Банк России разъясняет. СПФС, СТО, ФЗ-161 ии др.

Ответы Банка России на оставшиеся разные вопросы, поступившие от отрасли.

1. Осталась ли для кредитных организаций, не подключившихся к СПФС, обязанность раз в квартал проводить контроль технической защиты информации? Или данная обязанность осталась только для участников СПФС?

Ответ: Контроль (мониторинг) использования технических средств защиты информации закреплен п. 2.14.5 действующей редакции положения 382-П за службой информационной безопасности ОПДС и ОУПИ. В отношении СПФС порядок оказания услуг регламентируется Указанием Банка России от 20.09.2019 № 5263-У, а остальные требования защиты определяются Договором на оказание услуг.

2. Необходимо ли в данный момент выполнять требования СТО Банка России? Если нет, то какова процедура отсоединения от данного стандарта? Необходимо ли уведомлять об отсоединении Банк России? Если да, то необходимо ли и дальше присылать результаты оценки соответствия наряду с отчетностью по 382-П и 57580.2?

Ответ: Требования стандартов Банка России носят рекомендательный характер. В связи с принятием Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» требования, установленные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (далее - ГОСТ Р 57580.1-2017), являются обязательными.

3. Что понимается под «незамедлительным уведомлением при списании средств» согласно 161-ФЗ и 5039-У? В СТО 1.5, а также в 4926-У говорится о том, что в случае владения незначимыми объектами КИИ уведомление осуществляется в течение 24 часов. Не будет ли направление уведомления в течение 24-х часов рассматриваться как нарушение требования незамедлительности?

Ответ: На основании части 11.1 статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Федеральный закон № 161-ФЗ) при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств (далее - уведомление о приостановлении) по форме и в порядке, которые установлены нормативным актом Банка России.

Согласно пункту 1 Указания № 5039-У оператор по переводу денежных средств, обслуживающий плательщика, при получении от клиента - юридического лица уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя, уведомление о приостановлении в виде электронного сообщения, позволяющего воспроизвести его на бумажном носителе.

В соответствии с пунктом 1.4 Указания № 4926-У оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", должны направить в Банк России первичное уведомление в течение трех часов с момента наступления событий, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У.

Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме первичного уведомления:

• в случаях, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, - в течение 24 часов с момента наступления событий, указанных в пункте 1.3 Указания № 4926-У;
• в случаях, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У, - в течение одного рабочего дня, следующего за днем наступления событий, указанных в пункте 1.3 Указания № 4926-У.

Таким образом, в указанных нормах Федерального закона № 161-ФЗ, Указании № 5039-У указано требование о незамедлительном направлении операторами по переводу денежных средств друг другу уведомлений о приостановлении. Сроки, содержащиеся в Указании № 4926-У, относятся к направлению в Банк России уведомлений о случаях и попытках осуществления переводов денежных средств без согласия клиента. Следовательно, указанные сроки не могут рассматриваться в качестве тождественных.

Между тем полагаем, что незамедлительное направление уведомлений о приостановлении означает направление без промедления, при первой возможности. Допустимость направления уведомлений о приостановлении в течение 24 часов будет рассматриваться в каждом конкретном случае, принимая во внимание обстоятельства, характеризующие возможность направления оператором по переводу денежных средств указанных уведомлений.

4. Согласно 161-ФЗ «оператор по переводу денежных средств, обслуживающий плательщика, должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя» в случае несанкционированного списания средств. Согласно 5039-У для такого уведомления должна использоваться техническая инфраструктура Банка России, то есть ФинЦЕРТ. Получается, что мы направляем уведомление не оператору, обслуживающему получателя, а Банку России. Не нарушаем ли мы тем самым законодательство?

Ответ: На основании части 11.1 статьи 9 Федерального закона № 161-ФЗ при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении по форме и в порядке, которые установлены нормативным актом Банка России.

Согласно пункту 3 Указания № 5029-У оператор плательщика, оператор получателя (далее при совместном упоминании - операторы) должны направлять уведомление о приостановлении, уведомление о невозможности приостановления (далее при совместном упоминании - уведомления) с использованием технической инфраструктуры (автоматизированной системы) Банка России, указанной в пункте 1.2 Указания № 4926-У.

Таким образом, уведомления направляются операторами друг другу, техническая инфраструктура (АСОИ ФинЦЕРТ) является каналом взаимодействия.

5. Планируются ли к разработке и, если да, то когда, нормативные акты Банка России, регулирующие вопросы защиты информации в проектах по цифровому профилю, Мастерчейне и финансовом маркетплейсе?

Ответ: Банк России участвует в рассмотрении проектов федеральных законов в сфере инновационных финансовых технологий (например, проект федерального закона № 419059-7 «О цифровых финансовых активах», проект федерального закона № 617867-7 «О совершении сделок с использованием электронной платформы»).

Так, Банком России инициированы изменения в указанные проекты федеральных законов в части требований к защите информации, относящихся к новым видам деятельности некредитных финансовых организаций.

Проект федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (законопроект о «цифровом профиле») содержит вопросы, относящиеся к компетенции уполномоченных органов государственной власти, устанавливающих требования к защите информации в отношении государственных информационных систем.

Подробнее…

Банк России разъясняет. 684-П

Ответы Банка России на вопросы по 684-П, поступившие от отрасли.

1. При выполнении банковских операций в кредитной организации должно применяться 683-П. Какое положение должно применяться в кредитных организациях, в отношении депозитарной деятельности и деятельности профессионального участника рынка ценных бумаг? 684-П? Или оно действует только на некредитные или небанковские кредитные организации?

Ответ: В соответствии со статьей 6 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» кредитная организация имеет право осуществлять профессиональную деятельность на рынке ценных бумаг в соответствии с федеральными законами.

Согласно статьи 39 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» кредитные организации осуществляют профессиональную деятельность на рынке ценных бумаг в порядке, установленном указанным федеральным законом и иными федеральными законами, а также принятыми в соответствии с ними нормативными правовыми актами Российской Федерации для профессиональных участников рынка ценных бумаг.

На основании пункта 1 части 7 статьи 44 Федерального закона от 29.11.2001 № 156-ФЗ «Об инвестиционных фондах» деятельность специализированного депозитария может совмещаться с деятельностью кредитной организации.

В связи с изложенным, кредитные организации, осуществляющие банковскую деятельность, вправе совмещать свою деятельность с профессиональной деятельностью на рынке ценных бумаг, а также с деятельностью специализированного депозитария.

Таким образом, кредитная организация, осуществляющая деятельность профессионального участника рынка ценных бумаг, а также деятельность специализированного депозитария, должна применять:

• при осуществлении банковской деятельности - Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П);
• при осуществлении профессиональной деятельности на рынке ценных бумаг и деятельности специализированного депозитария - Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П). 

Обращаем внимание, что при использовании одних и тех же объектов информационной инфраструктуры для осуществления указанных видов деятельности полагаем необходимым применять требования Положения № 683-П.

2. Распространяется ли 684-П на ломбарды и микрофинансовые организации? Если да, то какой уровень защиты по ГОСТ 57580.1 должен быть для них выбран? Минимальный? 

Ответ: Ломбарды, микрофинансовые организации не указаны в Положении № 684-П в качестве организаций, реализующих усиленный или стандартный уровни защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.1-2017).

Вместе с тем не указанные в пунктах 5.2, 5.3 Положения № 684-П организации самостоятельно определяют необходимость реализации усиленного, стандартного или минимального уровня защиты информации с учетом технической возможности и экономической целесообразности (риск-аппетита) финансовой организации.

Таким образом, ломбарды, микрофинансовые организации вправе самостоятельно определять реализацию уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017; обязанность реализации уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017 в отношении ломбардов, микрофинансовых организаций Положением № 684-П не установлена.

Осталась последняя порция разъяснений, которые касаются разных аспектов ИБ в финансовых организациях (СПФС, СТО, ФЗ-161 и т.п.).

Подробнее…

Банк России разъясняет. ГОСТ 57580.1

Ответы Банка России на вопросы по ГОСТ 57580.1, поступившие от отрасли.

1. Можно ли рассматривать в качестве средства защиты от вредоносного кода межсетевые экраны нового поколения (NGFW), системы обнаружения вторжений или иные схожие средства защиты информации, в которых есть функционал для борьбы с вредоносным кодом, например, для блокирования возможностей взаимодействия с командными серверами, загрузки обновлений, утечки информации и т.п.? 

Ответ: Для подтверждения статуса средства защиты информации от вредоносного кода необходима сертификация уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: неожиданно. ФСТЭК только антивирусы сертифицирует и то, только те, которые поданы на сертификацию, то есть обычно коммерческие решения.

2. Какие варианты реализации меры СМЭ.14 могут быть, если все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне и выше, а СМЭ.14 требует контроля на уровне не выше второго, канального? Или речь идет о разграничении доступа и контроле трафика на интерфейсах периметрового маршрутизатора? 

Ответ: Примером реализации меры СМЭ.14 может служить организация выделенных VLAN на уровне L2.

3. Возможно, в содержании меры СМЭ.15 вместо фразы «не выше» должно было быть написано «не ниже»? Можно назвать примеры типов средств, которые могут реализовать данную меру? 

Ответ: Межсетевой экран можно считать средством, достаточным для реализации данной меры, при совокупности реализации других комплексных мер.

4. Можно ли в качестве средства реализации меры СМЭ.16 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик не только на сетевом уровне?

Ответ: Можно. Все зависит от конкретных средств и задач, и данный вид реализации можно считать частным.

5. По тексту стандарта часто используется термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на сетевом уровне? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

Примечание от меня: опять смена позиции регулятора. При принятии ГОСТа со стороны ЦБ (а также в сентябре) прямо звучало, что сертификация не является обязательной и ее можно заменить компенсирующими мерами (не говоря уже о том, что ГОСТ 57580.1 - это каталог защитных мер, из которых я беру то, что считаю нужным для защищаемой системы в соответствие с принятой системой управления рисками).

6. Можно ли в качестве средства реализации меры СМЭ.2 использовать коммутаторы и маршрутизаторы, которые могут фильтровать трафик на сетевом уровне? Или обязательно использовать только отдельно стоящие межсетевые экраны, что во внутренней коммутируемой сети может быть затруднительно? 

Ответ: В ГОСТе не указан тип техники, который обязателен к использованию. Если коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Возможности применения средства защиты информации подтверждаются сертификацией уполномоченным органом государственной власти (ФСТЭК).

7. Согласно п.6.4 с учетом экономической целесообразности можно отказаться от каких-либо защитных мер, заменив их компенсирующими мерами. Возможно ли использование решение open source в качестве компенсирующей меры для замены дорогостоящих средств защиты их аналогами?

Ответ: Данное требование подразумевает наличие обоснования для тех или иных решений по реализации компенсирующих мер защиты, что относится к операционной деятельности организации.

8. Оценка соответствия по ГОСТ 57580.1 для участка АБС, который является также и участком ЕБС, должна проводиться один раз в два года, как написано в 683-П, или один раз в год, как написано в 321-м приказе Минкомсвязи?

Ответ: Проведение оценки соответствия по ГОСТ 57580.1 должно осуществляться ежегодно для сегмента, на котором осуществляется обработка биометрических персональных данных в соответствии с 321 приказом Минкомсвязи. Проведение оценки соответствия не реже одного раза в два года осуществляется по требованиям Положений 683-П и 672-П применительно к соответствующим объектам информационной инфраструктуры (не пересекающихся с участком ЕБС).

Завтра будут ответы по 684-П.

Подробнее…

Банк России разъясняет. 672-П

Ответы Банка России на вопросы по 672-П, поступившие от отрасли.

Вопрос № 1. Какая область действия у 672-П? Пункт 2 указывает, что требования распространяются на все средства, применяемые для обработки защищаемой информации, перечисленные в пункте 2.1 382-П, а пункт 2.1 очень обширный, в т.ч. информация ограниченного доступа, подлежащая обязательной защите в соответствии с законодательством. 

Ответ: Положение № 672-П устанавливает требования к защите информации в платежной системе Банка России и распространяется на участников платежной системы Банка России, являющиеся кредитными организациями (их филиалами), имеющими доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, предусмотренный пунктом 3.7 Положения Банка России от 06.07.2017 № 595-П «О платежной системе Банка России», а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.

Требования Положения 672-П распространяются на объекты информационной инфраструктуры, эксплуатация и использование которых обеспечиваются кредитной организацией при осуществлении переводов денежных средств в соответствии с пунктами 3, 4 Положения 672-П. 

Вопрос № 2. Что такое контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений? Как их реализовывать в существующих АБС с учётом того, что все электронные сообщения хранятся в одной базе данных АБС?

Ответ: Контур формирования ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая формирование исходящего ЭС на основе первичного документа, предназначенного для направления в платежную систему Банка России, его контроль и подписание электронной подписью в соответствии с подпунктом 1.3 пункта 1 приложения к Положению 672-П.

Контур контроля ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая прием исходящего ЭС из контура формирования, его контроль и подписание электронной подписью в соответствии с подпунктом 1.4 пункта 1 приложения к Положению 672-П.

Техническая реализация указанных подсистем осуществляется кредитной организацией с учетом требований, указанных в подпунктах 1.1 и 1.2 пункта 1 приложения к Положению 672-П.

Вопрос № 3. Какие планируются изменения в отчётности по обеспечению защиты информации 2831-У, с учётом того, что предоставлять отчётность по 2831-У нужно и по соответствию требованиям 382-П и по соответствии требованиям 672-П?

Ответ: Отчетность по 2831-У в соответствии с требованием, указанном в пункте 18 Положения 672-П направляется в части анализа обеспечения в платежной системе Банка России защиты информации при осуществлении переводов денежных средств кредитной организацией, являющейся участником ССНП и СБП. Об изменениях в отчетности 2831-У будет сообщено дополнительно.

Вопрос № 4. С чем связано то, что сроки реализации требований ГОСТ 57580.1 и проведения оценки соответствия ГОСТ 57580.1 разные в 683-П и в 672- П?

Ответ: Это связано с оптимизацией сроков вступления в силу по требованиям Положения 672-П в части реализации технологических мер защиты информации в платежной системе Банка России. В соответствии с Положением 683-П сроки проведения оценки по ГОСТ установлены для кредитных организаций. Положение № 672-П распространяется на иные субъекты, кроме КО (ОЦ, ПЦ).

Вопрос № 5. Нужно ли проводить оценку соответствия требованиям ГОСТ 57580.1 согласно 683-П, 672-П и приказа Минкомсвязи от 25.06.2018 №321 отдельно или можно их совместить для оптимизации расходов? 

Ответ: Оценку соответствия требованиям ГОСТ 57580.1 можно совместить для оптимизации расходов, с учетом покрытия области действия нормативных документов, в рамках которых выполняется оценка.

Вопрос № 6. Кто должен осуществлять анализ защищенности и контроль встраивания СКЗИ для АРМ КБР-Н? Кредитная организация или Банк России? Планируется ли сертификация АРМ КБР-Н по требованиям ФСТЭК? 

Ответ: Контроль встраивания СКЗИ для АРМ-КБР-Н осуществляется Банком России. Сертификация АРМ-КБР-Н по требованиям ФСТЭК не планируется.

Вопрос № 7. 672-П требует исполнения ГОСТ 57580.1, который построен на свободе выбора защитных мер. Также 672-П требует исполнения 382-П, который описывает закрытый перечень защитных мер, которые должны быть обязательно реализованы. Как одновременно реализовывать два набора защитных мер, которые могут отличаться от друг от друга? В чем смысл руководствоваться ГОСТ 57580.1, если все равно необходимо выполнять полный набор защитных мер из 382-П?

Ответ: В соответствии с частью 9 статьи 20 Федерального закона № 161-ФЗ правила платежной системы Банка России определяются нормативными актами Банка России. Таким образом, Положение № 672-П является частью правил платежной системы Банка России.

При проведении оценки соответствия участники платежной системы Банка России должны учитывать не только требования Положения № 382-П, но также особенности, определенные пунктом 20 Положения № 672-П, то есть с применением национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28.03.2018 № 156-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.2-2018).

Участники иных платежных систем проводят оценку соответствия, основываясь на Положении № 382-П.

Вместе с тем необходимо обратить внимание, что кредитные организации независимо от того, участниками какой платежной системы они являются, должны проводить оценку соответствия в соответствии с Положением № 683-П, а именно с учетом ГОСТ Р 57580.2-2018.

Реализация защитных мер в рамках Положения 672-П направлена на защиту информации в платежной системе Банка России. Все требования Положения 382-П входят в состав мер, указанных в ГОСТ 57580.1. Требования по защите информационной инфраструктуры через применение мер ГОСТ 57580.1 планируется реализовать в Положении 382-П.

Вопрос № 8. Помимо прямого исполнения требований 672-П кредитным организациям также необходимо руководствоваться формуляром на СКЗИ «Сигнатура», который требует применения МСЭ, сертифицированного по требованиям ФСБ. Таких решений на рынке практически нет (у части решений сертификаты прекратят действие в ближайшее время и их производители не планируют их продлять). Как выполнить это требование в условиях отсутствия на рынке соответствующих решений? Возможно ли его замена на МСЭ, сертифицированный по требованиям ФСТЭК, как это указано в руководстве по обеспечению ИБ АРМ КБР-Н?

Ответ: В соответствии с формуляром на СКАД «Сигнатура», для передачи информации, поступающей от криптосредства и на криптосредство, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных межсетевыми экранами, сертифицированными по требованиям ФСБ России не ниже 4 класса защиты для обеспечения конфиденциальности передаваемой информации. В настоящее время в перечень средств защиты информации, сертифицированных ФСБ России, содержится информация об одиннадцати межсетевых экранах, позволяющих выполнить данное требование. 

Примечание от меня: вот тут ЦБ, конечно, постоянно меняет свою позицию :-( Еще в сентябре звучала другая позиция по поводу этих МСЭ. Да и практика региональных проверок тоже местами отличается от данного ответа.

Вопрос № 9. С 01.07.2021 согласно 672-П требуется сертификация СКЗИ. Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО, участвующего в платежной системе Банка России?

Ответ: Требуется уточнение, о каком именно требовании 672-П идет речь. Изменения в 672-П, вступающие в силу с 01.07.2021 в пп. 14.2, 14.3, касаются применения СЗИ, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

Завтра будут ответы по ГОСТ 57580.1.

Подробнее…

Банк России разъясняет. 683-П

Летом этого года, спустя несколько месяцев после выхода новых положений и указаний Банка России (683-П, 684-П и т.п.), на разных мероприятиях стала формироваться целая волна вопросов по новым нормативным актам, которые оставались безответными, что приводило к тому, что поднадзорные ЦБ финансовые организации не всегда знали, как им поступать. Когда накопилась некая критическая масса, я через канал банковских безопасников в Telegram собрал вопросы и отправил их в Департамент информационной безопасности. И вот, наконец, я получил ответы на все вопросы, которые в течение этой недели и буду публиковать в блоге (не все сразу, так как там очень много). Первая часть будет касаться 683-П.

Но прежде чем публиковать ответы, хочу сказать спасибо руководство ДИБ ЦБ и тем, кто готовил ответы на вопросы отрасли. Такая обратная связь очень нужна и важна!

1. В чем отличия 683-П и 382-П?

Ответ: Предметы регулирования Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение № 382-П) разные.

Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.

В то же время Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

Положение № 382-П содержит требования к обеспечению защиты информации при осуществлении переводов денежных средств и распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры. Положение № 683-П распространяется только на кредитные организации.

Примечание от меня: пока готовился ответ ситуация немного поменялась - ЦБ выложил проект новой редакции 382-П (и пояснительная записка), у которого немного иная сфера применения.

2. Положение вводит обязательное для банков требование о «получении от клиента подтверждения совершенной банковской операции», которое не содержит никаких исключений. Однако в настоящее время, в соответствии с правилами международных платежных систем и внутренними политиками банка, операции на суммы меньше 1000 рублей не требуют подтверждения клиентом, к ним относятся операции по оплате покупок через сеть «Интернет», например, электронных книг в litres.ru, а также операции совершаемые с помощью NFC карт, которые могут проводится на POS-терминалах, не оборудованных устройствами для ввода PIN-кода, например в метро и другом городском транспорте. В связи с вышеизложенным просим предоставить разъяснения, следует ли банкам после вступления в силу Положения требовать подтверждения операции клиентом во всех без исключения случаях.

Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П. 

3. При использовании ряда систем ДБО клиенты направляют в банк распоряжения на перевод денежных средств, которые клиент предварительно подписывает усиленной неквалифицированной электронной подписью. Технология обработки информации в данном случае включает в себя этап подготовки распоряжений и этап подписания распоряжений электронной подписью. Введение ещё одного этапа обработки сообщений для дополнительного подтверждения подписанных электронной подписью распоряжений вызовет недовольство клиентов. Просьба пояснить, может ли по мнению ДИБ Банка России подписание клиентом распоряжения на перевод денежных средств электронной подписью рассматриваться как «получение от клиента подтверждения совершенной банковской операции», либо обязательно следует добавить ещё один этап для дополнительного подтверждения подписанных электронной подписью распоряжений.

Ответ: Согласно пункту 5.2.1 Положения № 683-П технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

• подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
• получение от клиента подтверждения совершенной банковской операции.

В этой связи помимо требований к подписанию электронных сообщений необходимо реализовывать требование о получении подтверждения клиента о совершенной банковской операции.

Таким образом, подписание распоряжение на совершение банковской операции само по себе не является подтверждением совершенной операции. Понятия «распоряжение на совершение банковской операции» и собственно «совершенная банковская операция» разделены.

Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П. 

4. Подпунктом 5.1 Положения устанавливается требование «обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом», из этой формулировки следует, что возможно не только исключительное использование усиленной электронной подписи для подписания сообщения, но и использование иных аналогов собственноручной подписи (в т.ч. и иных видов электронной подписи), позволяющих в сочетании с соответствующими программными и техническими средствами обеспечить целостность сообщения и подтвердить факт его составления уполномоченным лицом. В связи с вышеизложенным просим предоставить разъяснения кто и по каким критериям будет принимать решение о соответствии используемого банком способа подписания электронных сообщений требованиям подпункта 5.1 при проведении надзорными подразделениями Банка России проверок в кредитной организации.

Ответ: В соответствии с пунктом 5.1 Положения Банка России № 683-П кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства.

Реализация требований, предусмотренных пунктом 5.1 Положения Банка России № 683-П, возлагается на кредитные организации и определяется ими самостоятельно.

При этом в случае использования простой электронной подписи целесообразно применять дополнительные организационные и технологические меры обеспечения информационной безопасности.

5. Просьба разъяснить, соответствует ли по мнению ДИБ Банка России требованиям подпункта 5.1 Положения применяемая в настоящее время технология подтверждения карточных операций путем ввода клиентом PIN-кода карты в терминальном устройстве (банкомате или POS-терминале, в том числе, не поддерживающих EMV стандарт).

Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П. Таким, образом, соответствует.

6. В настоящее время для подтверждения операций, совершаемых с использованием сети «Интернет» широко используется технология, в которой подтверждение клиентом операции осуществляется путем ввода клиентом направленного ему в SMS сообщении одноразового кода, случайным образом сгенерированного банком и однозначно соответствующим подтверждаемой операции. Просьба пояснить, соответствует ли по мнению ДИБ Банка России данная технология требованиям подпункта 5.1 Положения.

Ответ: Да, соответствует.

7. Просьба пояснить, возможно ли по мнению ДИБ Банка России в принципе соответствовать требованиям подпункта 5.1 Положения технология подтверждения операций направляемыми клиенту в SMS сообщении кодами и если да, то при соблюдении каких обязательных условий. 

Ответ: В соответствии с пунктом 5.1 Положения Банка России № 683-П кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства.

Реализация требований, предусмотренных пунктом 5.1 Положения Банка России № 683-П, возлагается на кредитные организации и определяется ими самостоятельно.

При этом в случае использования простой электронной подписи целесообразно применять дополнительные организационные и технологические меры обеспечения информационной безопасности.

8. В пункте 5.2.1 на технологическом участке «удостоверения права клиентов распоряжаться денежными средствами» должно быть обеспечено «получение от клиента подтверждения совершенной банковской операции». Что имеется (может иметься) ввиду, например, в случае классического Интернет-банка с усиленной электронной подписью (без использования СМС для подтверждения платежа)?

Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П.

9. Не ведет ли использование рабочих мест сегмента технологического участка сбора биометрических персональных данных для одновременной работы с АБС (вместо выделения отдельных рабочих мест для работы с ЕБС) к распространению требований ГОСТ 57580.1 на весь сегмент АБС? Если да, тогда и оценку соответствия нужно проводить для всего сегмента АБС. 

Ответ: Согласно пункту 3.1 Положения № 683-П кредитные организации должны обеспечить реализацию уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст "Об утверждении национального стандарта" (далее - ГОСТ Р 57580.1-2017).

Пунктом 2.1.1 Методических рекомендаций по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, утв. Банком России 14.02.2019 № 4-МР (далее - Методические рекомендации № 4-МР), банкам рекомендуется размещать объекты информационной инфраструктуры, используемые на технологическом участке сбора, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Согласно пункту 2.1.2 Методических рекомендаций № 4-МР для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

Таким образом, объекты информационной инфраструктуры, которые используются в целях осуществления банковских операций, в обязательном порядке должны соответствовать требованиям ГОСТ Р 57580.1-2017.

Относительно требований к автоматизированным системам, используемым в целях сбора биометрических персональных данных для единой биометрической системы, положения Методических рекомендаций № 4-МР носят рекомендательный характер.

10. Какое именно программное обеспечение имеется ввиду в п. 4.1 683-П – «программное обеспечение, обрабатывающее защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет"»? Не лишняя ли запятая перед словом «к исполнению" (может имеется ввиду «прием к исполнению»)? 

Ответ: Да, верно, запятая лишняя.

11. Можно ли прямо сейчас проводить этот анализ уязвимостей по ОУД4, или нужно ждать появления методических документов (профиля защиты, если я правильно понимаю) от регулятора? 

Ответ: Да, проводить можно. Банком России завершена разработка методического документа, содержащего профиль защиты, который в настоящее время проходит согласование в ТК122. Рассматривается возможность по увеличению сроков реализации данного требования в связи с разработкой профиля защиты, путем рассылки информационного письма Банка России. 

12. Кто именно может проводить анализ уязвимостей по ОУД4? Достаточно ли для этого иметь лицензию ФСТЭК на деятельность по технической защите информации по подпунктам б,д,е? Или для этого нужно иметь другие подпункты (например г)?

Ответ: В соответствии с пунктом 4.2 Положения № 683-П для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений кредитные организации должны привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее – Положение о лицензировании).

Следовательно, достаточным является наличие соответствующей лицензии на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании.

13. Может ли вендор ДБО проводить анализ уязвимостей своего же софта, если у него имеется лицензия ФСТЭК?

Ответ: Запрет на возможность проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений поставщиком указанного программного обеспечения (при наличии соответствующей лицензии) Положением № 683-П не установлен.

14. Специфика АБС в частных обновлениях версий. Доработки выходят еженедельно, масштабные обновления - ежемесячно. Учитывая сроки выполнения процедур сертификации, продукт, прошедший её, давно уже устареет и даже законодательству перестанет соответствовать. Банки пользоваться сертифицированным продуктом физически не будут никогда. С анализом уязвимостей ситуация не легче, да и вряд ли в стране есть достаточно испытательной мощностей для этого. Хоть кто-нибудь эту тупиковую проблему имеет ввиду? 

Ответ: В отношении прикладного программного обеспечения, в которое часто вносятся изменения, целесообразно вместо сертификации проводить анализ уязвимостей. Для оценки анализа уязвимостей необходима лицензия ФСТЭК. Порядок проведения анализа уязвимостей, в том числе сроки и особенности процедур анализа, документами Банка России не регламентирован.

15. Если по системе сертификации ФСТЭК хоть какой-то регламент опубликовала, то по анализу уязвимостей существуют ли хоть какие-то документы, сверяясь с которыми банк может убедиться, что работа выполнена надлежащим образом, и с чистой совестью подписать акт приемки?

Ответ: Сообщаем, что Банком России осуществляется разработка методического документа, содержащего профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, в целях детализации и уточнения требований к оценочному уровню доверия не ниже ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» в части анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений. В данный момент указанный документ проходит публичные слушания в подкомитете №1 Технического комитета №122 и подлежит официальному опубликованию после завершения процедур согласования и утверждения.

16. Достаточно ли отчета о проведенном анализе защищенности, представленным лицензиатом ФСТЭК, в качестве подтверждения проведения анализа защищенности, или требуется еще что-то?

Ответ: Подтверждающим документом о проведенном анализе защищенности, например, может быть сертификат ФСТЭК (в случае проведения анализа по требованиям ФСТЭК) или заключение лицензиата ФСТЭК (в случае проведения анализа по ОУД 4).

17. О чем говорит принципиальная расхождение формулировках 382-П и 683-П (при всей их схожести)? Если 382-П не конкретизирует ПО, которое должно подвергаться подтверждению безопасности, то в 683-П это явно указано. Может быть, Банк России и по 382-П уточнил бы, что нужно не всю АБС сертифицировать/анализировать уязвимости, а только её «транспортный конец», грубо говоря АРМ КБР-Н. Банк России его сертифицировала бы и вся проблема «конца света» 01.01.2020 была бы решена.

Ответ: Требования по сертификации/анализу уязвимостей распространяются на прикладное программное обеспечение автоматизированных систем и приложений, обрабатывающие защищаемую информацию на участках, используемых для приема электронных сообщений с использованием сети Интернет.

18. Каковы предполагаемые последствия в случае неисполнение оператором по переводу денежных средств или кредитной организации положений 382-П и 683-П с 01.01.2020? В положениях отсутствуют какие-либо указания на этот счёт, что, видимо, означает, что эти организации должны будут прекратить операции, обеспечиваемые с применением несертифицированного/не прошедшего анализ уязвимостей ПО?

Ответ: Банк России вправе применить меры, предусмотренные статьей 74 Федерального закона № 86-ФЗ, в части выполнения кредитными организациями требований Положения № 683-П.

19. Как вы полагаете, если разработчик АБС получит лицензию ФСТЭК, указанную в положениях, правильно ли будет, если он сам будет выполнять анализ уязвимости собственных продуктов?

Ответ: Запрет на возможность проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений разработчиком указанного программного обеспечения (при наличии соответствующей лицензии) Положением № 683-П не установлен.

20. Отчет об отсутствии уязвимостей в ПО, попадающем под соответствующие требования (например, ДБО), требуется на каждый релиз, используемый кредитной организацией?

Ответ: В этом случае анализ уязвимости ПО применяется для всего процесса разработки ПО и не для каждого обновления, а для релизов, которые затрагивают существенные изменения в части функционирования ядра, обеспечения информационной безопасности. И не менее 1 раза в год в соответствии с ГОСТ Р 57580.1-2017 (п 9.7 ЖЦ.20).

21. Есть ли у Банка России рекомендации по тому, как проводить анализ защищенности приложений в условиях Agile-разработки, когда в день кредитная организация выпускает несколько десятков релизов ПО?

Ответ: В этом случае анализ уязвимости ПО применяется для всего процесса разработки ПО и не для каждого обновления, а для релизов, которые затрагивают существенные изменения в части функционирования ядра, обеспечения информационной безопасности. И не менее 1 раза в год в соответствии с ГОСТ Р 57580.1-2017 (п 9.7 ЖЦ.20).

22. Каким образом должно быть организовано подтверждение клиентом уже совершенной операции, требуемое согласно 10-му абзацу п.5.2.1? Первое, что приходит в голову (по тексту требования) обзванивать клиентов и просить их подтвердить, что совершенная операция была действительно инициирована ими, как например происходит, когда срабатывает антифрод. Возможно есть иные способы? 

Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Способ получения подтверждения, описанный в обращении, не противоречит требованиям абзаца десятого подпункта 5.2.1 Положения № 683-П. В качестве возможного варианта исполнения требований – направление коротких текстовых сообщений с кодом подтверждения.

Завтра будут разъяснения по 672-П.

Подробнее…

Новые требования ЦБ устанавливают обязательность ГОСТа для кредитных и некредитных финансовых организаций

История нередко делает очень неожиданные зигзаги, показывая, что у нее есть какой-то свой план, который изначально не всем виден и не всеми воспринимается в позитивном ключе. Такая история была и с обеспечением безопасности кредитно-финансовой сферы, регулированием которой занимается Центральный Банк. Давайте вспомним, как выстраивалась система требований по защите в Национальной платежной системе? В 2011-м году вступил в силу ФЗ-161 и в нем были прописаны (пожалуй, впервые на уровне закона для целой отрасли) обязательства по защите информации для участников НПС (27-я статья). Мне довелось поучаствовать в рабочей группе, которая писала "детализацию" этих требований, позже получившей название "382-П".

И вот ту мы подходим к первому событию в истории, которое повторилось совсем недавно. Начав работу над 382-П в рамках ГУБЗИ, завершалась работа уже в рамках нового Департамента регулирования расчетов. И отчасти такое разделение выглядело логичным. ГУБЗИ, как и любая структурная единица любой организации, занимавшаяся ИБ, делала это сугубо для внутренних целей самого Центрального Банка. Но он же был не только финансовой организацией, но и регулятором, который устанавливал правила игры для целого рынка. И если первоначально предполагалось, что и внутренняя ИБ и внешняя должна быть исходить из одних рук, то потом пришло понимание, что это не совсем правильно и надо бы разнести эти задачи между разными департаментами. Так и случилось - ГУБЗИ продолжал отвечать за внутреннюю ИБ, а ДРР, который позже был реформирован в ДНПС (Департамент Национальной платежной системы), была делегирована задача установления правил по ИБ для участников НПС и сбора отчетности от них. Так бы все и продолжалось, если бы в ЦБ не произошли определенные изменения, которые привели к тому, что в ДНПС почти не осталось ресурсов, которые бы могли разрабатывать требования по ИБ и анализировать получаемую ежемесячно статистику об инцидентах. В итоге некоторое время назад история сделала крутой поворот и вся "внешняя ИБ" вновь вернулась к истокам, в ГУБЗИ.

Некоторое время все было прекрасно - ГУБЗИ занималось внутренней ИБ и разработкой обязательных Положений и Указаний, методических документов в виде СТО и РС, а позже и в виде обязательных в перспективе ГОСТов. Однако тема кибербезопасности становилась более публичной и политизированной, а после слияния ЦБ с ФСФР, еще и гораздо более масштабной. В итоге история вновь резко развернулась и возникла задача разделить два направления - внутренняя ИБ для целей самого Банка России и внешняя - для установления правил ИБ уже не только для кредитных организаций, и не только для участников НПС, но и для всех остальных профессиональных участников финансового рынка, страховых, негосударственных пенсионных фондов, микрофинансовых организаций, бирж и т.п. И вот недавно в ЦБ был создан новый Департамент (ДИБ), целиком занимающийся внешней ИБ, - разработкой новых стандартов, сбором статистики, обеспечением работы ФинЦЕРТ.

Примерно так мне видится история, а теперь, после долгого предисловия, пора вернуться к тому, ради чего я затевал эту заметку. Речь идет о двух проектах, выпущенных вчера Банком России, и посвященных установлению обязательных требований по кибербезопасности для кредитных и некредитных финансовых организаций.

Требования для кредитных организаций

Первый возникающий вопрос касается первого проекта. Зачем он нужен, если ЦБ уже выпустил 382-П и имеет ГОСТ 57580.1, устанавливающий базовый набор защитных мер. Ответ на этот вопрос очень просто. 382-П касается только участников НПС и защиты информации в Национальной платежной системе, а разработанный проект распространяется на всю банковскую деятельность, исключая те области, которые уже покрыты требованиями по ИБ, установленными федеральными законами (ФЗ-152 о ПДн, ФЗ-161 о НПС, ФЗ-187 о безопасности КИИ). Идеологически новый проект схож с 382-П и его реализация не будет чем-то новым для кредитных организаций, но есть и ряд отличий. Пусть и с некоторым опозданием (обещали это сделать еще в конце 2017-го года), но Банк России наконец-то сделал обязательным использование своего ГОСТа 57580.1, сославшись на него в новом проекте. Именно в нем даются ссылки на 3 уровня защиты информации из ГОСТа, которые и описывают базовый (рекомендуемый, а не минимальный) набор защитных мер для разных типов кредитных организаций. Оценка соответствия новым требованиям осуществляется внешним лицензиатом на соответствие ГОСТ 57580.2.

В целом ничего нового в этом проекте нет, за исключением всего одного момента. Выполнение требований нового ГОСТа с дифференциацией требований по уровням защиты выглядит вполне разумно, но... кредитные организации обязаны также выполнять и 382-П наряду с новым Положением. А 382-П никак не привязывает требования по защите к 3-м уровням. И вот этот момент мне пока непонятен. Допускаю, что ЦБ в перспективе планирует внести изменения и в 382-П, но позже; после недавнего крупного изменения, вносить еще одни правки было бы неразумным.

Требования для некредитных финансовых организаций

Второй проект стал следствием получения Банком России новых полномочий. Он почти ничем не отличается от первого, разве что он не требует от некредитных финансовых организаций выполнять 382-П. Но в любом случае он может стать для них неприятным сюрпризом (хотя ЦБ неоднократно на протяжении последних лет предупреждал о том, что он обяжет всех профессиональных участников финансового рынка выполнять требования по ИБ, схожие с теми, что были установлены для банков). Он также как и предыдущий проект привязывает требования по защите к уровням из ГОСТа 57580.1, но уже не к двум, а к трем. Последний, минимальный уровень устанавливается для микрофинансовых организаций, кредитных потребкооперативов, жилищных накопительных кооперативов, сельскохозяйственных кредитных потребкооперативов и ломбардов. Вроде бы им и радоваться надо, что требований для них мало (хотя "мало" понятие субъективное; особенно для тех, кто никогда не занимался своей кибербезопасностью профессионально), но есть три нюанса, на которые я бы обратил внимание:

1. Такие организации обязаны изучить регулирование криптографии, которая им может потребоваться как для защиты ПДн, так и для защиты иной информации. Также они должны изучить законодательство об электронной подписи.
2. Такие организации обязаны информировать ФинЦЕРТ о выявленных инцидентах.
3. Такие организации обязаны присоединиться к ГосСОПКЕ и взаимодействать с ФСБ для уточнения порядка информирования ФинЦЕРТа и ГосСОПКИ.

Последние три пункта - не блажь ЦБ, а требования ФСБ, которая уже не раз высказывала позицию, что им не важен размер контролируемой организации в области КИИ - сообщать об инцидентах должны все субъекты КИИ; как и соответствовать требованиям по криптографии. И вот именно эти три пункта могут вызвать основную сложность у небольних финансовых некредитных организаций. Остается надеяться, что до их проверки дело не дойдет. А то проверка по формальным признакам может закончиться прекращением их деятельности оздоровлением рынка.

Дата вступления в силу новых проектов не установлена (будет зависеть от даты принятия), а вот  требование по сертификации банковского/финансового ПО (исключая небольшие финансовые некредитные организации, которым это не требуется) вступают в силу с 1-го января 2020 года, требования по использованию ГОСТа 57580.1 и внешнему аудиту соответствия ГОСТ 57580.2 - с 1-го января 2021 года.

Подробнее…

Новая триада законодательства по финансовой безопасности (презентация)

Еще одной темой презентации, прочитанной мной на Payment Security, стало новое законодательство, применимое к финансовым организациям. Это и пресловутый ФЗ-187, и новая редакция 382-П и ГОСТ 57580.1. Вот об этой триаде (хотя к ней можно было бы добавить и удаленную идентификацию) я и говорил в Питере. Вроде ничего нового, но вдруг кому-то будет интересно :-)

Новая триада законодательства по финансовой безопасности from Aleksey Lukatskiy

Подробнее…

Революция от ЦБ: новая версия 382-П

Центральный банк традиционно является революционером в области кибербезопасности в России. То он вводит национальный стандарт (ГОСТ) как обязательный. То требует обязательного информирования об инцидентах ИБ. То создает ФинЦЕРТ, первый государственный и работающий центр сбора информации об инцидентах. И вот новая революция, а точнее две, пришедшие с новым Указанием 4793-У, которое спустя год после опубликования проекта,  вносит долгожданные, но местами неприятные, изменения в 382-П, потребующие серьезного передела, как внутренней системы ИБ финансовых организаций, так и всего рынка ИБ России. Но обо всем по порядку.

Начну с более приземленной и практичной, но совершенно не раскрытой темы - уведомления об инцидентах ИБ. Лично я ждал, что ЦБ все-таки потребует от участников НПС (а 382-П распространяется именно на них) уведомления об инцидентах по форме, используемой в 552-П, то есть в течение 3-х часов с момента наступления инцидента. Но увы... ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа, размещаемого на сайте ЦБ, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ, курирующей ГосСОПКУ. Как мне кажется, это (а также сроки принятия новой редакции - больше года) связано с тем, что ФСБ в лице 8-го Центра и НКЦКИ до сих не смогли утвердить ни одного документа по ГосСОПКЕ в рамках 187-ФЗ. Ждать больше ЦБ не захотел или не смог, поэтому принял документ в этой части в абсолютно размытой и неконкретной формулировке, которая еще даст о себе знать.

Например, мне непонятен статус перечня инцидентов, о которых надо уведомлять ФинЦЕРТ, и который, после согласования с ФСБ, должен быть размещен на сайте ЦБ. Понятно, что это будет некая выжимка из недавно согласованного, но еще не принятого в окончательной редакции СТО 1.5. Но насколько этот документ будет обязательным? Предвижу вопросы от банковских юристов, которые начнут бомбить регулятора запросами, а то и вовсе манкировать своими обязанностями (до первых проверок). Так и не дождавшись от ФСБ согласования карточки инцидента, протоколов обмена данными о них, сроков и порядка, ЦБ отделался отпиской, что все это будет согласовано и также размещено на сайте ЦБ. А каков статус этого документа будет? Будет новое Указание? Или?.. В целом это же было написано и год назад (хочется надеяться, что данные об инцидентах ГосСОПКА будет раздавать более оперативно), но я обратил внимание, что с ГосСОПКОЙ надо будет согласовать не только порядок уведомления об инцидентах, но и порядок размещения информации о них в СМИ, в пресс-релизах, в пресс-конференциях и т.п. Вот захотите вы сообщить своим клиентам о хищении средств с их счетов, а вдруг ФСБ раз и запретит?.. Низзззя! Национальная безопасность пострадать может.

Прикладное ПО, используемое для переводя денежных средств, требует либо сертификации ФСТЭК, либо анализа уязвимостей по ОУД4 с помощью лицензиата ФСТЭК. Это классный пункт - он позволит поднять уровень защищенности ПО и заставит разработчиков повышать свои компетенции в этом вопросе, внедряя SDLC. Но есть и нюансы (куда же без них). Во-первых, испытательные лаборатории ФСТЭК не обладают должными компетенциями в этом вопросе, преимущественно занимаясь сертификацией средств защиты информации. Да, они будут рады новому рынку, но пока вся процедура утрясется, немало воды утечет. Тем более, что непонятно как к этому относится ФСТЭК и на соответствие каким требованиям должна проводиться сертификация (НДВ скоро отомрет, а разрабатывать РД для АБС никто пока не планировал)? Более того, у ФСТЭК наметился уход от концепции "Общих критериев" и как проводить оценку по ОУД4 скоро будет совсем непонятно. Также непонятно, что включается в понятие "прикладное ПО"? Регулятор утверждал неоднократно, что речь идет о ПО, которое непосредственно участвует в переводе денежных средств, то есть об АБС, клиент-банке, мобильном банкинге, процессинге, ДБО, интернет-банкинге и т.п. Надеюсь, браузеры и офис не потребуется сертифицировать...

Требование разделения контуров у клиент-банка (одним ПК у бухгалтера теперь не обойтись) было предсказуемым и подробно на нем я останавливаться не буду - подход ЦБ не поменялся. К счастью, так как это потребует переделки клиентской части АБС и усилий разработчиков финансового софта, возможна компенсирующая мера в виде введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т.п.).

Вторым революционным изменением (после сертификации прикладного ПО) стало другое, которое имеет далеко идущие последствия для всего рынка и даже, не побоюсь этого, для всей цифровой экономики, как бы не смешно звучало это словосочетание в наших условиях. Речь идет о поголовном переходе всех финансовых организаций на российскую криптографию!!! Да-да, именно так. Мне можно возразить, что в 4793-У написано только про значимые платежные системы (кстати, в проекте упоминались национально значимые ПС), но давайте посмотрим на перечень таких систем. Там есть, как минимум, Сбербанк, Visa, Master Card и НСПК. Достаточно? Все банкоматы и POS-терминалы, все ДБО, позволяющие пополнять карточные счета, должны будут перейти на российскую криптографию. Пункт о том, что в остальных случаях можно применять СКЗИ иностранного производства в таком варианте звучит как издевка. Учитывая, что с 2011-го года, когда начался писаться первый вариант 382-П, эту формулировку не удавалось протоклнуть через ФСБ, а сейчас это удалось, мне кажется это сделано осознанно. Ситуаций, когда можно будет обойти компоненты инфраструктуры значимых платежных систем, практически нет. Кстати, требования от международных платежных систем перейти на российскую криптографию, не значит ли перевода и платежных карт Visa и MC на нее?

На этом фоне не так уж и значительно выглядит требования о применении 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ. То есть, если вы для защиты ПДн хотите использовать СКЗИ, то будьте добры делать это с помощью сертифицированных решений. Но как мы помним, обеспечивать конфиденциальность ПДн можно и другими способами - выбор остается за вами.

ОБНОВЛЕНИЕ

Описанная в новом нормативном акте формулировка достаточно сложна и может трактоваться также как и возможность использования отечественных HSM и иных СКЗИ с поддержкой западной криптографии (например, Инфотекс вместа Thales). Да, такое возможно и более того, эту версию пару раз озвучивали представители ФСБ, сетуя на то, что банки не используют отечественные СКЗИ в своих платежных процессах. Банки же возражали, что для использования отечественного HSM (не важно, какую криптографию поддерживающую) в банкоматах или процессинге, необходимо сертифицировать их по требованиям тех же международных платежных систем. А это, как мне кажется (особенно в текущих геополитических условиях), будет крайне затруднительно. Так что мы имеем две равнозначных ситуации - переход НПС на отечественную криптографию или сертификация отечественных СКЗИ в международных НПС. Посмотрим, какой вариант выиграет...

КОНЕЦ ОБНОВЛЕНИЯ

В обоих случаях (отечественная криптография для защиты денежных переводов и ПДн) неотвеченным остается вопрос квантовых атак, но я им уже задавался и ответа на него пока не слышал/не видел. С практической же точки зрения я хотел бы обратить внимание на существенные финансовые обременения (глава НСПК на прошлогодней конференции Payment Security в Питере называл цифру в миллиарды долларов только для одной НСПК), связанные с внедрением российской криптографии, а также определенные технические сложности, которые я предвижу в этом процессе. Ведь переход на ГОСТы произойдет не одномоментно и будут ситуации, когда какие-то системы будут работать на российской криптографии, а какие-то на международной. То есть придется дублировать системы управления ключевой информацией, HSMы, ПО на картах и POS-терминалах и т.п. Вопрос стабильности работы двух параллельных СКЗИ еще предстоит анализировать. Но простым он точно не будет. Тут дело даже не в криптографии как таковой, а в ее практической реализации, внедрении и поддержке.

Прошлой весной, когда появился проект новой редакции 382-П, срок его введения был установлен на 1 июля 2018-го года. То есть давался примерно год на реализацию многих защитных мер. В текущей редакции, зарегистрированной Минюстом, 22 июня, срок остался... тем же - 1 июля 2018 года. Учитывая, что главки ЦБ стали рассылать 4793-У только 27-го июня, оставалось всего 2 рабочих дня на его реализацию :-( Два рабочих дня!!! Но есть и исключения:

1. Требование по сертификации прикладного ПО или оценке уязвимостей по ОУД4 вступает в силу с 1-го января 2020 года (а вот пентесты и анализ уязвимостей объектов информационной инфраструктуры с 1-го июля 2018-го). У некоторых главков ЦБ есть мнение, что это не так и сертификация должна быть реализована с 1-го июля, но это не так. Достаточно посмотреть методические рекомендации по юридико-техническому оформлению законопроектов, в котором написано, как и откуда считается нумерация абзацев.
2. Требование разделения контуров вступает в силу с 1-го января 2020-го года.
3. Требование применения в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ (с учетом оговорок выше) вступает в силу с 1-го января 2024-го года.
4. Требование применения в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
5. Требование применения в значимы платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
6. Требование применения в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах.

А что же надо делать со следующей недели? А вот что:

• Анализ уязвимостей и пентесты информационной инфраструктуры (обойти это требование нельзя). Это лицензируемый вид деятельности.
• Применение 378-го приказа ФСБ, если вы для защиты ПДн хотите использовать СКЗИ (можно творчески подойти, как я описывал ранее)
• Информировать об инцидентах ГосСОПКУ и ФинЦЕРТ (но после того, как ФСБ разродится своими приказами).
• Отказ ЦБ от самооценки и переход на аудит с помощью лицензиатов ФСТЭК был ожидаемым и он вступает в силу с 1-го июля.

Документ хоть и короткий, но емкий - большинство пунктов отнесены на перспективу от 1,5 до 13 лет, что дает определенную свободу маневра, но требует и более серьезной проработки стратегии выполнения этих недешевых требований регулятора за это десятилетие, включая и оценку будущих угроз и изменения ИТ-ландшафта, которые тоже надо учитывать.

Подробнее…

Уральский форум за 15 минут (презентация и видео) #ibbank

По сложившейся традиции в конце каждого Уральского форума по информационной безопасности финансовых организаций я делаю обзор всего того, что говорилось в течение 4-х дней конференции. Начинал я с 15-тиминутного обзора, но учитывая, что в этом году программа была двухпоточной, то уложиться в 15 минут стало почти невозможно. Поэтому говорил я в этот раз дольше обычного, но традиция традицией - название осталось прежним. Следующие заметки я посвящу чуть большим деталям, а сейчас я просто выкладываю саму презентацию. Тем более, что многим участникам надо готовить отчеты по командировке :-)

Уральский форум по информационной безопасности финансовых организаций за 15 минут - 2018 from Aleksey Lukatskiy

Помимо презентации есть еще и видео, которое писалось Андреем Прозоровым:



и Национальным Банковским Журналом:

• видео NBJ. Часть 1. Нормативные акты
• видео NBJ. Часть 2. Удаленная идентификация и ФинЦЕРТ
• видео NBJ. Часть 3. Цифровая экономика

Подробнее…

Какая финансовая организация является субъектом КИИ? #ibbank

8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу. Тут надо сразу оговориться, что субъектами КИИ являются все финансовые организации, а вот значимыми объектами КИИ обладать будут далеко не все из них. Принятое ПП-127 касается как раз вопроса о том, какие объекты КИИ будут признаны значимыми.

Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, "Экономическая значимость". Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:

1. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
2. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
• в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
• в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
• в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
3. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений).

Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:

• Банк России
• Сбербанк
• Внешэкономбанк
• Национальный Клиринговый Центр 
• ВТБ
• Россельхозбанк
• Газпромбанк
• Глобэкс (как дочка ВЭБ)
• Связь-Банк (как дочка ВЭБ)
• МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
• Российский капитал (как дочка АИЖК)
• ВБРР
• Почта Банк (как дочка ВТБ и Почты России)
• РНКБ (как дочка Росимущества)
• Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
• Крайинвестбанк
• Дальневосточный Банк
• Акибанк
• Алмазэргиэнбанк
• Московское Ипотечное Агентство
• Росэксимбанк
• БМ-Банк
• Русь
• Хакасский Муниципальный Банк
• Банк Казани
• Почтобанк (не путать с Почта Банк)
• Новикомбанк
• НСПК.

Предположу, что Бинбанк, Открытие, Рост Банк, Уралприватбанк и Промсвязьбанк тоже можно отнести в этот список, так как ЦБ в рамках санации стал их основным инвестором.

Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 - в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.

 Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.

Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:

• АО ЮниКредит Банк
• Банк ГПБ
• Банк ВТБ
• АО «АЛЬФА-БАНК»
• ПАО Сбербанк
• ПАО «Московский Кредитный Банк»
• ПАО Банк «ФК Открытие»
• ПАО РОСБАНК
• ПАО «Промсвязьбанк»
• АО «Райффайзенбанк»
• АО «Россельхозбанк».

Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:

• Центральный депозитарий
• Расчетный депозитарий
• Репозитарий
• Центральный контрагент.

Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:

• Русславбанк и ВТБ (для CONTACT)
• НСПК, Банк России (для Visa)
• Платежный центр, Золотая корона (для Золотой короны)
• Национальный расчетный депозитарий (для НРД)
• Лидер (для ПС Лидер)
• НСПК, Банк России (для MasterCard)
• ВТБ (для ПС ВТБ)
• Сбербанк (для ПС Сбербанка)
• Рапида, ВТБ (для Рапиды).

Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.

Вот такой список финансовых организаций, как потенциальных владельцев значимых объектов КИИ, получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой "мы все еще составляем перечень объектов КИИ". Вот такой парадокс и кто это придумал - непонятно :-(

Подробнее…

Эволюция отчетности по инцидентам Банка России

ЦБ выложил у себя на сайте проект указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», который меняет порядок отчетности по инцидентам в области ИБ, установленную в 203-й форме (202-я остается без изменений).

Основных изменений в новой форме два:

• переход от ежемесячной к ежеквартальной и полугодовой отчетности
• уход от подробной информации об инцидентах и сдвиг акцента в сторону указания финансовых потерь от инцидентов.

Проект Указания исключает из формы отчетности 0403203 вопросы технической реализации инцидентов защиты информации, указывающих на причины их возникновения, а также обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению сведений о технических способах реализации инцидентов защиты информации. Это не значит, что ЦБ не интересует эта информация, просто она уходит в другие формы отчетности.

Первой ласточкой стало положение 552-П, которое требует отправлять данные об инцидентах с АРМ КБР в ФинЦЕРТ в течение 3-х часов после наступления инцидента. Однако этим желание ЦБ получать оперативную информацию об инцидентах не ограничилось. В проекте новой версии 382-П указано, что участники НПС должны сообщать обо всех инцидентах ИБ в ФинЦЕРТ в порядке, установленном Банком России. Логично предположить (хотя 100%-й гарантии не дам), что ЦБ не будет изобретать велосипед и повторит вариант с 552-П, то есть будет требовать сообщать обо всех инцидентах (а не только с АРМ КБР) в течении трех часов.

Таким образом, ЦБ хочет изменить подходы к отчетности об инцидентах, заставив своих подопечных (пока только банки и операторов услуг платежной инфраструктуры и операторов платежных систем, но в перспективе не исключаю и остальные финансовые организации) пересмотреть свои системы управления инцидентами в сторону большей оперативности.

Однако, оставался вопрос с PR-составляющей (куда уж без нее). Ведь надо регулярно отчитываться о суммах похищенных или готовящихся к хищению денежных средств - журналисты любят такие показатели. Да и динамику хищений киберпреступниками знать полезно. Поэтому новая версия 203-й отчетности сфокусировалась именно на этом, а точнее на 3-х основных цифрах:

• суммы готовящихся к хищению средств
• суммы незаконно переведенных средств
• суммы возвращенных средств (это новация - раньше такого не было). 

Вступает новое указание с 1-го января 2018-го года.

Однако и это еще не все. В мае в Госдуму был внесен законопроект о внесении изменений в 161-ФЗ "О национальной платежной системе", в котором среди прочего от банков требуется уведомлять ЦБ обо всех мошеннических операциях (перечень будет установлен Банком России). Тут очень много темных пятен - и в части процедуры уведомления, и в части перспектив самого законопроекта. Поэтому и говорить про него пока рано (отсюда и пунктир на иллюстрации).

ЗЫ. 258-я форма (по инцидентам с платежными картами) изменений не претерпела. Связано это с тем, что она разработана была не ГУБЗИ, которое не отвечает за ее изменение.

ЗЗЫ. По проекту новой отчетности ЦБ принимает предложения до 7-го сентября.

Подробнее…

Обязательство банков уведомлять об инцидентах вынесено на уровень закона

30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):

1. При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
• Приостановить платеж
• Приостановить использование электронного средства платежа
• Информировать клиента о предыдущих двух шагах
• Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
2. Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
3. Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
4. Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
5. Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
6. Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
7. ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово "оператор".
8. Все участники НПС, в названии которых есть слово "оператор", обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
9. Специально указано, что информация об инцидентах не относится к банковской тайне.

Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.

Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:

1. Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.


2. Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
3. Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв. 
4. ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
5. Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
6. ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
7. Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам - тогда ФСТЭК выступал явно против ГОСТа, а ФСБ - против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материи.

Интересно будет следить за судьбой этого законопроекта.

Подробнее…

Об отчетности ЦБ по ИБ

На днях ЦБ выпустил обзор несанкционированных переводов денежных средств за 2016-й год, то есть опубликовал результаты анализа 203-й формы отчетности, которую операторы по переводу денежных средств и иные участники Национальной платежной системы должны ежемесячно подавать регулятору. Чтобы мне хотелось сказать по факту выхода данной отчетности:

• Подготовка сводного обзора по итогам анализа присланных банками отчетов перешла уже официально от ДНПС в ГУБЗИ, что сразу же сказалось в лучшую сторону на самом отчете. Прошлые отчеты, а последний был опубликован 2 года назад (в прошлом году были только предварительные цифры на Уральском форуме), носили PR-характер и никакой пользы для банковских безопасников не имели. Зато журналисты с радостью хватались за суммы похищенных и готовящихся к хищению средств. В нынешнем же отчете помимо сумм и числа инцидентов добавили также информацию о местах совершения инцидентов, а также о их причинах и фактах обращения в правоохранительные органы. Да, это не все, что попадает в 203-ю отчетность, но все же лучше, чем было.
• Сейчас подготовлен проект новой 203-й формы, по которому можно уже сказать, что ЦБ усиливает роль FinCERT в деле работы со статистикой по инцидентам. Сейчас банки обязаны уведомлять об инцидентах FinCERT только в рамках 552-П (по АРМ КБР). Однако судя по тому, какой станет 203-я отчетность (только общие цифры по суммам и числу инцидентов), могу предположить, что FinCERT подомнет под себя техническую отчетность и по остальным направлениям регулирования.

• 258-я отчетность (по инцидентам с платежными картами) с 203-й уже не сольется - они будут жить отдельно.
• Не исключаю, что по мере наделения ЦБ правом регулирования вопросов ИБ во всех своих "подведомственных" отраслях, а не только в банках и НПС, ЦБ установит требования по отчетности и для них. В конце концов, обратная связь о том, насколько действенны мероприятия по защите, устанавливаемые растущим числом нормативных актов ЦБ, надо как-то отслеживать.

Пока никем неозвученной остается вопрос с отчетностью по СТО БР ИББС. По сути эта отчетность сейчас является вырожденной. СТОБР плавно, но верно движется в сторону ГОСТа, в котором ни слова про необходимость отправлять отчетность. Вообще в новом ГОСТе для финансовых организаций эта тема обойдена вниманием и я полагаю, что это неслучайно. Если вспомнить идею ЦБ про разделение своих требований по ИБ на два уровня, то логично, что требование по отчетности будет стоять выше ГОСТа. Отчетность по СТОБР уходит в ГУБЗИ, но туда теперь уходить отчетность и по 2831-У. Зачем ГУБЗИ две отчетности, базирующиеся на общих требованиях, - обязательная (202-я) и рекомендательная? Ну и, наконец, в условиях роста важности FinCERT и перехода к более оперативной отчетности, результаты по СТОБР опять становятся малоинтересными. Отсюда делаю вывод - относительно скоро отчетность по СТО БР должна отмереть по моему скромному разумению. По крайней мере, это выглядело бы логичным.

Подробнее…