служит фактически «кровеносной системой» экономики всей страны, и именно поэтому к субъектам критической информационной инфраструктуры РФ относятся в том числе и организации банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка).
По данным, предоставленным Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ/FinCERT), в 2018 г. объем несанкционированных операций по картам составил 1,4 млрд. руб., а средняя сумма одной несанкционированной операции — 3,32 тыс. руб. Для многих банков киберриски стали одними из важнейших факторов, сдерживающих развитие, а ущерб от киберпреступлений, в том числе репутационный, уже давно превысил таковой от «классических» ограблений. Кроме этого, ЦБ РФ в своем Проекте «Положений о требованиях к системе управления операционным риском» включил риски информационной безопасности и информационных систем в перечень операционных рисков, которые должны быть учтены при управлении капиталом финансовой организации.
Логичным ответом на кибер-вызовы нашего времени послужил ряд инициатив руководства страны, в соответствии с которыми были приняты нормативно-правовые акты для регулирования сферы информационной безопасности в финансовых организациях РФ. Главным регулятором российской финансовой сферы является Банк России. Целями ЦБ РФ в разрезе информационной безопасности являются обеспечение киберустойчивости (с помощью контроля показателей риска реализации информационных угроз, обеспечения непрерывности предоставления финансовых и банковских услуг, контроля уровня мошеннических операций), защита потребителей финансовых услуг (путем мониторинга и контроля показателей, характеризующих уровень финансовых потерь), а также содействие развитию инновационных финансовых технологий (с помощью контроля риска реализации информационных угроз и реализации необходимого уровня ИБ).
Основным документом, регламентирующим защиту информации в российских банках, является Федеральный закон № 161 от 27.06.2011 г. «О национальной платежной системе». Данный документ непрерывно дополняется и изменяется, оставаясь актуальным с появлением новых угроз и вызовов. Основными статьями 161-ФЗ, непосредственно посвященными защите информации, являются ст. 27 «Обеспечение защиты информации в платежной системе», а также ст. 28 «Система управления рисками в платежной системе» (п. 3.11 которой непосредственно говорит о необходимости определения порядка обеспечения защиты информации в платежной системе). На основании ст. 2 п. 3 данного Федерального Закона Банком России были разработаны подзаконные нормативные акты в целях регулирования отношений в национальной платежной системе, о которых мы поговорим в этой и дальнейших публикациях.
Прежде всего, необходимо ознакомиться с основными терминами и определениями, которые применяются регулятором в лице Банка России при обсуждении вопросов ИБ в финансовой сфере. Итак,
В соответствии со ст. 27 161-ФЗ, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными в Положении Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Кроме того, операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, могут получать от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Указанием Банка России от 08.10.2018 № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Иначе говоря, Указание № 4926-У определяет форму, порядок и содержание сообщений, отправляемых финансовыми организациями в ФинЦЕРТ ЦБ РФ. При этом сам Центробанк осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
Во исполнение норм по защите информации, указанных в 161-ФЗ, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В соответствии с данным документом, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:
Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:
При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):
В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).
В 382-П также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию — лицензиата ФСТЭК России.
Отдельные пункты 382-П посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикации пользовательских инструкций по их использованию, проверке отсутствия ВПО и контролю целостности, использованию одноразовых кодов подтверждения доступа, размещению в надежных репозиториях, поиску уязвимостей и своевременному обновлению. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.
Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ № 378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Отдельный пункт (п.2.13) в 382-П посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:
Более того, Указанием ЦБ РФ № 4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.
Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30-ти рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.
Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее — д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2-х часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.
Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания № 4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.
Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.
Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present — операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% — методы социальной инженерии и нарушение правил работы владельцами.
В завершение обзора 382-П следует отметить, что в настоящий момент ЦБ РФ готовит к выпуску актуализированную версию данного документа, которая гармонизирована с другими свежими документами, выпущенными Центробанком, например, с Положениями 683-П и 684-П, о которых мы поговорим ниже. Так, в новой редакции присутствуют требования о применении сертифицированного ПО, проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей, обеспечении уровней защищенности по ГОСТ Р 57580.1-2017, а также указано, что оценка соответствия по ГОСТ Р 57580.2-2018 и анализ уязвимостей в прикладном ПО должны проводиться организацией-лицензиатом ФСТЭК России.
Постановление Правительства № 584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:
Работы по ЗИ и оценка соблюдения требований к ЗИ могут осуществляться операторами и агентами платежных систем самостоятельно или с привлечением лицензиатов ФСТЭК России. Отдельно указано, что требования к ЗИ должны быть реализованы на всех этапах создания и эксплуатации собственных информационных систем, а в случае приобретения таких систем — на этапах ввода в эксплуатацию и непосредственно при эксплуатации.
В целом, рассмотренное Постановление Правительства носит декларативный характер по сравнению с документами ЦБ РФ, которые содержат детальные требования по ЗИ и рекомендации по их исполнению.
Положение Банка России № 379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» было принято практически одновременно с 382-П, однако утратило силу в связи с принятием Положения Банка России №607-П от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». В 607-П речь идет об управлении рисками и непрерывностью предоставления услуг в платежной системе. В данном документе, в частности, говорится о необходимости проводить оценку рисков не реже 1 раза в год, а пересматривать систему риск-менеджмента — не реже 1 раза в 2 года. Приводится перечень количественных показателей доступности услуг платежной инфраструктуры, бесперебойности функционирования платежной системы и частоты инцидентов (т.е. событий, приведших к нарушению предоставления платежных сервисов, возникших в том числе вследствие нарушений ЗИ), а также методы расчета этих показателей. Рассчитанные показатели затем используются при оценке системы управления рисками в платежной системе, при этом для оценки рисков следует применять стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Период хранения сведений об инцидентах равен 3 годам, а форма отчетности оператора платежной системы определена в Указании ЦБ РФ № 3280-У от 11.06.2014 «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры». Кроме этого, в 607-П подчеркивается важность разработки, тестирования и актуализации планов обеспечения непрерывности деятельности и восстановления работоспособности.
По сути аналогичный Положению № 607-П документ принят и для самого Банка России — речь идет о Положении Банка России № 680-П от 27.03.2019 «О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи». В данном документе указаны конкретные количественные и временные показатели бесперебойности функционирования платежной системы Банка России, а также указано, что Центробанк будет обязан выполнять нормы стандарта ГОСТ Р 57580.2-2018 (мы говорили о нем ранее) не ниже 4-го уровня соответствия к 01.01.2021. В целом, 680-П является очень глубоким риск-ориентированным документом, который можно взять за образец при проработке норм указанного ранее Положения № 607-П.
Положение ЦБ РФ № 380-П от 31.05.2012 «О порядке осуществления наблюдения в национальной платежной системе» устанавливает правила наблюдения Банком России за деятельностью субъектов НПС. Мониторинг осуществляется путем направления Центробанком запросов субъектам НПС об оказываемых ими платежных услугах и тарифах, характеристиках ИТ-инфраструктуры, показателях бесперебойности оказания платежных услуг, уровне обеспечения ЗИ (в т.ч. о выявленных инцидентах ИБ), введении новых услуг и о жалобах клиентов. На основании полученных данных ЦБ РФ затем осуществляет анализ в целях формирования показателей функционирования субъектов НПС и корректировки нормативных документов, а также для повышения осведомленности самих субъектов НПС и вынесения им рекомендаций. Отдельная глава посвящена оценке и корректировке деятельности значимых платежных систем (платежная система признается значимой на основании положений ст. 22 161-ФЗ), в т.ч. в разрезе совершенствования обеспечения ЗИ при осуществлении переводов д/с. На основе результатов мониторинга Банк России формирует обобщенный обзор результатов наблюдения в НПС, включая значимые платежные системы, который подлежит опубликованию.
Положение ЦБ РФ № 381-П от 09.06.2012 «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» было заменено Положением ЦБ РФ № 640-П от 16.04.2018 «О порядке осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» и принимаемых в соответствии с ним нормативных актов Банка России». Положение № 640-П формулирует права Банка России при осуществлении надзора за соблюдением требований 161-ФЗ, такие как анализ документов и информации и проведение инспекционных проверок (в соответствии с Инструкцией ЦБ РФ № 184-И), а также устанавливает способы воздействия на операторов для устранения выявленных недостатков. При этом Центробанк вправе осуществлять проверку соблюдения операторами требований к обеспечению ЗИ при осуществлении переводов д/с.
Перейдем к более новым документам, разработанным ЦБ РФ. Положение № 683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» предъявляет требования по защите электронных сообщений банков и их клиентов, клиентской аутентификационной информации, информации об осуществленных банковских операциях, а также ключевой информации применяемых СКЗИ. Положение ЦБ РФ № 683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные — в соответствии со стандартным (2-ым) уровнем защиты. При этом, кредитные организации обязаны выполнять нормы 3-его уровня соответствия с 01.01.2021 и нормы 4-го уровня — с 01.01.2023. Далее, по 683-П кредитные организации обязаны проводить ежегодные пен-тесты и анализ уязвимостей инфраструктуры. Кроме того, банки обязаны использовать применяемое для осуществления банковских операций ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 382-П, о которых мы писали выше). При этом в части ПО, не применяемого для банковских операций, банки могут самостоятельно принимать решение о необходимости сертификации, анализа уязвимостей и контроля отсутствия НДВ. Отдельно указано, что для проведения анализа уязвимостей кредитные организации должны привлекать лицензиатов ФСТЭК России. Отметим, что требования по применению сертифицированного прикладного ПО вступают в силу не с 01.01.2020, как планировалось изначально, а с 01.07.2020 (в соответствии с информационным письмом ЦБ РФ).
В Положении № 683-П пункт 5 посвящен перечислению требований к ЗИ при осуществлении переводов д/с, таких как:
Указано, что кредитным организациям следует не менее 5-ти лет хранить информацию, относящуюся к переводам д/с, фактам действий работников и сотрудников, а также инцидентам ЗИ, а при использовании СКЗИ следует руководствоваться соответствующей нормативной базой в области криптографической защиты информации.
Немаловажным пунктом в рассматриваемом документе является его «клиентоориентированность»: кредитные организации обязаны информировать клиентов о возможных рисках использования технических средств при осуществлении платежей и о мерах по минимизации данных рисков.
Отдельным пунктом указаны требования по реагированию на инциденты ЗИ. Так, указано, что кредитные организации должны относить к инцидентам ЗИ все события несанкционированных операций с д/с и неоказания банковских услуг, а также руководствоваться перечнем типов инцидентов, сформированным ЦБ РФ (мы говорили о нем выше). Инциденты ЗИ следует обрабатывать совместно со службой управления рисками и регистрировать факты, касающиеся инцидента ЗИ (защищаемую информацию, к которой был осуществлен НСД, а также результаты реагирования на инцидент). Кроме этого, организации должны хранить информацию, касающуюся инцидентов ЗИ, не менее 5-ти лет, а также уведомлять ЦБ РФ о выявленных инцидентах ЗИ и о планах по публикации информации, касающейся инцидентов ЗИ.
С 1 января 2021 года кредитные должны обеспечить проведение оценки соответствия уровню защиты информации (в соответствии с ГОСТ Р 57580.2-2018) не реже одного раза в два года, при этом следует привлекать стороннюю организацию-лицензиата ФСТЭК России, а выданный по результатам оценки отчет требуется хранить не менее 5-ти лет.
Перейдем к обзору еще одного документа, выпущенного Центробанком России одновременно с рассмотренным выше документом: Положение № 684-П от 17.04.2019 «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» применяется уже к другому типу финансовых компаний, нежели 683-П, но содержит перекликающиеся с ним нормы. Так, с 1 января 2021 года некредитные финансовые организации обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1-2017, при этом усиленный уровень ЗИ должны соблюдать центральные контрагенты и центральный депозитарий, а стандартный уровень — специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли, репозитарии, а также крупные страховые организации, брокеры, дилеры, депозитарии, регистраторы и управляющие; все перечисленные организации также обязаны проводить пен-тесты и анализ уязвимостей. Прочие некредитные финансовые организации ежегодно осуществляют выбор применимого к ним уровня ЗИ самостоятельно — напомним, что ГОСТ Р 57580.1-2017 устанавливает три уровня ЗИ: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).
Начиная с 1 января 2021 года оценка определенного некредитными организациями уровня ЗИ осуществляется в соответствии с ГОСТ Р 57580.2-2018 с привлечением сторонних организаций-лицензиатов ФСТЭК России, при этом такая оценка проводится не реже 1 раза в год организациями, выполняющими требования усиленного уровня ЗИ, и не реже 1 раза в 3 года — организациями, выполняющими требования стандартного уровня ЗИ, при этом некредитные финансовые организации обязаны выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня — к 01.01.2023. Отчет о проведенной проверке подлежит хранению в течение как минимум 5 лет.
Уже с 1 июля 2020 года (изначально планировалось ввести эту норму с 01.01.2020, но ЦБ РФ выпустил сообщение о переносе сроков) некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление — они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.
В части описания требований к ЗИ при осуществлении финансовых операций, реагирования на инциденты ЗИ и требований по работе с СКЗИ нормы 684-П полностью повторяют требования 683-П, описанные выше.
Еще одним нормативным актом, касающимся вопросов информационной безопасности в банковской сфере, является Положение № 607-П Банка России от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». Данный документ регламентирует процессы управления и оценки рисков, а также вводит количественные показатели непрерывности функционирования платежной системы в зависимости от уровня её значимости. Описан порядок обработки инцидентов услуг платежной инфраструктуры, включая объем сохраняемых сведений, касающихся таких инцидентов, и срок их хранения (3 года). Количественные значения показателей непрерывности предоставления услуг платежной системы рассчитываются по формулам, приведенным в Приложении к данному документу, и, в зависимости от полученных количественных значений, система управления рисками в платежной системе может быть пересмотрена. В зависимости от нарушенных пороговые значения показателей непрерывности инцидент услуг платежной инфраструктуры может быть признан влияющим или непосредственно не влияющим на бесперебойность функционирования платежной системы. В документе также дана ссылка на применение Указания №3280-У, которое регламентирует оповещение ЦБ РФ и других участников платежной системы о приостановлении оказания услуг оператором платежной системы.
Настала очередь более детально рассмотреть нормы действующего российского законодательства в финансовой сфере. Ключевым регулятором в данной отрасли является Центральный Банк Российской Федерации, который регулярно выпускает актуализированные документы по защите информации в финансовых учреждениях, отвечающие современным кибер-вызовам. Кроме этого, ЦБ РФ ведет активную работу с гражданами и организациями: проводятся конференции с участием представителей Центробанка, публикуются отчеты и предупреждения ФинЦЕРТ, даются разъяснения по выполнению нормативных требований. Анализу актуальных документов по защите информации в кредитно-финансовой сфере и будет посвящена данная публикация. Итак, приступим.
В кредитно-финансовых учреждениях вопросы защиты данных являются крайне актуальными по причине того, что именно в них зачастую можно поставить знак тождественности между информацией и деньгами. Проблемы конфиденциальности клиентских данных, целостности платежных поручений, доступности банковских сервисов стоят как никогда остро именно в наш цифровой век. С учетом внушительной конкуренции и разнообразия банковских продуктов лояльность клиентов (как физических, так и юридических лиц) ценится крайне высоко, а безопасность платежей и конфиденциальность предоставленных банку сведений относятся к важнейшим факторам выбора. Кроме очевидной и понятной широкому кругу людей цели проведения платежей банковская система служит фактически «кровеносной системой» экономики всей страны, и именно поэтому к субъектам критической информационной инфраструктуры РФ относятся в том числе и организации банковской сферы (системно значимые кредитные организации, операторы платёжных систем, системно значимые инфраструктурные организации финансового рынка).
По данным, предоставленным Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ/FinCERT), в 2018 г. объем несанкционированных операций по картам составил 1,4 млрд. руб., а средняя сумма одной несанкционированной операции — 3,32 тыс. руб. Для многих банков киберриски стали одними из важнейших факторов, сдерживающих развитие, а ущерб от киберпреступлений, в том числе репутационный, уже давно превысил таковой от «классических» ограблений. Кроме этого, ЦБ РФ в своем Проекте «Положений о требованиях к системе управления операционным риском» включил риски информационной безопасности и информационных систем в перечень операционных рисков, которые должны быть учтены при управлении капиталом финансовой организации.
Логичным ответом на кибер-вызовы нашего времени послужил ряд инициатив руководства страны, в соответствии с которыми были приняты нормативно-правовые акты для регулирования сферы информационной безопасности в финансовых организациях РФ. Главным регулятором российской финансовой сферы является Банк России. Целями ЦБ РФ в разрезе информационной безопасности являются обеспечение киберустойчивости (с помощью контроля показателей риска реализации информационных угроз, обеспечения непрерывности предоставления финансовых и банковских услуг, контроля уровня мошеннических операций), защита потребителей финансовых услуг (путем мониторинга и контроля показателей, характеризующих уровень финансовых потерь), а также содействие развитию инновационных финансовых технологий (с помощью контроля риска реализации информационных угроз и реализации необходимого уровня ИБ).
Федеральный закон № 161 «О национальной платежной системе»
Основным документом, регламентирующим защиту информации в российских банках, является Федеральный закон № 161 от 27.06.2011 г. «О национальной платежной системе». Данный документ непрерывно дополняется и изменяется, оставаясь актуальным с появлением новых угроз и вызовов. Основными статьями 161-ФЗ, непосредственно посвященными защите информации, являются ст. 27 «Обеспечение защиты информации в платежной системе», а также ст. 28 «Система управления рисками в платежной системе» (п. 3.11 которой непосредственно говорит о необходимости определения порядка обеспечения защиты информации в платежной системе). На основании ст. 2 п. 3 данного Федерального Закона Банком России были разработаны подзаконные нормативные акты в целях регулирования отношений в национальной платежной системе, о которых мы поговорим в этой и дальнейших публикациях.
Прежде всего, необходимо ознакомиться с основными терминами и определениями, которые применяются регулятором в лице Банка России при обсуждении вопросов ИБ в финансовой сфере. Итак,
- национальная платежная система — это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъектов национальной платежной системы);
- оператор по переводу денежных средств — это организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств;
- оператор электронных денежных средств — это оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств);
- банковский платежный агент — юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций;
- банковский платежный субагент — юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций;
- оператор платежной системы — это организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные в 161-ФЗ;
- оператор услуг платежной инфраструктуры — операционный центр, платежный клиринговый центр и расчетный центр;
- операционный центр — организация, обеспечивающая в рамках платежной системы для участников платежной системы и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями;
- платежная система — это совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств;
- поставщик платежного приложения — юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств.
В соответствии со ст. 27 161-ФЗ, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными в Положении Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Кроме того, операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, могут получать от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Указанием Банка России от 08.10.2018 № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Иначе говоря, Указание № 4926-У определяет форму, порядок и содержание сообщений, отправляемых финансовыми организациями в ФинЦЕРТ ЦБ РФ. При этом сам Центробанк осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»
Во исполнение норм по защите информации, указанных в 161-ФЗ, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». В соответствии с данным документом, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:
- информация об остатках денежных средств на банковских счетах;
- информация об остатках электронных денежных средств;
- информация о совершенных переводах денежных средств;
- информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
- информация о платежных клиринговых позициях;
- клиентская информация и данные держателей платежных карт;
- ключевая информация средств криптографической защиты информации (СКЗИ);
- информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
- информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.
Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:
- назначение и распределение прав доступа сотрудников финансовых организаций;
- защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
- защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
- защита от вредоносного кода;
- защита информации при переводе денежных средств через Интернет;
- защита информации при использовании банкоматов и платежных терминалов;
- защита информации при использовании платежных карт;
- зашита информации с помощью СКЗИ;
- защита технологии обработки информации при переводе денежных средств;
- создание службы информационной безопасности, в том числе в филиалах;
- проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
- разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
- оценка выполнения требований по ЗИ;
- выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
- совершенствование системы ЗИ при переводе денежных средств;
- выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.
При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):
- Использование вредоносного программного обеспечения [malware];
- Использование методов социальной инженерии [socialEngineering];
- Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
- Использование фишинговых ресурсов [phishingAttacks];
- Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
- Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
- Изменение маршрутно-адресной информации [trafficHijackAttacks];
- Использование вредоносного программного обеспечения [malware];
- Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
- Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
- Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
- Компроментация аутентификационных/учетных данных [bruteForces];
- Реализация спам рассылки [spams];
- Взаимодействие с центрами «бот-нет» сетей [controlCenters];
- Использование фишинговых ресурсов [phishingAttacks];
- Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
- Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
- Выполнение изменение контента [changeContent];
- Выполнение сканирования портов [scanPorts];
- Иная компьютерная атака [other].
В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).
В 382-П также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию — лицензиата ФСТЭК России.
Отдельные пункты 382-П посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикации пользовательских инструкций по их использованию, проверке отсутствия ВПО и контролю целостности, использованию одноразовых кодов подтверждения доступа, размещению в надежных репозиториях, поиску уязвимостей и своевременному обновлению. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.
Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ № 378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Отдельный пункт (п.2.13) в 382-П посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:
- выявлять и регистрировать инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, с применением организационных и технических средств;
- информировать выделенное подразделение ИБ в случае выявления инцидентов ЗИ;
- осуществлять реагирование на выявленные инциденты;
- анализировать причины возникновения выявленных инцидентов и проводить оценку результатов реагирования на них.
Более того, Указанием ЦБ РФ № 4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.
Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30-ти рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.
Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее — д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2-х часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.
Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания № 4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.
Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.
Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present — операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% — методы социальной инженерии и нарушение правил работы владельцами.
В завершение обзора 382-П следует отметить, что в настоящий момент ЦБ РФ готовит к выпуску актуализированную версию данного документа, которая гармонизирована с другими свежими документами, выпущенными Центробанком, например, с Положениями 683-П и 684-П, о которых мы поговорим ниже. Так, в новой редакции присутствуют требования о применении сертифицированного ПО, проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей, обеспечении уровней защищенности по ГОСТ Р 57580.1-2017, а также указано, что оценка соответствия по ГОСТ Р 57580.2-2018 и анализ уязвимостей в прикладном ПО должны проводиться организацией-лицензиатом ФСТЭК России.
Постановление Правительства № 584, Положения ЦБ РФ №№ 607-П, 380-П, 640-П
Постановление Правительства № 584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:
- назначение ответственного за ЗИ работника или подразделения;
- включение требований по ЗИ в должностные инструкции работников платежной системы;
- определение угроз безопасности (т.е. моделирование угроз) и анализ уязвимостей;
- анализ и управление рисками нарушения требований к ЗИ;
- применение СЗИ;
- выявление и реагирование на инциденты ИБ;
- обеспечение ЗИ при использовании сети Интернет;
- определение порядка доступа к компонентам платежной системы;
- организация и проведение контроля и оценки выполнения требований к ЗИ не реже 1 раза в 2 года.
Работы по ЗИ и оценка соблюдения требований к ЗИ могут осуществляться операторами и агентами платежных систем самостоятельно или с привлечением лицензиатов ФСТЭК России. Отдельно указано, что требования к ЗИ должны быть реализованы на всех этапах создания и эксплуатации собственных информационных систем, а в случае приобретения таких систем — на этапах ввода в эксплуатацию и непосредственно при эксплуатации.
В целом, рассмотренное Постановление Правительства носит декларативный характер по сравнению с документами ЦБ РФ, которые содержат детальные требования по ЗИ и рекомендации по их исполнению.
Положение Банка России № 379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» было принято практически одновременно с 382-П, однако утратило силу в связи с принятием Положения Банка России №607-П от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». В 607-П речь идет об управлении рисками и непрерывностью предоставления услуг в платежной системе. В данном документе, в частности, говорится о необходимости проводить оценку рисков не реже 1 раза в год, а пересматривать систему риск-менеджмента — не реже 1 раза в 2 года. Приводится перечень количественных показателей доступности услуг платежной инфраструктуры, бесперебойности функционирования платежной системы и частоты инцидентов (т.е. событий, приведших к нарушению предоставления платежных сервисов, возникших в том числе вследствие нарушений ЗИ), а также методы расчета этих показателей. Рассчитанные показатели затем используются при оценке системы управления рисками в платежной системе, при этом для оценки рисков следует применять стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Период хранения сведений об инцидентах равен 3 годам, а форма отчетности оператора платежной системы определена в Указании ЦБ РФ № 3280-У от 11.06.2014 «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры». Кроме этого, в 607-П подчеркивается важность разработки, тестирования и актуализации планов обеспечения непрерывности деятельности и восстановления работоспособности.
По сути аналогичный Положению № 607-П документ принят и для самого Банка России — речь идет о Положении Банка России № 680-П от 27.03.2019 «О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи». В данном документе указаны конкретные количественные и временные показатели бесперебойности функционирования платежной системы Банка России, а также указано, что Центробанк будет обязан выполнять нормы стандарта ГОСТ Р 57580.2-2018 (мы говорили о нем ранее) не ниже 4-го уровня соответствия к 01.01.2021. В целом, 680-П является очень глубоким риск-ориентированным документом, который можно взять за образец при проработке норм указанного ранее Положения № 607-П.
Положение ЦБ РФ № 380-П от 31.05.2012 «О порядке осуществления наблюдения в национальной платежной системе» устанавливает правила наблюдения Банком России за деятельностью субъектов НПС. Мониторинг осуществляется путем направления Центробанком запросов субъектам НПС об оказываемых ими платежных услугах и тарифах, характеристиках ИТ-инфраструктуры, показателях бесперебойности оказания платежных услуг, уровне обеспечения ЗИ (в т.ч. о выявленных инцидентах ИБ), введении новых услуг и о жалобах клиентов. На основании полученных данных ЦБ РФ затем осуществляет анализ в целях формирования показателей функционирования субъектов НПС и корректировки нормативных документов, а также для повышения осведомленности самих субъектов НПС и вынесения им рекомендаций. Отдельная глава посвящена оценке и корректировке деятельности значимых платежных систем (платежная система признается значимой на основании положений ст. 22 161-ФЗ), в т.ч. в разрезе совершенствования обеспечения ЗИ при осуществлении переводов д/с. На основе результатов мониторинга Банк России формирует обобщенный обзор результатов наблюдения в НПС, включая значимые платежные системы, который подлежит опубликованию.
Положение ЦБ РФ № 381-П от 09.06.2012 «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» было заменено Положением ЦБ РФ № 640-П от 16.04.2018 «О порядке осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» и принимаемых в соответствии с ним нормативных актов Банка России». Положение № 640-П формулирует права Банка России при осуществлении надзора за соблюдением требований 161-ФЗ, такие как анализ документов и информации и проведение инспекционных проверок (в соответствии с Инструкцией ЦБ РФ № 184-И), а также устанавливает способы воздействия на операторов для устранения выявленных недостатков. При этом Центробанк вправе осуществлять проверку соблюдения операторами требований к обеспечению ЗИ при осуществлении переводов д/с.
Положения ЦБ РФ №№ 683, 684, 607
Перейдем к более новым документам, разработанным ЦБ РФ. Положение № 683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» предъявляет требования по защите электронных сообщений банков и их клиентов, клиентской аутентификационной информации, информации об осуществленных банковских операциях, а также ключевой информации применяемых СКЗИ. Положение ЦБ РФ № 683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017, а иные — в соответствии со стандартным (2-ым) уровнем защиты. При этом, кредитные организации обязаны выполнять нормы 3-его уровня соответствия с 01.01.2021 и нормы 4-го уровня — с 01.01.2023. Далее, по 683-П кредитные организации обязаны проводить ежегодные пен-тесты и анализ уязвимостей инфраструктуры. Кроме того, банки обязаны использовать применяемое для осуществления банковских операций ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 382-П, о которых мы писали выше). При этом в части ПО, не применяемого для банковских операций, банки могут самостоятельно принимать решение о необходимости сертификации, анализа уязвимостей и контроля отсутствия НДВ. Отдельно указано, что для проведения анализа уязвимостей кредитные организации должны привлекать лицензиатов ФСТЭК России. Отметим, что требования по применению сертифицированного прикладного ПО вступают в силу не с 01.01.2020, как планировалось изначально, а с 01.07.2020 (в соответствии с информационным письмом ЦБ РФ).
В Положении № 683-П пункт 5 посвящен перечислению требований к ЗИ при осуществлении переводов д/с, таких как:
- использование электронной подписи сообщений;
- регламентация, реализация и контроль процедур:
- идентификации, аутентификации и авторизации клиентов;
- формирования, передачи и приема электронных сообщений;
- удостоверения права клиентов распоряжаться д/с (в этом случае дополнительно обеспечивается использование электронных подписей и получение подтверждения от клиента о совершенной операции);
- осуществления банковских операций, учет результатов их осуществления (в этом случае дополнительно обеспечиваются проверка соответствия выходных сообщений входным, проверка соответствия результатов банковской операции данным из электронного сообщения и направление уведомлений клиентам о проведенных операциях);
- хранения электронных сообщений и информации об осуществленных банковских операциях;
- обеспечение целостности и достоверности защищаемой информации, включая проверку корректности формирования и заполнения электронного сообщения, контроль дублирования и структурный контроль электронного сообщения, а также непосредственно защиту информации при передаче;
- регистрация действий работников и клиентов, включая данные о дате и времени совершения операции, уникальный идентификатор субъекта, код технологического участка, результат выполнения операции, сетевой идентификатор использовавшегося устройства.
Указано, что кредитным организациям следует не менее 5-ти лет хранить информацию, относящуюся к переводам д/с, фактам действий работников и сотрудников, а также инцидентам ЗИ, а при использовании СКЗИ следует руководствоваться соответствующей нормативной базой в области криптографической защиты информации.
Немаловажным пунктом в рассматриваемом документе является его «клиентоориентированность»: кредитные организации обязаны информировать клиентов о возможных рисках использования технических средств при осуществлении платежей и о мерах по минимизации данных рисков.
Отдельным пунктом указаны требования по реагированию на инциденты ЗИ. Так, указано, что кредитные организации должны относить к инцидентам ЗИ все события несанкционированных операций с д/с и неоказания банковских услуг, а также руководствоваться перечнем типов инцидентов, сформированным ЦБ РФ (мы говорили о нем выше). Инциденты ЗИ следует обрабатывать совместно со службой управления рисками и регистрировать факты, касающиеся инцидента ЗИ (защищаемую информацию, к которой был осуществлен НСД, а также результаты реагирования на инцидент). Кроме этого, организации должны хранить информацию, касающуюся инцидентов ЗИ, не менее 5-ти лет, а также уведомлять ЦБ РФ о выявленных инцидентах ЗИ и о планах по публикации информации, касающейся инцидентов ЗИ.
С 1 января 2021 года кредитные должны обеспечить проведение оценки соответствия уровню защиты информации (в соответствии с ГОСТ Р 57580.2-2018) не реже одного раза в два года, при этом следует привлекать стороннюю организацию-лицензиата ФСТЭК России, а выданный по результатам оценки отчет требуется хранить не менее 5-ти лет.
Перейдем к обзору еще одного документа, выпущенного Центробанком России одновременно с рассмотренным выше документом: Положение № 684-П от 17.04.2019 «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» применяется уже к другому типу финансовых компаний, нежели 683-П, но содержит перекликающиеся с ним нормы. Так, с 1 января 2021 года некредитные финансовые организации обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1-2017, при этом усиленный уровень ЗИ должны соблюдать центральные контрагенты и центральный депозитарий, а стандартный уровень — специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли, репозитарии, а также крупные страховые организации, брокеры, дилеры, депозитарии, регистраторы и управляющие; все перечисленные организации также обязаны проводить пен-тесты и анализ уязвимостей. Прочие некредитные финансовые организации ежегодно осуществляют выбор применимого к ним уровня ЗИ самостоятельно — напомним, что ГОСТ Р 57580.1-2017 устанавливает три уровня ЗИ: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).
Начиная с 1 января 2021 года оценка определенного некредитными организациями уровня ЗИ осуществляется в соответствии с ГОСТ Р 57580.2-2018 с привлечением сторонних организаций-лицензиатов ФСТЭК России, при этом такая оценка проводится не реже 1 раза в год организациями, выполняющими требования усиленного уровня ЗИ, и не реже 1 раза в 3 года — организациями, выполняющими требования стандартного уровня ЗИ, при этом некредитные финансовые организации обязаны выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня — к 01.01.2023. Отчет о проведенной проверке подлежит хранению в течение как минимум 5 лет.
Уже с 1 июля 2020 года (изначально планировалось ввести эту норму с 01.01.2020, но ЦБ РФ выпустил сообщение о переносе сроков) некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление — они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.
В части описания требований к ЗИ при осуществлении финансовых операций, реагирования на инциденты ЗИ и требований по работе с СКЗИ нормы 684-П полностью повторяют требования 683-П, описанные выше.
Еще одним нормативным актом, касающимся вопросов информационной безопасности в банковской сфере, является Положение № 607-П Банка России от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». Данный документ регламентирует процессы управления и оценки рисков, а также вводит количественные показатели непрерывности функционирования платежной системы в зависимости от уровня её значимости. Описан порядок обработки инцидентов услуг платежной инфраструктуры, включая объем сохраняемых сведений, касающихся таких инцидентов, и срок их хранения (3 года). Количественные значения показателей непрерывности предоставления услуг платежной системы рассчитываются по формулам, приведенным в Приложении к данному документу, и, в зависимости от полученных количественных значений, система управления рисками в платежной системе может быть пересмотрена. В зависимости от нарушенных пороговые значения показателей непрерывности инцидент услуг платежной инфраструктуры может быть признан влияющим или непосредственно не влияющим на бесперебойность функционирования платежной системы. В документе также дана ссылка на применение Указания №3280-У, которое регламентирует оповещение ЦБ РФ и других участников платежной системы о приостановлении оказания услуг оператором платежной системы.
