Решение ЦБ РФ о мероприятиях по стабилизации рынка

Опубликовано: Финансовое обеспечение

Послабления при работе с платежной системой ЦБ РФ

Второй упоминавшийся документ (положение 672-П) устанавливает дополнительные требования к финансовым организациям при работе с платежной системой Центробанка и осуществлении денежных переводов через систему быстрых платежей ЦБ РФ. При выполнении таких переводов банки должны обеспечить второй (стандартный) уровень безопасности к 1 июля 2021 г., а к 2023 г. банки должны будут пройти аудит на соответствие инфраструктуры защиты в платежной системе ЦБ РФ требованиям нацстандарта (уровень соответствия не ниже четвертого). Таким образом, требования данного документа более мягкие по сравнению с 683-П: срок выполнения перенесен на полгода позже, кроме того, не зафиксирована степень выполнения требований нацстандарта по состоянию на июль 2021 г. согласно ГОСТ Р 57580.2-2018. По данным CNews, данная уступка регулятора связана с тем, что в этом случае идет речь о реализации систем защиты при взаимодействии с инфраструктурой ЦБ РФ (платежная система, система быстрых платежей), что с технической точки зрения является более сложной задачей.

Основные аспекты информационной безопасности кредитных организаций

Основным документом, который предопределяет в значительной мере комплекс приоритетов, основных принципов и способов достижения стратегических и тактических целей обеспечения защищенности электронных информационных активов банковских структур в сложившихся условиях наличия потенциальных угроз, которые наиболее характерны и являются существенными для крупных (системно — значимых) банковских институтов, является политика банковской структуры в сфере информационной безопасности такой структуры.

Подобная политика, в первую очередь, направлена на защиту финансовой устойчивости банковской структуры посредством обеспечения надёжного, непрерывного и безопасного функционирования и эффективной работы платёжной, операционной, аналитической, информационной, организационно-распорядительной и других систем банка.

Политика банковской структуры представляет собой взаимосвязанную многоуровневую системную задачу, в состав которой входят различного рода объекты защиты и цели защиты, характер угроз, методы их минимизации. Так, одним из наиболее важных принципов, который закладывается в политику информационной безопасности, можно назвать обеспечение защиты электронных информационных ресурсов банка, в т.ч. электронных ресурсов, которые находятся в его ведении, исходя из их ценности. Именно ценность того или иного электронного информационного ресурса и предопределяет принципы и приоритеты их защиты.

Для минимизации рисков информационной безопасности в политику в обязательном порядке должны быть включены принципы осуществления мониторинга, внутреннего контроля и аудита, анализа применяемых методов и средств и возникающих угроз.

Таким образом, подобный документ отражает наиболее важные методологические подходы, которые позволяют сотрудникам службы информационной безопасности, а также другим прочим специалистам банковских структур устанавливать наиболее важные объекты защиты, а также формулировать принципы и направления работ, контролировать их исполнение, внедрять необходимые меры по защите электронных информационных активов банковской структуры.

Замечание 1

Стоит отметить, что информационная безопасность банковских структур, функционирующих на территории РФ, базируется на действующих нормативных и законодательных актах, Доктрине информационной безопасности РФ, которая утверждается Президентом, различного рода нормативно-методической документации в сфере информационной безопасности, например, документах Центрального Банка РФ, а также рекомендациях Банка международных расчетов по общим принципам функционирования системно-значимых платежных систем.

На сегодняшний день наиболее важными целями работы по обеспечению информационной безопасности в банковских структурах являются:

  • предупреждение и минимизация риска возникновения угроз электронным информационным активам банковских структур и финансовых учреждений;
  • в значительной мере снижение уровня уязвимости электронных информационных активов банковских структур и финансовых учреждений;
  • обеспечение минимизации ущерба и периода восстановления в результате последствий атак угроз.

Стоит отметить, что банковским структурам и финансовым учреждениям в обязательном порядке необходимо строго следовать рекомендациям мировых стандартов, а также рекомендаций, выданных Комитета по платежным и расчетным системам, среди которых можно выделить:

  • снижение до наиболее приемлемого уровня потенциальных разрушений, которые могут быть вызваны актами терроризма, природными и техногенными катастрофами, стихийными бедствиями и неблагоприятными природными явлениями и т.д.;
  • уменьшение уровня зависимости от монополизации программных, технических инструментов, расходных материалов и услуг;
  • осуществление на постоянной основе анализа возможных причин и последствий нарушения существующих принципов непрерывности и безопасности банковских и финансовых операций;
  • разработка и внедрение в действие планов действий на случай чрезвычайных обстоятельств для обеспечения уверенности в том, что существующие бизнес — процессы будут восстановлены в рамках определенного времени для надлежащего выполнения соответствующего функционала;
  • обеспечение наличия всех необходимых инструментов и методов для снижения рисков, ограничения последствий разрушительных воздействий и своевременного возобновления деятельности;
  • учет величины потенциального ущерба от реализации рисков нарушения информационной безопасности при планировании расходов на обеспечение информационной безопасности.

Единые правила — уже скоро

В 2019 г. Банк России утвердил положения 672-П и 683-П, которые регламентируют единые правила обеспечения информационной безопасности в банковских учреждениях на основе национального стандарта в области финансовых операций (ГОСТ Р 57580.1–2017 г). Данный стандарт представляет собой перечень из 343 процессов по обеспечению безопасности по 8 ключевым направлениям: защита при управлении доступом, защита вычислительных сетей, контроль целостности и защищеннности информационной инфраструктуры, защита от вредоносного кода, предотвращение утечек данных, управление инцидентами, защита сред виртуализации и безопасность при использовании мобильных устройств. Кроме того, документ включает 65 требований к организации и управлению защитой информации.

Предусмотрено три уровня защиты информации: минимальный, стандартный и усиленный. Для каждого из 408 пунктов ГОСТ (упоминавшиеся 343 процесса и 65 требований) указано, каким способом они должны быть обеспечены в зависимости от уровня ИБ: на стандартном уровне значительная часть процессов ИБ реализуется организационными мерами, при усиленном уровне выдвигаются более жесткие требования по внедрению технических решений (программных или программно-аппаратных), при этом на минимальном уровне выполнение части требований необязательно.

Примеры требований к банкам согласно национальному стандарту безопасности финансовых операций (ГОСТ Р 57580.1–2017)

Организационные меры: документирование положений и политик в области ИБ; разработка планов в области поддержания непрерывности бизнеса и его восстановления в случае нештатной ситуации; анализ соответствия применяемых мер защиты информации требованиям ГОСТ Р 57580.1-2017, 672-П и 683-П; тестирование на проникновение и анализ уязвимостей ИБ объектов информационной инфраструктуры; сертификация средств на отсутствие незадокументированных возможностей.

Технические меры: внедрение/модернизация средств защиты персональных данных, средств идентификации, аутентификации и авторизации клиентов, СКЗИ, SIEM, средств защиты информации при управлении доступом, средств защиты вычислительных сетей, средств контроля целостности и защищенности ИТ-инфраструктуры, средств защиты от вредоносного кода, DLP-систем, средств защиты виртуализации, средств защиты мобильного доступа, сертифицированных АРМ, инфраструктуры PKI.

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства,  является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584. Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

  • применением банкоматов и платежных терминалов;
  • применения пластиковых платежных карт;
  • использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
  • требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
  • что очень порадовало, расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
  • требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
  • процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
  • предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт; защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак); защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет).
  • требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
  • 29 новых показателей оценки.

Цена вопроса

Четвертый уровень соответствия ГОСТ, достичь которого планируется в 2023 г., потребует от крупных банков более существенных усилий, однако рост затрат не будет критичным. «Если сейчас в среднем доля ИБ-бюджета банка составляет 10-11% от всего ИТ-бюджета, то с учетом необходимости выполнения требований 672-П и 683-П и в связи с трендом цифровизации в ближайшие 2-3 года его доля может вырасти до 12–13%», — полагает Александр Рожков.

Однако для средних и небольших банков выполнение требований регулятора будет представлять собой более существенную нагрузку, поскольку, как говорит заместитель председателя правления ЦФТ Андрей Фомичев, они предполагают внедрение разнообразных ИБ-систем. «Все эти системы недешевы, а многим банкам придется их покупать и внедрять. Это — дополнительная финансовая нагрузка на банки в десятки миллионов рублей», — полагает он. По словам Андрея Фомичева, в прошлом году многие банки провели подготовительную работу, спланировали бюджет, а в начале этого года реализация проектов была поставлена на паузу на фоне пандемии коронавируса. «Между тем, подбор и внедрение недостающих в банках средств защиты информации может занять достаточно много времени — есть риск уже не успеть до конца этого года», — считает он.

Защита «по уровню»

Документ 683-П определяет требования к защите данных, используемых при осуществлении банковской деятельности. К 1 января 2021 г. системно значимые кредитные организации (список ежегодно утверждается ЦБ РФ, в настоящий момент включает 12 крупнейших коммерческих банков страны) должны обеспечить усиленный уровень защиты, остальные кредитные организации — стандартный уровень защиты. Кроме того, не реже одного раза в два года банки должны будут проходить аудит на соответствие требованиям нацстандарта.

До 1 января 2021 г. банки должны привести свои системы защиты информации в соответствие с национальным стандартом безопасности проведения финансовых операций, установленным Центробанком. Фото: ru.depositphotos.com

Для оценки исполнения нацстандарта была разработана специальная методика (ГОСТ Р 57580.2-2018), которая определяет шесть уровней соответствия: от нулевого (отсутствие каких-либо систем защиты) до пятого (исполнение требований по всем пунктам стандарта на постоянной основе с осуществлением надлежащего контроля).

На нулевом уровне соответствия организационные и технические меры процесса системы защиты информации не реализуются или реализуются в единичных случаях. Общих подходов к их реализации и контроля за реализацией нет.

На первом уровне организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общих подходов к реализации и контроля по-прежнему нет.

На втором уровне организационные и технические меры реализуются в значительном количестве на постоянной основе. Общие подходы реализации установлены в единичных случаях. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации практически не осуществляются.

На третьем уровне соответствия добавляется контроль и совершенствование реализации организационных и технических мер процесса системы защиты, хотя осуществляются они бессистемно и/или эпизодически.

На четвертом уровне соответствия организационные и технические меры реализуются в полном объеме на постоянной основе в соответствии с общими подходами, установленными в организации. В основном реализованы процессы контроля и совершенствование процесса защиты информации.

На пятом уровне соответствия добавляется постоянный контроль и необходимое своевременное совершенствование организационных и технических мер процесса системы ЗИ.

Согласно положению 683-П, с 1 января 2021 г. банки должны обеспечить защиту информации не ниже третьего уровня соответствия (то есть меры по защите данных осуществляются «в значительном объеме и на постоянной основе», таким образом, в отдельных случаях невыполнение предписаний допустимо). К 1 января 2023 г. требования ужесточаются и уровень соответствия должен быть не ниже четвертого (то есть требования нацстандарта должны быть выполнены в полном объеме).

Related posts:

  1. Эффективное финансирование оборотного капитала
  2. Основы разработки финансовой политики предприятия
  3. Сравнение программ для анализа финансового состояния предприятия
  4. Конституционно-правовой механизм экономической безопасности в России
  5. Источники финансирования: выбор для компании
  6. Роль бюджетной системы в экономической безопасности
0
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Единые правила определения объема и выдачи субсидий на иные цели
Финансовое обеспечение 0
Регулирование выдачи субсидий: единые правила
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!
Финансовое обеспечение 0
Финансовая система: опора экономической безопасности
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!
Финансовое обеспечение 0
РСЧС: единая система предупреждения и ликвидации ЧС
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!
Сущность, роль и место финансовой безопасности в системе экономической безопасности - угрозы, общая информация и роль финансов
Финансовое обеспечение 0
Финансовая безопасность и нац. экономика
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!
Основы использования финансов в общественном воспроизводстве
Финансовое обеспечение 0
Финансовая поддержка воспроизводства: ключевой элемент успешного бизнеса
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!
Возмещение средств из фсс | автономная некоммерческая организация дополнительного профессионального образования учебно-методический центр по охране труда
Финансовое обеспечение 0
Полезная информация: ключ к успеху
Лучший помощник в любых вопросах - ChatGPT. Последняя модель, на русском и в Телеграм!