1.6.17

Обязательство банков уведомлять об инцидентах вынесено на уровень закона

30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):
  1. При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
    • Приостановить платеж
    • Приостановить использование электронного средства платежа
    • Информировать клиента о предыдущих двух шагах
    • Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
  2. Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
  3. Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
  4. Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
  5. Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
  6. Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
  7. ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово "оператор".
  8. Все участники НПС, в названии которых есть слово "оператор", обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
  9. Специально указано, что информация об инцидентах не относится к банковской тайне.
Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.

Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:
  1. Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.
  2. Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
  3. Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв. 
  4. ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
  5. Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
  6. ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
  7. Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам - тогда ФСТЭК выступал явно против ГОСТа, а ФСБ - против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материи.
Интересно будет следить за судьбой этого законопроекта.

4 коммент.:

Formerly known as Duelist комментирует...

>ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.

2) главу Х.1 дополнить статьей 76.4-1 следующего содержания:
«Статья 76.4-1. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в том числе в целях противодействия совершению переводов денежных средств без согласия клиента, за исключением требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.».

Так все некредитные организации, или только те, что занимаются переводами денег?

В том числе, но за исключением.
Если убрать "за исключением" - попадают все.
Если убрать "в том числе", но не убирать "за исключением" - то что они тогда устанавливают, если всё установлено ФЗ и норм.прав.актами? Какие-то свои нормы - на кого они будут действовать?

Ждём первое чтение...

Алексей Лукацкий комментирует...

"в том числе" касается целей, а "за исключением" требований. Это совсем разные смыслы. Норма касается всех, кто попадает под ЦБ

Formerly known as Duelist комментирует...

>всех, кто попадает под ЦБ
В каком плане?
СТО БР ИББС-1.0-2014:
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кре-
дитные организации, а также представительства иностранных банков.

Т.е. всё, что не входит в БС, а точнее - некредитные организации - под действие этого стандарта не попадает.

Сейчас, насколько я разобрался, ИБ в некредитных организациях регулируется сугубо ФЗ №152, 21ым приказом ФСТЭК и ПП РФ 1119. Ну и прочими документами от ФСБ. Как и в любых других операторах ПНд.

Окей, всё что после "в том числе" - можно убрать, не важно в каких там целях ЦБ что-то устанавливает...
Фраза сводится к "ЦБ устанавливает требования к обеспечению ЗИ при осуществлении деятельности в сфере рынков, за исключением требований о ЗИ, установленных всеми остальными регуляторами".

Я правильно понимаю, что законопроект разрешает ЦБ дополнять требования того же ФСТЭК своими, но не пересекающимися с ними? Т.е. если ФСТЭК, например, требует, скажем, второй класс защищённости, то ЦБ не может взять и переопределить все эти классы как захочется, а может лишь потребовать каких-то дополнительных мер.

При этом снова остаётся открытым вопрос об оценке соответствия.
Стандарты ЦБ регулируют оценку соответствия, ФЗ №152 и 21ый приказ ФСТЭК - позволяют проводить оценку самостоятельно опираясь на РД ФСТЭК из 90ых годов.

Алексей Лукацкий комментирует...

Вы неправы. По всем пунктам. Посмотрите блог по тегам "Банк России" и "НПС" и вы увидите, что и в каком объеме может регулировать ЦБ сейчас и в будущем.