За что Банк России может наказать банки при проверке ИБ

За что Банк России может наказать банки при проверке ИБ


Городничий. Я пригласил вас, господа, с тем чтобы сообщить вам пренеприятное известие: к нам едет ревизор.
Аммос Федорович. Как ревизор?
Артемий Филиппович. Как ревизор?
Городничий. Ревизор из Петербурга, инкогнито. И еще с секретным предписаньем.
Аммос Федорович. Вот те на!
Артемий Филиппович. Вот не было заботы, так подай!
Лука Лукич. Господи Боже! еще и с секретным предписаньем!
Городничий. Я как будто предчувствовал: сегодня мне всю ночь снилось…”

…что в понедельник начинается проверка ЦБ по ИБ.
Такая ситуация, описанная Гоголем в “Ревизоре”, вполне может случиться в наше неспокойное время в любом пока-ещё-живом банке.
Предвидя неизбежность проверки и почитав утренние заголовки газет (типа: “ЦБ впервые оштрафует два банка за отсутствие систем антифрода”, “ЦБ будет штрафовать банки за слабую киберзащиту” и проч.), безопасники из разных банков на своих интернет-форумах начинают усиленно обмениваться информацией о прошедших проверках Банка России по направлению “Информационная безопасность”.
Выглядит это в онлайн-междусобойчиках примерно так.
ВечноСомневающийся: гаспода-товарищи, у кого уже была проверка, подскажите, чего от нас хочет ЦБ при проверке ИБ? Сегодня экстренно сообщили о начале проверки…
На какие требования нормативки обращают особое внимание?
Какие внутренние документы банка по ИБ могут потребоваться для предоставления проверяющим?
ПугающеУверенный: проверяют, как правило, по 382-П (список вопросов во вложении). При проверке нужно вести себя спокойно... К концу проверки проверяющих начинает поджимать время, а 382-П - нехилый такой документ и они могут проскочить часть пунктов чисто по факту уже предоставленных банком свидетельств о выполнении требований. Но сначала всё бодро - проверяют по каждому пункту.
УгнетающеНачитанный: Берут оценку соответствия по 382-П с вашими обоснованиями оценки по каждому пункту и проверяют, как оно на самом деле.
У нас еще дополнительно проверяли АРМ КБР.
ВечноСомневающийся: Ну, то есть, по сути, это тот же аудит по 382-П…
Весёлую жизнь нам устроили регуляторы, не знаешь за какую отчетность хвататься: по PCI DSS? по 382-П? по ГОСТу? по 683-П? по 672-П? по СТО БР? По 552-П? По 187-ФЗ? По биометрии? По антифроду? А есть же ещё отчетность по чёрте-когда-придуманным формам ЦБ: 202, 203, 205, 258… Как работать?
ПугающеУверенный: Им бесполезно что-то доказывать, руководствуясь здравым смыслом.
УгнетающеНачитанный: Вывод простой, надо заранее готовиться и подбирать материалы.

Итак, начинаем готовиться. В октябре 2019 года на сайте ЦБ был опубликован важный документ: “Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 01.09.2018 – 31.08.2019 ( ссылка на отчет ). В отчете ФинЦЕРТа есть раздел “Контрольно-надзорная деятельность ФинЦЕРТ”.
 Из Отчета центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 1.09.2018 – 31.08.2019
Результаты проверок (самые частые нарушения при проверке ИБ банков по тематике информационной безопасности и информационных технологий – курсив мой).
За период с сентября 2018г. по август 2019г. включительно по тематике информационной безопасности и информационных технологий были организованы 122 проверки субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций).
Общая картина после проверок 122-х субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций)
1. По результатам указанных проверок выявлено 694 нарушения федеральных законов Российской Федерации, нормативных и иных актов Банка России:
8 нарушений требований федеральных законов, таких как федеральные законы № 161ФЗ, № 395-1, № 325ФЗ;
447 нарушений требований Положения Банка России № 382П, в том числе:
––53 нарушения в части необеспечения регистрации действий при осуществлении доступа работников к защищаемой информации и действий, связанных с назначением и распределением прав доступа к защищаемой информации, отсутствия необходимых внутренних документов (пп. 2.6.3);
––52 нарушения в части отсутствия технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники (пп. 2.7.1);
––34 нарушения в части необеспечения использования технических средств защиты информации от воздействия вредоносного кода различных производителей на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств (пп. 2.7.3);
––31 нарушение в части несанкционированного расширения прав доступа работников к защищаемой информации (назначение из‑лишних прав доступа) (пп. 2.6.4);
––14 нарушений в части отсутствия учета и контроля состава программного обеспечения, установленного на средствах вычислительной техники (пп. 2.10.1).

5 нарушений требований Положения Банка России № 672П, в том числе 4 нарушения, связанных с необеспечением надлежащей защиты электронных сообщений при их передаче в Банк России (п. 14.3).

6 нарушений требований Положения Банка России № 684П, в том числе:
––3 нарушения в части недоведения до клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники (п. 2);
––3 нарушения, связанных с невыполнением требований технической документации при использовании СКЗИ (п. 3).

96 нарушений требований Положения Банка России № 552П, в том числе:
––14 нарушений в части невыполнения требований эксплуатационной документации на СКЗИ и АРМ КБР (п. 2.4);
––12 нарушений, связанных с невыполнением процедур идентификации, аутентификации и авторизации при логическом доступе работников к участку платежной системы Банка России с использованием персонифицированных уникальных учетных записей (п. 4.1);
––8 нарушений в части необеспечения срока хранения информации систем видеонаблюдения и контроля доступа в течение не менее трех лет (п. 3.4).

61 нарушение требований иных документов Банка России (положений Банка России № 242П, № 471П, Указания Банка России № 2831У).

71 нарушение положений стандарта Банка России СТО БР ИББС-1.0-2014, в том числе:
––6 нарушений в части несоблюдения принципа предоставления работникам минимально необходимых для выполнения их служебных обязанностей прав и полномочий (пп. 7.2.1);
––10 нарушений, связанных с конфликтом интересов при совмещении функций разработки и сопровождения, разработки и эксплуатации, сопровождения и эксплуатации АБС / ПО , функций администратора системы и администратора информационной безопасности, выполнения операций в А БС и контроля их выпол‑нения (пп. 7.2.3);
––5 нарушений в части невыполнения правил и процедур управления предоставлением / отзывом и блокированием доступа к информационным активам Банка, блокирования сеанса доступа после установленного времени бездействия (пп. 7.4.3);
––10 нарушений в части отсутствия средств антивирусной защиты на автоматизированных рабочих местах (АРМ) или серверах АБС, а также в части невыполнения регулярного обновления средств антивирусной защиты (пп. 7.5.1);
––9 нарушений в части использования одного и того же средства антивирусной защиты на серверном оборудовании и рабочих станциях (пп. 7.5.6).

Руководствуясь здравым смыслом, смотрим соответствующий раздел по проверкам кредитных и некредитных организаций в Отчете ФинЦЕРТ и делаем соответствующие выводы.


Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)