Что понимается под формулировкой операционная надежность финансовых организаций
Банк России утвердил требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы
В частности, указанием Банка России от 23.12.2020 N 5673-У установлены следующие требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы:
— требования к определению целевых показателей и обеспечению контроля за их соблюдением;
— требования к операционной надежности в отношении идентификации состава элементов;
— требования к операционной надежности в отношении управления изменениями критичной архитектуры;
— требования к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов;
— требования к операционной надежности в отношении взаимодействия с поставщиками услуг;
— требования к операционной надежности в отношении тестирования операционной надежности технологических процессов;
— требования к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах.
Также следует отметить, что операторы финансовой платформы, реализующие стандартный уровень защиты информации, должны обеспечить пороговый уровень допустимого времени простоя обеспечивающих совершение финансовых сделок с использованием финансовой платформы технологических процессов и (или) нарушения технологических процессов, приводящего к неоказанию или ненадлежащему оказанию услуг, связанных с обеспечением возможности совершения финансовых сделок между потребителями финансовых услуг и финансовыми организациями или эмитентами с использованием финансовых платформ, не более двух часов подряд.
Указание Банка России от 23 декабря 2020 г. № 5673-У “О требованиях к операционной надежности при совершении финансовых сделок с использованием финансовой платформы” (документ не вступил в силу)
Настоящее Указание на основании части 1 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ «О совершении финансовых сделок с использованием финансовой платформы» (Собрание законодательства Российской Федерации, 2020, N 30, ст. 4737) устанавливает требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Операторы финансовой платформы, не указанные в абзаце первом настоящего пункта, должны обеспечить пороговый уровень допустимого времени простоя и (или) деградации технологических процессов не более четырех часов подряд.
3. Операторы финансовой платформы должны определить во внутренних документах значения целевых показателей операционной надежности:
допустимого времени простоя и (или) деградации технологических процессов с учетом порогового уровня, установленного в пункте 2 настоящего Указания;
суммарного времени простоя и (или) деградации технологических процессов в течение календарного месяца;
показателя соблюдения режима работы (функционирования) финансовой платформы (времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых на финансовой платформе с целью обеспечения возможности совершения финансовых сделок).
В случаях превышения допустимого времени простоя и (или) деградации технологических процессов, а также отклонения от допустимой доли деградации технологических процессов операторы финансовой платформы должны обеспечить фиксацию:
фактического времени простоя и (или) деградации технологических процессов, исчисляемого по каждому инциденту операционной надежности;
фактической доли деградации технологических процессов в рамках отдельного инцидента операционной надежности.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов.
4. Определение целевых показателей операционной надежности и обеспечение контроля за их соблюдением реализуется оператором финансовой платформы в рамках системы управления рисками.
Оператор финансовой платформы должен не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.
5. Требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы включают в себя:
требования к определению целевых показателей и обеспечению контроля за их соблюдением;
требования к операционной надежности в отношении управления изменениями критичной архитектуры;
требования к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов;
требования к операционной надежности в отношении тестирования операционной надежности технологических процессов;
требования к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах;
5.1. Операторы финансовой платформы в отношении идентификации критичной архитектуры должны обеспечивать организацию учета и мониторинга следующих элементов критичной архитектуры:
технологических процессов, реализуемых непосредственно оператором финансовой платформы;
технологических процессов, реализуемых поставщиками услуг;
технологических участков (этапов) технологических процессов;
программно-аппаратных средств оператора финансовой платформы, задействованных при выполнении каждого технологического процесса;
программно-аппаратных средств поставщиков услуг, задействованных при выполнении технологических процессов;
каналов передачи информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса при взаимодействии с работниками оператора финансовой платформы.
5.2. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении управления изменениями критичной архитектуры:
предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы, и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение бесперебойного функционирования программно-аппаратных средств;
управление конфигурациями программно-аппаратных средств;
управление уязвимостями и обновлениями (исправлениями) программно-аппаратных средств.
5.3. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов:
выявление и регистрацию инцидентов операционной надежности, в том числе обнаружение компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и программно-аппаратных средств после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями оператора финансовой платформы, а также между оператором финансовой платформы и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации инцидентов операционной надежности.
5.4. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении взаимодействия с поставщиками услуг:
управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту программно-аппаратных средств от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг;
управление риском технологической зависимости функционирования программно-аппаратных средств оператора финансовой платформы от поставщиков услуг;
предотвращение возможной реализации информационных угроз при сопровождении и техническом обслуживании программно-аппаратных средств оператора финансовой платформы поставщиками услуг.
5.5. Операторы финансовой платформы в отношении тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на разработку сценарного анализа и проведение с использованием сценарного анализа тестирования готовности оператора финансовой платформы противостоять реализации информационных угроз в отношении критичной архитектуры.
5.6. Операторы финансовой платформы в отношении управления риском внутреннего нарушителя должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
5.7. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах:
организацию взаимодействия оператора финансовой платформы и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения бесперебойного функционирования программно-аппаратных средств.
6. Оператор финансовой платформы должен обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа, обладающих уникальными знаниями, опытом и компетенцией, а также защиту критичной архитектуры от возможной реализации информационных угроз при организации дистанционной работы работников.
7. Оператор финансовой платформы устанавливает в документах, определяющих правила управления рисками, связанными с деятельностью оператора финансовой платформы, описание процедур, направленных на реализацию требований к операционной надежности, установленных настоящим Указанием, включая:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение организационной структуры оператора финансовой платформы, задействованной в выполнении требований к операционной надежности, в том числе обеспечивающее установление функций подразделений оператора финансовой платформы (в том числе в части принятия решений с учетом исключения конфликта интересов) и контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления оператором финансовой платформы внутреннего контроля;
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Оператор финансовой платформы обеспечивает планирование и реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
8. В целях реализации требований к операционной надежности оператор финансовой платформы:
моделирует информационные угрозы в отношении критичной архитектуры;
планирует применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивает реализацию требований к операционной надежности на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации программно-аппаратных средств;
обеспечивает контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.
Операторы финансовой платформы должны устанавливать во внутренних документах порядок регистрации инцидентов операционной надежности. По каждому инциденту операционной надежности операторы финансовой платформы должны обеспечивать регистрацию:
данных, используемых для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;
данных, позволяющих выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности;
результата реагирования на инцидент операционной надежности.
9. Операторы финансовой платформы должны информировать Банк России:
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы финансовой платформы должны предоставлять в Банк России указанные сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия операторов финансовой платформы с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовой платформы должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
10. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года N ПСД-30) вступает в силу с 1 октября 2021 года.
| Председатель Центрального банка Российской Федерации | Э.С. Набиуллина |
Зарегистрировано в Минюсте РФ 3 февраля 2021 г.
Обзор документа
Банк России определил требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Указание вступает в силу с 1 октября 2021 г.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Банк России утвердил требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы
В частности, указанием Банка России от 23.12.2020 N 5673-У установлены следующие требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы:
— требования к определению целевых показателей и обеспечению контроля за их соблюдением;
— требования к операционной надежности в отношении идентификации состава элементов;
— требования к операционной надежности в отношении управления изменениями критичной архитектуры;
— требования к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов;
— требования к операционной надежности в отношении взаимодействия с поставщиками услуг;
— требования к операционной надежности в отношении тестирования операционной надежности технологических процессов;
— требования к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах.
Также следует отметить, что операторы финансовой платформы, реализующие стандартный уровень защиты информации, должны обеспечить пороговый уровень допустимого времени простоя обеспечивающих совершение финансовых сделок с использованием финансовой платформы технологических процессов и (или) нарушения технологических процессов, приводящего к неоказанию или ненадлежащему оказанию услуг, связанных с обеспечением возможности совершения финансовых сделок между потребителями финансовых услуг и финансовыми организациями или эмитентами с использованием финансовых платформ, не более двух часов подряд.
Как новые инициативы Банка России повлияют на финансовые организации и их клиентов
В конце февраля завершился XII Уральский форум по информационной безопасности в финансовой сфере — пожалуй, главное событие на территории Российской Федерации для тех, кто работает в этом секторе. Мы предлагаем ознакомиться с ключевыми моментами мероприятия, узнать, в чём заключается переход от compliance-модели к риск-ориентированной, что такое киберучения, какие законопроекты готовятся и уже приняты, зачем нужны Единая биометрическая система и «Мастерчейн», как борются с социальной инженерией и что скрывается за аббревиатурой ЕИС ПСА.
Введение
На берегу Банного озера, чуть севернее Магнитогорска Банк России в двенадцатый раз организовал и провёл форум, представив ИБ-сообществу новые инициативы.
Уральский форум по информационной безопасности традиционно является ключевой площадкой, на которой Центральный банк Российской Федерации анонсирует и обсуждает с участниками рынка и надзорными органами свои основные требования. Первые лица Банка России принимали участие в разработке программы мероприятия, они же выступили в качестве спикеров наравне с приглашёнными гостями.
В эпоху информатизации Центробанку необходимо внедрять современные технологии и, следовательно, регламентировать правила работы с ними, в связи с чем было анонсировано большое количество поправок к законодательству, многие из которых стали (или предназначены стать) ответом на возрастающие риски и потребности информационной безопасности в финансовой сфере. Мировые стандарты в области защиты данных адаптируются к российским реалиям и видоизменяются, прежде чем стать новыми ГОСТами. Регулятор наращивает нормативную базу.
Мы предлагаем перенестись на площадку XII Уральского форума, попробовать разобраться, с чем связано всё вышеупомянутое, и узнать, какие новшества готовит Центральный банк.
Отчёт Банка России об операциях без согласия клиента за 2019 год
Прежде всего Банк России поделился интересной инфографикой, согласно которой фактический уровень хищений с 2017 по 2019 годы увеличился на 0,0007% (2017 год — 0,0016%; 2018 год — 0,0018%; 2019 год — 0,0023%).
В рамках реализации требований стандарта ЦБ — СТО БР БФБО-1.5-2018 — организован информационный обмен между 826 участниками. Подключены все банки России, также ведётся подключение некредитных финансовых организаций.
Осветил Банк России и успехи в области реализации нормативного регулирования. Соответствующая база позволила кредитным организациям лучше бороться с операциями без согласия клиентов.
Выполнение ключевого показателя эффективности по доле хищений в общем объёме транзакций — не выше 0,005%.
Помимо этого, представители Центробанка заявили, что регулятор обеспокоен утечками данных в финансовой сфере и готовит поправки к законодательству, которые обеспечат интенсификацию работы с правоохранительными органами.
Традиционный доклад Алексея Лукацкого, освещающий основные итоги форума, наглядно показал изменения нормативных требований Банка России. Далее в качестве иллюстраций мы будем использовать скриншоты из его презентации.
Рисунок 1. Информационный обмен
По данным отчёта, представленного первым заместителем директора департамента ИБ Банка России Артёмом Сычёвым, у физических лиц в 2019 году злоумышленники похитили 5,7 миллиарда рублей. Печально, что в 70% случаев мошенники использовали методы социальной инженерии, то есть пострадавшие сами предоставляли злоумышленникам сведения, необходимые для совершения транзакций.
В первый раз регулятор опубликовал данные, дающие понять, что есть случаи возврата денежных средств. По словам А. Сычёва, 9-я статья закона «О национальной платёжной системе» на сегодняшний день прекрасно работает: в 2019 году пострадавшие получили обратно 870 миллионов рублей. Таким образом, каждый седьмой похищенный рубль автоматически вернулся клиентам. Ранее мы уже писали об этом в рамках обзора событий форума.
Применительно к объектам критической информационной инфраструктуры прозвучало следующее:
Рисунок 2. Упрощённая схема взаимодействия финансовой организации с ГосСОПКА
Сдвиг парадигмы регулирования
Одна из основных тем форума — переход от регулирования, нацеленного на проверку соответствия формальным требованиям (compliance), к риск-ориентированной модели.
В зарубежной практике этот подход называется «continuous monitoring»: интервалы между проверками отсутствуют, и по сути процесс идёт непрерывно с применением разных методов, таких как тестирование на проникновение (пентест), анализ защищённости, информирование ФинЦЕРТа о возможных рисках и зафиксированных инцидентах и т. д.
Рисунок 3. Развитие контрольно-надзорной деятельности
Рисунок 4. Риск-ориентированный подход
Формирование профиля риска и основные показатели оценки
При риск-ориентированном подходе меняются ключевые показатели, по которым будут оцениваться финансовые организации (не только кредитные, а вообще все). Это делается для того, чтобы исключить возможность манипулировать отчётностью. Не секрет, что раньше многие компании завышали свой уровень соответствия (особенно когда проводили самооценку).
Сейчас таких возможностей становится меньше, потому что помимо отчётности по форме 0403202 («Сведения о выполнении операторами платёжных систем, операторами услуг платёжной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств») и результатов аудита по ГОСТ 57580.2-2018 («Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия») появляются другие механизмы, связанные с анализом данных об инцидентах.
Например, если по указанной выше 202-й форме организация вышла на 5-й уровень соответствия, но при этом у неё происходит по 10 инцидентов в день и фиксируется огромное количество хищений, то оценка явно не отражает действительность. Поэтому «бумажная» составляющая отходит на второй план, а фокус сдвигается на анализ реальных оперативных данных, поступивших в ФинЦЕРТ.
Рисунок 5. Основные показатели оценки риска
Пятый показатель, не отмеченный на изображении, — информационный фон (ИФ): анализ социальных сетей, СМИ и других подобных источников для понимания того, как организация выглядит в глазах потребителей.
ЦБ создаёт нормативную базу для формирования единого профиля риска на основе всех показателей для каждой финансовой организации; от этого профиля и будут отталкиваться во время проведения надзорных мероприятий (как очных, так и дистанционных).
Рисунок 6. Статистика нарушений по итогам первых проверок ФинЦЕРТ по ГОСТ Р 57580.1-2017
Статистика обращает внимание на необходимость усиления контроля как минимум по перечисленным направлениям. Поскольку нарушения влияют на показатели риска, будет усилен контроль за организациями со стороны регулятора. Степень повышенного внимания к организации, как и описывалось ранее, будет зависеть не от статуса и уровня защиты по ГОСТ, а от значения риск-профиля, вычисляемого на основе поступающих в ФинЦЕРТ данных. Так как проверка будет проводиться непрерывно, профиль окажется динамическим, а не присвоенным на 2-3 года.
Киберучения
Интересная тема, которая в прошлом году прозвучала совсем вскользь, в 2020 году получила большее развитие: концепция киберучений очень важна и актуальна во всём мире. Тренировки не просто позволяют научиться пользоваться продуктом (что можно сделать на любом авторизованном тренинге того или иного вендора), а помогают развить навыки специалистов по безопасности.
Знание стандартов и положений, к сожалению, не показывает реальный уровень ИБ-инженера: нужно уметь отражать настоящие угрозы, которые могут привести к ущербу для финансовой организации.
В рамках киберучений будут подготовлены различные сценарии на основе данных, поступающих в ФинЦЕРТ, и других источников. Следовательно, в ходе проверки финансовой организации будут использоваться кейсы, максимально приближённые к реальности (отработка уязвимостей, проведение целевых атак, координация внутреннего и внешнего нарушителей и т. д.).
Артём Сычёв, первый заместитель директора департамента ИБ Банка России, углубился в методы борьбы с киберрисками и объяснил суть профилактических действий.
«Наша задача — не оштрафовать, не наказать, а обеспечить стабильность и безопасность финансовой системы. Поэтому мы и говорим в первую очередь о проведённой проверке: мы всем рассказали об их проблемах, — сообщил А. Сычёв. — Второй момент — киберучения, которые покажут, насколько банки реагируют на сигналы регулятора. Важно понимать одно: это — не наша прихоть, это защита банков и клиентов».
Рисунок 7. Пример со схемой проведения киберучений ЦБ
Создание новой нормативной базы
Для плавного и максимально безболезненного перехода к риск-ориентированной модели ведётся работа над нормативными актами (некоторые из них уже вступили в силу): создание «Положения по управлению операционными рисками»; разработка стандартов по мониторингу, аутсорсингу и управлению инцидентами, ГОСТ 57580.1 и ГОСТ 57580.2; введение КПУР — контрольного показателя уровня риска реализации информационных угроз; законопроекты по созданию и использованию Единой биометрической системы и Единой информационной системы проверки сведений об абоненте, а также о цифровых финансовых активах, персональных данных и цифровом профиле.
Положение по управлению операционными рисками
Одной из составляющих этой базы является «Положение по управлению операционными рисками», которое было анонсировано ещё в 2018 году.
Рисунок 8. Нормативные акты по управлению рисками
Во II квартале 2020 года будут введены предусмотренные проектом «Положения. » требования:
Также проект предусматривает дифференциацию требований и сроков внедрения системы, управляющей операционными рисками, в зависимости от вида кредитной организации и типа лицензии.
Направления стандартизации Банка России
На данный момент разработаны два стандарта по защите информации — ГОСТ 57580.1 и ГОСТ 57580.2 (отмечены зелёным цветом на рисунке 4). В разработке находятся ещё 2 ветки стандартов — по операционной надёжности и по управлению рисками (отмечены тёмно-серым цветом).
Рисунок 9. Направления стандартизации Банка России (ТК №122, Подкомитет №1)
Три раскрашенных блока составят костяк тех требований, которые будут предъявляться к финансовым организациям; остальные, запланированные на конец 2020-го, 2021-й и частично 2022-й годы, будут относиться к управлению инцидентами, аутсорсингу, мониторингу и ситуационной осведомлённости.
Предполагается, что все шесть стандартов будут работать в связке с указанным выше «Положением».
Контрольный показатель уровня риска реализации информационных угроз
Регулятор вновь возвращается к теме оценки «количественной информационной безопасности».
Опираясь на новую методологическую базу, полученную информацию и накопленный опыт, финансовым организациям придётся высчитывать КПУР — контрольный показатель уровня риска реализации информационных угроз.
Таблица 1. Некоторые показатели из рекомендуемого состава по группам КПУР
| Категория контрольных показателей уровня риска реализации информационных угроз | Контрольный показатель уровня риска реализации информационных угроз | |
| Группа КПУР, характеризующих уровень прямых и косвенных потерь в результате реализации инцидентов в области защиты информации по каждому каналу (способу) предоставления финансовых (банковских) и (или) информационных услуг | Прямые финансовые потери финансовой организации от реализации инцидентов в области защиты информации, включая случаи, связанные с несанкционированным доступом к объектам информатизации финансовой организации и (или) её клиентов, которые привели к осуществлению финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиентов за определённый период (месяц, квартал, год) | Сигнальное значение |
| Контрольное значение | ||
| Косвенные финансовые потери финансовой организации от реализации инцидентов в области защиты информации, которые привели к нарушению требований к обеспечению операционной надёжности финансовой организации за определённый период (месяц, квартал, год) | Сигнальное значение | |
| Контрольное значение | ||
Теперь организации, которые задумываются о том, как количественно оценивать свою деятельность, как показывать эффективность для правления банка или исполнительного органа финансовой организации и т.п., наконец получат инструмент, позволяющий это сделать — то есть продемонстрировать успехи ИБ с реальными деньгами, а не просто назвать число нейтрализованных инцидентов.
Готовящиеся законопроекты
Идентификация физических лиц с помощью Единой биометрической системы (ЕБС)
Единая биометрическая система (ЕБС) — это цифровая платформа для дистанционной идентификации граждан Российской Федерации по их биометрическим параметрам. Банк России и Министерство цифрового развития, связи и массовых коммуникаций РФ выступили в качестве инициаторов её создания, а предшествовала этому правительственная программа «Цифровая экономика Российской Федерации», в которой идёт речь о повышении доступности цифровых сервисов для маломобильного населения и для лиц, проживающих в отдалённых регионах.
Согласно законопроекту № 613239-7 предполагается, что данные биометрии будут собираться при открытии счетов и вкладов в банках (и их филиалах) и передаваться в ЕБС. Разрабатываемый документ предоставляет банкам право пользования информацией о биометрических данных клиента, полученной из системы, для проведения любых операций и сделок с физическими лицами.
Например, после регистрации на официальном интернет-портале госуслуг и фиксации биометрических данных (снимка лица и примера голоса) в отделении банка человек получит возможность удалённо пользоваться финансовыми сервисами. В частности, он сможет открыть счёт, получить кредит или же совершить перевод денежных средств.
Система заработала в 2018 году, но далеко не все банки осуществляют сбор биометрической информации, и граждане тоже не спешат делиться своей «индивидуальностью» — на данный момент зарегистрировано порядка 116 тыс. пользователей.
Рисунок 10. Развитие ЕБС
Взаимодействие с операторами связи
Законопроект № 514780-7 принят в первом чтении; с текстом можно ознакомиться, перейдя по ссылке.
Для борьбы с мошеннической деятельностью в реальном времени финансовым организациям нужны данные об абонентах, но операторы связи далеко не всегда делятся этой информацией (либо передают её в недостаточном объёме или требуют за неё очень большие деньги), поэтому рассматривается возможность создания Единой информационной системы проверки сведений об абоненте (ЕИС ПСА).
Абонентский номер должен стать идентификатором, который окажется строго закреплённым за конкретным человеком. По номеру телефона можно будет установить фамилию, имя и отчество, а также реквизиты удостоверяющих личность документов, при предъявлении которых заключался договор между клиентом и оператором связи.
Допустим, условный Иванов Иван Иванович собирается подать заявку на открытие счёта или на оформление потребительского кредита (онлайн или в отделении банка), указывая некий контактный номер. Сотрудник банка или автоматическое средство проверки увидит, что номер ему не принадлежит, и откажет Иванову в финансовых услугах (либо примет иное решение, которое прописано в риск-политике банка).
Следует дополнительно обратить внимание на то, что при сверке номера никакие персональные данные не передаются. Запрос на подтверждение в систему отправляется в хешированном виде, а ответ является бинарным: «да» или «нет».
Другой пример: большому количеству россиян поступают бесконечные надоедливые звонки от коллекторов с требованиями вернуть долг, числящийся за третьим лицом, о существовании которого абоненты никогда не слышали. Подобная ситуация возникает в том случае, если приобретённый номер ранее принадлежал должнику. Такие номера называют «токсичными» — это определение даже фигурирует в законопроекте.
Создание ЕИС ПСА должно решить эти проблемы, а также ряд других — например, прекратить регистрацию номеров на фальшивые или чужие паспортные данные, покончить с созданием настоящих центров обзвона в местах лишения свободы, где выманивают деньги у доверчивых граждан.
«Мы считаем, что сверка такого идентификатора, как телефон, должна очень внимательно отслеживаться», — отметил Дмитрий Скобелкин, заместитель председателя Банка России. Ранее мы уже публиковали его позицию по этой теме.
Рисунок 11. Схема взаимодействия операторов связи и финансовых организаций в части ЕИС ПСА
Цифровые финансовые активы
Готов ещё один законопроект — № 419059-7, который многие называют «законопроектом о криптовалютах», хотя это и не совсем верно (аналогично предыдущему он принят в первом чтении).
Рисунок 12. Цифровые финансовые активы
Цифровой профиль
Законопроект № 747513-7 о цифровом профиле уже внесён в Государственную Думу.
Рисунок 13. Цифровые финансовые активы
Ответственность за утечки персональных данных
Раскрывая эту тему форума, хотелось бы привести несколько высказываний одного из первых лиц Центрального банка РФ, чтобы читатели самостоятельно осознали всю важность и значимость проблемы.
Заместитель председателя Банка России Д. Г. Скобелкин отметил, что тема персональных данных особенно беспокоит его, и сообщил следующее:
«Мы со своей стороны — как регулятор — направили предложение в Совет Безопасности по этой тематике. В начале лета пройдёт большое заседание межведомственной рабочей группы, которое будет организовано при Совбезе для обсуждения этого вопроса. И, как я уже сказал в своём докладе, параллельно мы обратились в «Ростелеком» и в Минсвязи (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации — прим. автора) для того, чтобы в оперативном порядке начать работу над необходимыми изменениями в законодательство по этой теме».
Весьма жёстко Дмитрий Скобелкин высказался по поводу усиления ответственности за утечки персональных данных:
«Я считаю, что должна быть уголовная ответственность. По крайней мере, за серьёзные нарушения в этой области она должна быть. Вы знаете, у нас в Российской Федерации нет уголовной ответственности для юридических лиц, хотя во многих странах она есть».
На вопрос о том, что же делать, если финансовая организация выполнила все требования ЦБ в области безопасности, но утечка всё равно произошла, был дан следующий ответ:
«Просто так ничего не бывает. Безусловно, это подлежит тщательному разбирательству. Значит, где-то есть какая-то проблема. Ведь установки регулятора — это тоже процесс, который совершенствуется по мере возникновения вызовов и угроз. Совершенствуется процесс защиты. Поэтому нужно понимать, что именно послужило возможностью подобной утечки. Либо регулятор должен будет на это посмотреть внимательно — значит, не всё он отрегулировал, — либо это, как показывает практика, зависит от персоналии конкретного физического лица».
На прошедшем осенью SOC-форуме представители банков утверждали, что данные утекают не у них, а у третьих лиц: у розничных сетей, интернет-магазинов и т. д. Зампредседателя ЦБ прокомментировал и эти слова:
«Однозначно я ответить не могу. Любая утечка информации — любые киберриски, которые допускаются и которые реализуются, — это огромные репутационные риски для банка, это потеря клиентов. И, естественно, банк всеми правдами и неправдами будет рассказывать о том, какой он белый и пушистый, что у него система безопасности просто гениальна, что виноват кто угодно, но только не он.
Но нельзя ставить под сомнение и те доводы, которые приводит банк. Поэтому мы и проводим инспекционные проверки. Ведь нет задачи кого-то наказать (между прочим, мы очень мало организаций подвергли административному наказанию за неисполнение требований). Я, например, считаю, что здесь мы должны более жёстко подходить к вопросу. Но необходимо иметь в виду разумность: банк банку рознь.
Специализация у банков — разная: некоторые специализируются на всём, какие-то — инвестиционные, какие-то — занимаются розницей, и так далее. Но базовый стандарт информационной безопасности — я глубоко убеждён в этом — должен быть в любой кредитной организации. В зависимости от развития и масштаба деятельности того или иного банка должна развиваться и его информационная безопасность, и защита клиентов от киберрисков. Должен быть стандарт».
На XII Уральском форуме обсуждались следующие законы и законопроекты:
Борьба с социальной инженерией
В отрицательном значении социальная инженерия — это психологические манипуляции, в результате которых жертвы сами отдают свои деньги злоумышленникам или содействуют им в краже денежных средств (сообщают данные, устанавливают на мобильные устройства вредоносные программы, вводят пароли на фишинговых сайтах и т. д.).
Рисунок 14. Столпы, на которых основана социальная инженерия
«В таких случаях вернуть деньги гражданина очень сложно — это определено законом. Объясню: эти действия укладываются в нарушение договора между банком и клиентом», — подчёркивает Артём Сычёв.
«Они работают “по площадям”, им важно заманить в свои сети как можно больше жертв. Именно поэтому мы считаем, что основным методом противодействия социальной инженерии являются разъяснительные работы среди россиян, повышение уровня осведомлённости по части финансовой грамотности», — резюмировал представитель ЦБ.
Согласно данным, приведённым в отчёте Банка России, социальная инженерия стала причиной 31,30% злонамеренных операций, совершённых без согласия клиента.
Рисунок 15. Причины совершения операций без согласия клиентов (%)
На форуме были предложены следующие способы борьбы с социальной инженерией:
Использование открытых API
Цифровая трансформация должна перейти с бумаги на практику, для чего необходимо использовать открытые API. В конечном счёте это призвано облегчить доступ к информации о клиентах финансовых организаций и упростить обмен такими сведениями.
Открытые API де-факто являются стандартом во всём мире и постепенно приходят в Россию. На данный момент разрабатываются два таких стандарта: первый описывает сами открытые программные интерфейсы, а второй предназначен для описания требований по ИБ.
Рисунок 16. Краткое описание планируемых к введению стандартов открытых API
Мастерчейн
Существующая система посредников при совершении операций приводит к возникновению дополнительных транзакционных издержек, а сложность получения актуальной информации по сделкам и транзакциям увеличивает стоимость принятия управленческих решений. Платформа «Мастерчейн», созданная «Ассоциацией ФинТех» совместно с участниками финансового рынка и Банком России, реализует технологические стандарты и инфраструктуру распределённых реестров для снижения этих издержек и повышения прозрачности операций.
Данные в «Мастерчейне» хранятся сразу на множестве носителей в качестве идентичных копий и потому не могут быть подделаны. Это — первая единая национальная сеть для обработки и хранения финансовой информации на основе блокчейна Ethereum, позволяющая проводить платежи в режиме онлайн, оперативно подтверждать актуальность данных, а также быстро создавать финансовые сервисы.
Взаимодействие участников сети «Мастерчейн» происходит по единым для всех правилам, фиксируемым в реестре.
Пилотные и промышленные сценарии, в которых используется «Мастерчейн»:
При повсеместном внедрении платформы время создания закладных должно снизиться с 9 дней до 1-го, а издержки депозитариев на операции их учёта и хранения уменьшатся на 30%.
Время выдачи банковских гарантий должно сократиться с 8 часов до 10 минут, а издержки банков на их выдачу упадут на 15%.
Предполагается, что время на открытие цифрового аккредитива уменьшится с 4 дней до 1-го, а затраты банков на сопровождение сделки с аккредитивом станут меньше на 20%.
Более подробную информацию о системе вы можете узнать здесь и здесь.
Рисунок 17. Сценарии, реализованные с помощью «Мастерчейна»
Выводы
27 июня 2018 года был подписан Федеральный закон №167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», который по истечении 90 дней вступил в силу.
XII Уральский форум по информационной безопасности в финансовой сфере показал, что Центральный банк начинает активно использовать описанные в законе полномочия, в связи с чем отрасль нагружается новой нормативной базой.
На протяжении форума Алексей Лукацкий — бессменный обозреватель мероприятия — проводил опрос, по итогам которого подавляющее большинство участников негативно высказалось о резком увеличении количества нормативных актов, изданных регулятором. ИБ-инженеры, аналитики, юристы вынуждены постоянно изучать всё новые указания, в связи с чем остаётся всё меньше времени заниматься самой безопасностью и её совершенствованием.
Несмотря на сложности, которые связаны с временными и финансовыми затратами, необходимыми для соответствия требованиям Банка России, невозможно не заметить ряд положительных инициатив, таких как развитие платформы «Мастерчейн», упрощение взаимодействия финансовых организаций с ФинЦЕРТом и ГосСОПКА, приведение российских стандартов к международному уровню и многое другое.
Нужно понимать, что банковская отрасль информационной безопасности находится на переходной стадии: концепция регулирования меняется в сторону непрерывного мониторинга на основе риск-ориентированной модели. Защита в области финансов постепенно отходит от старой системы соответствия требованиям — заканчивается эпоха сертификатов, актуальность которых часто оставляет желать лучшего.
Финансовые организации получат инструменты для количественной оценки безопасности. Профиль риска станет динамическим и будет зависеть от многих показателей.
Реализовать все эти нововведения должны помочь в том числе и киберучения, в рамках которых лицензиаты Банка России будут бороться с инцидентами в условиях, максимально приближённых к реальным. Отработав сценарий по противодействию киберпреступникам, кредитная организация получит возможность узнать свои слабые и сильные стороны, а также укрепить систему безопасности, что впоследствии должно снизить вероятность информационных и финансовых потерь.
В силу того, что более двух третей всех операций хищения денежных средств, успешно проведённых злоумышленниками в 2019 году, были осуществлены с помощью методов социальной инженерии, Банк России выдвинул предложения по противодействию этому способу мошенничества. В то же время регулятор отмечает, что самым действенным методом будет проведение разъяснительных работ с целью повышения общего уровня «кибергигиены» и финансовой грамотности россиян.
Разработка Единой информационной системы проверки сведений об абоненте и сверка телефонного идентификатора должны облегчить жизнь не только банкам, но и нам — их клиентам. В конечном итоге это не просто снизит количество неправомерных переводов денежных средств, но и также решит проблему с поступлением многочисленных нежелательных звонков, от которых все давно устали.
Отдельным пунктом стоит отметить ужесточение наказаний для физических и юридических лиц за разглашение (или допущение утечки) персональных данных. Рассматривается даже введение уголовной ответственности за такие нарушения.