За что Банк России может наказать банки при проверке ИБ

За что Банк России может наказать банки при проверке ИБ


Городничий. Я пригласил вас, господа, с тем чтобы сообщить вам пренеприятное известие: к нам едет ревизор.
Аммос Федорович. Как ревизор?
Артемий Филиппович. Как ревизор?
Городничий. Ревизор из Петербурга, инкогнито. И еще с секретным предписаньем.
Аммос Федорович. Вот те на!
Артемий Филиппович. Вот не было заботы, так подай!
Лука Лукич. Господи Боже! еще и с секретным предписаньем!
Городничий. Я как будто предчувствовал: сегодня мне всю ночь снилось…”

…что в понедельник начинается проверка ЦБ по ИБ.
Такая ситуация, описанная Гоголем в “Ревизоре”, вполне может случиться в наше неспокойное время в любом пока-ещё-живом банке.
Предвидя неизбежность проверки и почитав утренние заголовки газет (типа: “ЦБ впервые оштрафует два банка за отсутствие систем антифрода”, “ЦБ будет штрафовать банки за слабую киберзащиту” и проч.), безопасники из разных банков на своих интернет-форумах начинают усиленно обмениваться информацией о прошедших проверках Банка России по направлению “Информационная безопасность”.
Выглядит это в онлайн-междусобойчиках примерно так.
ВечноСомневающийся: гаспода-товарищи, у кого уже была проверка, подскажите, чего от нас хочет ЦБ при проверке ИБ? Сегодня экстренно сообщили о начале проверки…
На какие требования нормативки обращают особое внимание?
Какие внутренние документы банка по ИБ могут потребоваться для предоставления проверяющим?
ПугающеУверенный: проверяют, как правило, по 382-П (список вопросов во вложении). При проверке нужно вести себя спокойно... К концу проверки проверяющих начинает поджимать время, а 382-П - нехилый такой документ и они могут проскочить часть пунктов чисто по факту уже предоставленных банком свидетельств о выполнении требований. Но сначала всё бодро - проверяют по каждому пункту.
УгнетающеНачитанный: Берут оценку соответствия по 382-П с вашими обоснованиями оценки по каждому пункту и проверяют, как оно на самом деле.
У нас еще дополнительно проверяли АРМ КБР.
ВечноСомневающийся: Ну, то есть, по сути, это тот же аудит по 382-П…
Весёлую жизнь нам устроили регуляторы, не знаешь за какую отчетность хвататься: по PCI DSS? по 382-П? по ГОСТу? по 683-П? по 672-П? по СТО БР? По 552-П? По 187-ФЗ? По биометрии? По антифроду? А есть же ещё отчетность по чёрте-когда-придуманным формам ЦБ: 202, 203, 205, 258… Как работать?
ПугающеУверенный: Им бесполезно что-то доказывать, руководствуясь здравым смыслом.
УгнетающеНачитанный: Вывод простой, надо заранее готовиться и подбирать материалы.

Итак, начинаем готовиться. В октябре 2019 года на сайте ЦБ был опубликован важный документ: “Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 01.09.2018 – 31.08.2019 ( ссылка на отчет ). В отчете ФинЦЕРТа есть раздел “Контрольно-надзорная деятельность ФинЦЕРТ”.
 Из Отчета центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 1.09.2018 – 31.08.2019
Результаты проверок (самые частые нарушения при проверке ИБ банков по тематике информационной безопасности и информационных технологий – курсив мой).
За период с сентября 2018г. по август 2019г. включительно по тематике информационной безопасности и информационных технологий были организованы 122 проверки субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций).
Общая картина после проверок 122-х субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций)
1. По результатам указанных проверок выявлено 694 нарушения федеральных законов Российской Федерации, нормативных и иных актов Банка России:
8 нарушений требований федеральных законов, таких как федеральные законы № 161ФЗ, № 395-1, № 325ФЗ;
447 нарушений требований Положения Банка России № 382П, в том числе:
––53 нарушения в части необеспечения регистрации действий при осуществлении доступа работников к защищаемой информации и действий, связанных с назначением и распределением прав доступа к защищаемой информации, отсутствия необходимых внутренних документов (пп. 2.6.3);
––52 нарушения в части отсутствия технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники (пп. 2.7.1);
––34 нарушения в части необеспечения использования технических средств защиты информации от воздействия вредоносного кода различных производителей на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств (пп. 2.7.3);
––31 нарушение в части несанкционированного расширения прав доступа работников к защищаемой информации (назначение из‑лишних прав доступа) (пп. 2.6.4);
––14 нарушений в части отсутствия учета и контроля состава программного обеспечения, установленного на средствах вычислительной техники (пп. 2.10.1).

5 нарушений требований Положения Банка России № 672П, в том числе 4 нарушения, связанных с необеспечением надлежащей защиты электронных сообщений при их передаче в Банк России (п. 14.3).

6 нарушений требований Положения Банка России № 684П, в том числе:
––3 нарушения в части недоведения до клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники (п. 2);
––3 нарушения, связанных с невыполнением требований технической документации при использовании СКЗИ (п. 3).

96 нарушений требований Положения Банка России № 552П, в том числе:
––14 нарушений в части невыполнения требований эксплуатационной документации на СКЗИ и АРМ КБР (п. 2.4);
––12 нарушений, связанных с невыполнением процедур идентификации, аутентификации и авторизации при логическом доступе работников к участку платежной системы Банка России с использованием персонифицированных уникальных учетных записей (п. 4.1);
––8 нарушений в части необеспечения срока хранения информации систем видеонаблюдения и контроля доступа в течение не менее трех лет (п. 3.4).

61 нарушение требований иных документов Банка России (положений Банка России № 242П, № 471П, Указания Банка России № 2831У).

71 нарушение положений стандарта Банка России СТО БР ИББС-1.0-2014, в том числе:
––6 нарушений в части несоблюдения принципа предоставления работникам минимально необходимых для выполнения их служебных обязанностей прав и полномочий (пп. 7.2.1);
––10 нарушений, связанных с конфликтом интересов при совмещении функций разработки и сопровождения, разработки и эксплуатации, сопровождения и эксплуатации АБС / ПО , функций администратора системы и администратора информационной безопасности, выполнения операций в А БС и контроля их выпол‑нения (пп. 7.2.3);
––5 нарушений в части невыполнения правил и процедур управления предоставлением / отзывом и блокированием доступа к информационным активам Банка, блокирования сеанса доступа после установленного времени бездействия (пп. 7.4.3);
––10 нарушений в части отсутствия средств антивирусной защиты на автоматизированных рабочих местах (АРМ) или серверах АБС, а также в части невыполнения регулярного обновления средств антивирусной защиты (пп. 7.5.1);
––9 нарушений в части использования одного и того же средства антивирусной защиты на серверном оборудовании и рабочих станциях (пп. 7.5.6).

Руководствуясь здравым смыслом, смотрим соответствующий раздел по проверкам кредитных и некредитных организаций в Отчете ФинЦЕРТ и делаем соответствующие выводы.


Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)