29.06.2018

ЦБ получает новые полномочия по регулирования рынка ИБ

27 июня всенародно избранный Президент (кстати, очень много законов, связанных с ИБ, подписывалось Президентом именно 27-го июня) подписал Федеральный закон 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств». На сайте Президента написано буквально следующее:

"Федеральным законом определяется порядок приостановления кредитной организацией перевода денежных средств клиента в случае выявления признаков совершения перевода без его согласия.

В частности, при выявлении признаков совершения перевода денежных средств без согласия клиента оператор по переводу денежных средств обязан приостановить на срок не более двух рабочих дней исполнение распоряжения о совершении операции, а также приостановить на такой же срок использование клиентом электронного средства платежа.

При этом устанавливается, что признаки совершения перевода денежных средств без согласия клиента определяются Банком России и размещаются на его официальном сайте в информационно­-телекоммуникационной сети «Интернет».

Кроме того, Федеральным законом предусматривается наделение Банка России полномочиями по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платёжных систем и операторами платёжной инфраструктуры информации из указанной базы данных."



Все это безусловно верно, но я бы отметил две других нормы, о которой в справе ГПУ (государственно-правового управления) не сказано ни слова, а именно две новых статьи закона "О Центральном банке Российской Федерации (Банке России)":

  • "Статья 57.4. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами".
  • "Статья 76.4.1. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 настоящего Федерального закона, в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами".
Иными словами, если раньше Банк России в лице ГУБЗИ устанавливал обязательные требования по безопасности только для участников Национальной платежной системы (по ст.27 ФЗ-161), то по истечении 90 дней с момента опубикования 167-ФЗ Центробанк получит права устанавливать обязательные требования для кредитных организаций (привет ГОСТ 57580.1 и др.), а также для всех некредитных финансовых организаций - страховых, негосударственных пенсионных фондов, бирж, микрофинансовых организаций, ломбардов и т.п. А планов по разработке новых требований у ЦБ немало - почти два десятка документов.


9 коммент.:

Dmitry Osipov комментирует...

Полномочий у ЦБ и так хватает, а вот качественных документов по ИБ как не было, так и нет. Чего стоит тот факт, что ЦБ до сих пор не установил требования об обязательной двухфакторной аутентификации при платежах через системы ДБО.

Алексей Лукацкий комментирует...

2.6.3 требует идентификации клиента и его устройства
2.8.2 требует одноразовых паролей помимо идентификации клиента

Dmitry Osipov комментирует...

Алексей 2.6.3 не требует идентификации устройства, оно требует логирования сведений об устройстве, с которого осуществляется доступ. И только.
2.8.2 отдает на откуп банку решение о применении одноразовых паролей (при том, что двухфакторная аутентификация не ограничивается только одноразовыми паролями).

Сравните требования 382-П с требованиями RTS ECB
(1) Payment services offered electronically should be carried out in a secure manner,
adopting technologies able to guarantee the safe authentication of the user and to
reduce, to the maximum extent possible, the risk of fraud. The authentication
procedure should include, in general, transaction monitoring mechanisms to detect
attempts to use a payment service user’s personalised security credentials that were
lost, stolen, or misappropriated and should also ensure that the payment service user is
the legitimate user and therefore is giving consent for the transfer of funds and access
to its account information through a normal use of the personalised security
credentials. Furthermore, it is necessary to specify the requirements of the strong
customer authentication that should be applied each time a payer accesses its payment
account online, initiates an electronic payment transaction or carries out any action
through a remote channel which may imply a risk of payment fraud or other abuse, by
requiring the generation of an authentication code which should be resistant against
the risk of being forged in its entirety or by disclosure of any of the elements upon
which the code was generated.

Алексей Лукацкий комментирует...

Ну это уже зависит от трактовки :-) Если один пункт требует регистрации идентификации устройства, а второй - принятия действий на основе этого идентификатора , то я это трактую как идентификацию устройства :-)

Dmitry Osipov комментирует...

Алексей, я вот как-то в упор не вижу пункта, который бы требовал предпринимать какие-либо действия на основе идентификатора устройства клиента/работника (кроме как записать его в лог). Не подскажите, что это за пункт такой в 382-П. Буду премного благодарен.

Unknown комментирует...

Я верно понимаю, что хоть ЦБ и расширил свои полномочия, но по факту ГОСТ еще не обязателен к применению, пока на него не будет конкретной ссылки в НПА?

Алексей Лукацкий комментирует...

Unknown: Да, все верно

Алексей Лукацкий комментирует...

Дмитрий: 2.8.3 - Оператор по переводу денежных средств ... определяет параметры операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе... устанавливает перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств

Dmitry Osipov комментирует...

Алексей
Мы, видимо, разные редакции читаем.

Подпункт 2.8.3 изменен с 1 июля 2018 г. - Указание Банка России от 7 мая 2018 г. N 4793-У

2.8.3. Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе указанные в подпункте 2.10.7 пункта 2.10 настоящего Положения.