Информационная безопасность финансовых организаций. О чем важно знать в 2021-м году

Информационная безопасность финансовых организаций. О чем важно знать в 2021-м году

Сфера информационной безопасности сегодня проходит стадию интенсивного развития – новым возникающим угрозам приходится противопоставлять новые средства и методики защиты.
Период пандемии интенсифицировал все процессы в области технологий, и информационная безопасность – не исключение. Для финансовых организаций эта сфера имеет особое значение, потому и регуляторы постоянно ужесточают требования, направленные на предотвращение возможных угроз.
В 2021-2022 году ряд нормативных правовых актов, регулирующих инфобезопасность финансовых организаций, вступает в силу и претерпевает некоторые принципиальные изменения – и к ним нужно быть готовыми.

Главные угрозы информационной безопасности в 2021 году
Переход офисных работников на удалённый режим работы, утечки данных, кибератаки и даже использование технологии искусственного интеллекта, – вот основной перечень угроз, с которыми пришлось столкнуться финансовому сектору с приходом пандемии, в текущем 2021-2022 годах кардинальных изменений ждать не стоит. Дополнительная сложность работы служб информационной безопасности финансовой сферы заключается в том, что злоумышленники изобретают всё новые способы мошенничества, тогда как банки и другие финансовые организации вынуждены использовать ограниченный, установленный нормативными документами набор инструментов.
Регулярное проведение пентестов, оперативное закрытие уязвимостей, установка средств защиты информации и средств криптографической защиты информации позволяют снизить риск проникновения в информационную систему, но не исключают этот риск полностью.

Звонки злоумышленников
Казалось бы, о звонках мошенников, представляющихся сотрудниками банков, все уже знают всё. Однако разговор стоит начать именно с этой угрозы. Злоумышленники по-прежнему пользуются техниками социальной инженерии – и нередко добиваются успеха. Ложный звонок может поступить даже с номера, который использует настоящий банк – клиенту нужно всегда сохранять бдительность и помнить о том, что конфиденциальную информацию сотрудники финансовой организации по телефону не запрашивают. Никогда. Мошенники представляются сотрудниками банка и даже полицейскими, запугивая клиента утверждениями о подозрительной активности на банковском счете. И эта технология, к сожалению, по-прежнему работает.
«Люди — это самое уязвимое звено. Банки могут внедрять сколько угодно устройств для защиты, но на человека их не поставить, — комментирует аудитор информационной безопасности ITGLOBAL.COM Дария Базарнова».

Доступ к базам данных
Мобильное приложение банка – это очень удобный инструмент, которым активно пользуются многие клиенты. Для корректной работы приложению необходимы доступы к личной информации, фото, камере, микрофону, геолокации. Взлом приложения дает мошенникам доступ ко всей информации, необходимой для незаконного обогащения за счет жертвы – от шантажа и подбора оптимальных методик социальной инженерии до оформления кредита на ничего не подозревающего человека или вывода денег с его счетов.
«Наши пентестеры не раз проникали в приложения и получали доступ к данным пользователя. А если получилось у специалиста по тестированию на проникновение, получится и у злоумышленника, который может использовать эту информацию в преступных целях, — рассказывает Дария Базарнова».
Утечки данных возможны не только в результате взлома мобильных приложений. Преступники могут получить доступ к корпоративной сети путем взлома или хищения личных данных сотрудников финансовой организации. Сегодня – с массовым переводом специалистов на удаленный режим работы в связи с распространением коронавируса – решать эту задачу злоумышленникам стало проще.

Какие нормативно-правовые акты должны соблюдать финансовые организации
Положения об информационной безопасности регулярно обновляются и дополняются. Техническое оснащение растет, и требования становятся строже. Важно постоянно отслеживать эти изменения, чтобы вовремя подготовиться к аудиту.

Действующие положения
Положение 683-П требует обеспечить уровень защиты информации в соответствии с ГОСТ 57580.1-2017 . Согласно п. 9.2 с 01 января 2021 года уровень соответствия ГОСТ должен быть не ниже второго (оценка 0.7). Для оценки нужно привлекать сторонние организации с лицензией ФСТЭК на ТЗКИ.
Пункт 4.1 683-П требует от банков «обеспечить использование прикладного ПО автоматизированных систем и приложений, в отношении которых проведен анализ уязвимостей по ОУД4».
Также, согласно пунктам 2.5.5_1. 382-П и п. 3.2. 683-П банки и финансовые организации должны проводить тестирование «на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры» не реже раза в год.
В пункте 5 Приложения 3 к приказу Минкомсвязи РФ от 25.06.2018 № 321 говорится о том, что при обработке и хранении биометрических данных нужно использовать «информационные технологии и технические средства, соответствующие 2-му уровню защиты информации, установленному ГОСТ Р 57580.1-2017».

Положения, которые вступили в силу 1 июля 2021
Пункты 3 и 4 Положения 672-П обязывали кредитные организации проводить оценку соответствия по ГОСТ Р 57580 не реже одного раза в два года для сегментов ССНП и СБП. Однако позднее Положение 672-П утратило силу и на его место пришло новое Положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России».
Общество всемирных межбанковских финансовых каналов связи (SWIFT) требует от пользователей проводить оценку выполнения требований безопасности с привлечением внешней организации раз в год. До этого времени можно проводить самооценку.

Положения, которые вступят в силу 1 января 2022
Положение Банка России 719-П отменяет Положение 382-П. Согласно п.2.4, п. 3.7, п. 4.5, п. 6.8 операторы по переводу денежных средств должны обеспечить четвертый уровень соответствия ГОСТ Р 57580 (0.85).

«Банкам и финансовым организациям нужно уже сейчас готовиться к четвертому уровню соответствия ГОСТ Р 57580. Во время аудита в этом году нужно стараться подняться на уровень повыше, иначе можно не успеть. Например, систему безопасности не внедрить за месяц. Это бюджеты, согласования. Даже на простую документацию нужно время, чтобы успеть ее вычитать и внедрить, — комментирует Дария Базарнова».
Аудиторы проверяют, насколько информационная безопасность банка или кредитной организации соответствует ключевым параметрам. В зависимости от этого выставляются оценки, по которым и определяют уровень соответствия ИБ банка. Нельзя предоставлять ложную информацию, так как это выяснится после первой же проверки, и банк получит санкции вплоть до отзыва лицензии.
Если уровень соответствия окажется недостаточным, банку вынесут предписание исправить недочеты. В случае серьезных ошибок возможна приостановка деятельности и отзыв лицензии.

Как избежать проблем
Чтобы застраховать себя от санкций со стороны регулятора, нужно заблаговременно подготовиться и проверить соответствие финансовой организации установленным требованиям.
Самый простой и эффективный способ сделать это – провести независимый аудит информационной безопасности организации и включить в него помимо стандартной программы пентест (или тестирование на проникновение).
Такой подход позволит не только проверить свою организацию на соответствие действующим требованиям регулятора, но и выявить слабые места в инфобезопасности компании и вовремя принять меры по их устранению.
Конечно, проведением независимого аудита должна заниматься специализированная организация. К примеру, специалисты ITGLOBAL.COM проверяют состояние безопасности информационных систем в комплексе, находят уязвимости и несоответствия. После этого клиент получает подробный отчет о защищенности своей информационной системы и рекомендации по исправлению недочетов.


информационная безопасность финансовые организации Россия
Alt text

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.

ITGLOBAL

ITGLOBAL про IT