Краткий обзор инициатив Банка России в сфере обеспечения информационной безопасности (v2017)

Краткий обзор инициатив Банка России в сфере обеспечения информационной безопасности (v2017)
В финансовом секторе в последнее время происходит большое количество изменений.  И это не удивительно, новые инициативы с которыми выступает Банк России связаны с ответом на современные угрозы ИБ и желание идти в ногу со временем. В конце 2016 года регулятор впустил новый документ   552-П «О требованиях к защите информации в платежной системе Банка России» . А в первом полугодии 2017 обещает серьезно взяться за проверки интернет- мобильного-банкинга, систем дистанционного обслуживания и  платежных сервисов. По мимо этого регулятор получил право без решения суда блокировать мошеннические сайты, рассматривает возможность введения обязательного обмена информацией всех участников БС РФ с FinCERT,  и опубликовал дорожную карты развития ИБ на период с 2016 по 2018 годы, в котором большое количество событий выпадает именно на год текущий

Обзор основанных инициатив в сфере ИБ:

1. Новый документ из стека СТО БР ИББС посвященный "
Сбору  
и  
анализу технических данных при реагировании
на
инциденты.."
В конце прошлого 2016 года Банк России официально объявил о вводе в действие нового  документа из стека  СТО РБ ИББС 1.3, посвященный сбору доказательств в рамках деятельности по мониторингу и реагирования на инциденты ИБ. Этот, документ очень четко и деталено рассказывает о процессе мониторинга и сбора доказательств инцидента ИБ, вплоть до указания конкретных программных продуктов.

2. Рекомендации Багка России по доработке требований к АРМ КБР и доработки кастомных АБС
Новая рекомендация Банка России из П-552, которое мы уже рассматривали ранее , говорит о переносе формирования кодов аутентификации и защитных кодов из АРМ КБР  в кастомные АБС.  

"...провести работы по «встраиванию» средств криптографической защиты информации (СКЗИ) в собственные АБС для формирования кодов аутентификации (КА) и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования защитных кодов (ЗК) и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС."

3. Новый ГОСТ приходит на смену текущему стеку документов СТО БР ИББС
В конце прошлого года регулятор рассказал о том, как был согласован проект новго ГОСТа "Базовый состав организационных и технических мер защиты информации", который идет на смен всему текущему стеку документов СТО БР ИББС, и станет обязательным для всех финансовых организаций.

4. Новый регламент привлечения операторов платежных систем
Банк России в декабре 2016 года подготовил  новый проект своего очередного Указания посвященного теме ИБ - “О требованиях к операторам услуг платежной инфраструктуры, привлекаемым Банком России, о порядке привлечения...”. Так вся его 4 глава посвященной вопросам защиты информации. По мимо этого устанавливается, что операторы платежных систем расположенных на территории РФ должны иметь оценку соответствия действующего 382-П не мнее "хорошо" ( т.е. 4-й уровень).

5. Дородная карта и перспективы на будущее от Банка России
Банк России опубликовал дорожную карту на 2016-2018 года по реализации основных направлений развития финансового рынка за тот же период 2016–2018 годов.

В документе отмечено, что регулятор должен будет:
  • участвовать в разработке проекта федерального закона, направленного на формирование правовой основы противодействия мошенничеству на финансовом рынке - 2-е полугодие 2017-го года;
  • разработать проекты национальных стандартов информационной безопасности - 2-е полугодие 2017-го года;
  • провести анализ возможности и целесообразности использования финансовыми организациями аутсорсинга отдельных элементов деятельности и подготовить соответствующих предложений - 2-е полугодие 2017-го года;
  • подготовить предложения по совершенствованию законодательства Российской Федерации в части наделения Банка России полномочиями по регулированию и контролю обеспечения информационной безопасности в финансовых организациях - 2-е полугодие 2017-го года;
  • провести консультации с ФСТЭК России о создании системы сертификации и аттестации для цели контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности - 2-е полугодие 2017-го года;
  • подготовить необходимые материалы и проекты документов для создания системы сертификации и аттестации для контроля исполнения финансовыми организациями требований национальных стандартов информационной безопасности  - 2-е полугодие 2017-го года;
  • провести консультации с представителями финансовых организаций для определения состава и содержания дополнительных организационных и технических механизмов защиты автоматизированного рабочего места «Клиент Банка России»,  - 2-е полугодие 2017-го года;
  • разработать регламенты взаимодействия по вопросам противодействия киберпреступности между Банком России и не являющимися поднадзорными и под-контрольными Банку России организациями и заинтересованными в повышении уровня информационной безопасности финансовой системы и национальной платежной системы Российской Федерации - 2-е полугодие 2017-го года;
  • разработать Указание Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года No 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - 2 квартал 2017-го года
и т.д.

Банк России берется за проверки ИБ а банках


Проверка безопасности интернет-, мобильного и прочих видов дистанционного банкинга начнется уже в 2017 году. Качество платежных сервисов банков будут проверять с точки зрения защищенности от киберугроз, говорится в «Обзоре финансовой стабильности» , опубликованном 2 декабря 2016 года Центробанком.

Хотя дистанционный банкинг в России существует давно, до сих пор эта сфера никак госорганами не контролировалась. Каждый банк обеспечивал (если вообще обеспечивал) безопасность клиентских операций по дистанционным каналам так, как считал нужным. Регулятор таким образом хочет узнать о реальном состоянии защиты систем мобильного и онлайн-банкинга от взлома, а также о безопасности проведения платежных операций клиентами банков.

«В этом году в тематику традиционных инспекционных проверок кредитных организаций включили вопросы состояния систем защиты информации при совершении платежных операций. Цель проверок — изучение реального состояния в сфере применения банками технологий информационной безопасности», — уточнил Артем Сычев.  

У ЦБ есть возможность установить индивидуальные надбавки к нормативам (а именно к нормативу достаточности капитала), подчеркивают банкиры. «Регулятор может сделать это в рамках проверки качества банковских систем управления рисками. Если риски недооценены и капитал под них недорезервирован, минимальные требования к достаточности капитала (8%) могут быть повышены. Размер индивидуальных надбавок может составить до 3 п.п. (до 11%)», — поясняет руководитель службы риск-менеджмента банка «Уралсиб» Наталья Тутова.

Аппоробация и эксперименты Банка России

Стало известно, что с конца декабря 2016 года Банк России получил возможность самостоятельно блокировать сайты-нарушители финансовой направленности, распространяющие вредоносные программы, ресурсы с противоправным контентом и фишинговые сайты. Кроме того, от Центробанка в координационный центр национального домена сети будут поступать сведения о виртуальных ворах, что позволит максимально быстро блокировать опасные ресурсы.

Источник сообщил, что регулятор рассматривает возможность введения обязательного обмена информацией между банками в рамках FinCERT. В настоящее время между собой в рамках FinCERT взаимодействуют пока только 330 банков. Поэтому в скором времени планируется сделать такой обмен обязательным условием для всех кредитных организаций.
Банк Россия угрозы инфинитивы требования закон положение система платеж FinCERT ДБО ГОСТ СТО БР ИББС АМР КБР
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события