21 мая, 2018, BIS Journal №2(29)/2018

Точки отсчета


Скобелкин Дмитрий

заместитель Председателя (Банк России)

Актуальные вопросы обеспечения информационной безопасности и приоритетные меры по противодействию информационным угрозам в кредитно-финансовой сфере

В программном выступлении заместителя председателя Банка России Дмитрия Скобелкина на Х Уральском форуме обозначены стратегический вектор Банка России и основные направления развития информационной безопасности в кредино-финансовой сфере в 2018 году. Предлагаем вашему вниманию стенограмму выступления в сокращенном виде.

ГОСУДАРСТВЕННЫЙ ВЕКТОР

В настоящее время вопросам обеспечения информационной безопасности Российской Федерации, в том числе в кредитно-финансовой сфере, уделяется большое внимание со стороны высшего руководства страны (Рис. 1).

Рис. 1

В соответствии с поручением Президента Российской Федерации от 5 декабря 2016 г. № Пр-2346, распоряжением Правительства Российской Федерации от 28 июля 2017 г. № 1632-р утверждена программа «Цифровая экономика Российской Федерации», предусматривающая обеспечение правовых условий, для внедрения и использования инновационных технологий на финансовом рынке, включая совершенствование механизмов предоставления финансовых услуг и обеспечения информационной безопасности.

Одним из направлений программы определена нейтрализация рисков, связанных с киберустойчивостью финансовых организаций.

Обеспечение информационной безопасности финансовых организаций является одним из важных направлений работы Банка России по киберустойчивости.

В Доктрине информационной безопасности Российской Федерации и Стратегии развития информационного общества в Российской Федерации на 2017–2030 гг. отмечается, что в настоящее время информационные технологии приобрели глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества.

Информационная сфера играет важную роль в обеспечении реализации стратегических национальных приоритетов Российской Федерации.

Кроме того, возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличивается число преступлений. При этом методы, способы и средства совершения таких преступлений становятся все изощреннее.

Основными задачами применения информационных и коммуникационных технологий для развития социальной сферы, системы государственного управления, взаимодействия граждан и государства являются совершенствование механизмов предоставления финансовых услуг в электронной форме и обеспечение их информационной безопасности.

Указанные факторы показывают, что обеспечение информационной безопасности и противодействие компьютерным атакам на финансовом рынке, в том числе при внедрении и использовании цифровые технологий, являются важной задачей государственного уровня.

В процессе реализации национальных интересов в области цифровой экономики предполагается обеспечить с использованием российской национальной платежной системы и элементов информационной инфраструктуры РФ безопасность финансовых операций, а также прозрачность трансграничных платежей (идентификация плательщика, получателя, назначение платежа).

При этом Доктрина информационной безопасности РФ определяет Банк России в качестве органа, входящего в организационную основу системы обеспечения информационной безопасности Российской Федерации, а организации банковских и иных сфер финансового рынка определяются в качестве участников данной системы.

Одним из значимых событий в 2017 г.  в области совершенствования системы информационной безопасности стало вступление в силу Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В соответствии с требованиями указанного федерального закона все информационные и автоматизированные системы, функционирующие в банковской сфере и иных сферах финансового рынка, относятся к объектам критической информационной инфраструктуры, что напрямую затрагивает все организации кредитно-финансовой сферы. При этом, отдельные организации, являющиеся системно значимыми кредитными организациями, операторами услуг платежной инфраструктуры системно и/или социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, будут отнесены к значимым объектам критической информационной инфраструктуры Российской Федерации. Показатели критериев значимости для организаций кредитно-финансовой сферы будут установлены соответствующим постановлением Правительства Российской Федерации, в основе которых предполагается учитывать среднедневное количество операций, осуществляемых субъектом критической информационной инфраструктуры.

В соответствии с данными показателями к значимым объектам критической информационной инфраструктуры 3-й категории в кредитно-финансовой сфере могут быть отнесены информационные и автоматизированные системы Банка России, ПАО «Сбербанк», АО «Национальная система платежных карт», Московской биржи, а также других значимых кредитных и финансовых организаций.

СОЗДАНИЕ ЦЕНТРА КОМПЕТЕНЦИИ

Одним из основных направлений работы Банка России в рамках этого федерального закона является содействие предоставлению данных в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), которая, среди прочего, предусматривает организацию информационного обмена о компьютерных инцидентах между Национальным координационным центром по компьютерным инцидентам и субъектами критической информационной инфраструктуры РФ. По мнению Банка России, указанный обмен целесообразно осуществлять через отраслевой центр ГосСОПКА, функции которого предполагается возложить на Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ).

В этих целях Банком России планируется работа по  следующим направлениям:

1. Создание Центра компетенции по обеспечению киберустойчивости организаций кредитно-финансовой сферы, основными задачами которыми будут являться:

- определение потребностей рынка в совершенстовании вопросов киберустойчивости;

- организация и осуществление информационного обмена о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении финансовых операций по определенной технологии и в установленных форматах электронных сообщений;

- нормативное регулирование вопросов киберустойчивости финансовых организаций;

- ведение базы данных о выявленных инцидентах, связанных с нарушением киберустойчивости финансовых организаций;

- организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения информационной безопасности и повышение их готовности к противостоянию информационным угрозам.

ИНФОРМАЦИОННЫЙ ОБМЕН

Основной задачей Центра компетенции по обеспечению киберустойчивости организаций кредитно-финансовой сферы в 2018 году будет развитие информационного обмена с финансовыми организациями об инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств. С этой целью Банком России проводится следующая работа:

Рис. 2

- по состоянию на 1 февраля 2018 года в информационном обмене с ФинЦЕРТ Банка России на добровольной основе участвует 419 кредитных организаций, 17 набанковских кредитных организаций и 128 некредитных финансовых организаций. Тут ярким примером служит отражение атак преступной группировки «Кобальт» (Рис.2).

- с 1 июля 2018 года изменениями в Положение Банка России от 9 июня 2012 г. № 382-П устанавливаются обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по осуществлению информирования Банка России по установленной форме о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;

- разработан проект стандарта Банка России «Обеспечение информационной безопасности финансовых организаций Российской Федерации. Технология подготовки, направления и форматы электронных сообщений для информирования Банка России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», на базе которого в 2019 г. будет разработан и введен в действие национальный стандарт Российской Федерации;

- на базе ФинЦЕРТ Банка России, как отраслевого центра ГосСОПКА, создается автоматизированная система противодействия хищениям денежных средств на финансовом рынке, с использованием которой планируется осуществлять информационное взаимодействие с Национальным координационным центром по компьютерным инцидентам.

Банк России полагает, что в процессе общественных обсуждений будут выработаны соответствующие подходы по реализации планируемого информационного обмена.

НОРМАТИВНАЯ ПРАВОВАЯ ДЕЯТЕЛЬНОСТЬ

2. Одним из важных направлений работы Банка России по повышению уровня киберустойчивости финансовых организаций, является деятельность по совершенствованию законодательства РФ и развитию методологии обеспечения информационной безопасности финансового рынка РФ.

В этих целях Банком России подготовлены предложения по внесению изменений в действующее законодательство (Рис. 3):

- направленных на противодействие хищениям денежных средств (соответствующий законопроект рассмотрен Государственной Думой в первом чтении);

- предусматривающих ограничение по требованию Банка России доступа к сайтам в информационно-телекоммуникационной сети «Интернет», используемым с нарушениями законодательства РФ, регулирующего отношения на финансовом рынке, в том числе для совершения мошеннических действий на финансовом рынке;

- направленных на противодействие мошенничеству в сфере дистанционного банковского обслуживания и расширение способов удаленной идентификации при оказании финансовых и иных услуг.

Рис. 3

Большое внимание Банком России уделяется формированию и совершенствованию комплекса отраслевых документов, устанавливающих требования по обеспечению информационной безопасности и управлению киберрисками, а также состав и содержание технологических, технических и организационных мер, реализующих такие требования.

В дополнение к введенному в действие с 1 января 2018 г. национального стандарта, устанавливающего базовый состав организационных и технических мер защиты информации финансовых организаций Банком России разработан и с 1 июля 2019 года планируется к вводу в действие национальный стандарт, определяющий методику оценки соответствия защиты информации финансовых организаций.

В 2018 году Банком России в рамках Подкомитета №1 «Безопасность финансовых (банковских) операций» Технического комитета по стандартизации «Стандарты финансовых операций» №122 планируется разработка проектов национальных стандартов, определяющих:

- общие подходы к обеспечению информационной безопасности и управлению рисками реализации информационных угроз;

- требования и меры к организации управления инцидентами информационной безопасности.

Кроме того, в 2018 году планируется ввести в действие  стандарт Банка России, «определяющий технические форматы электронных сообщений для информирования Банка России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», на базе которого в 2019 году будет разработан и введен в действие национальный стандарт, определяющий требования к организации взаимодействия с ФинЦЕРТ Банка России.

Банком России предполагается, что указанные стандарты будут использоваться как основные документы, регламентирующие технические вопросы защиты информации в организациях кредитно-финансовой сферы и методику их оценки. Обязанность применения стандартов планируется обеспечивать путем установления на них нормативных ссылок в нормативных актах Банка России, регулирующих деятельность разных категорий организаций кредитно-финансовой сферы.

В СФЕРЕ ОБРАЗОВАНИЯ

3. Одним из приоритетных направлений работы Банка России в целях повышения киберустойчивости финансовых организаций является совершенствование системы профессиональной подготовки специалистов в области обеспечения информационной безопасности в организациях кредитно-финансовой сферы.

В настоящее время высшие учебные заведения, по информации Банка России, не готовят специалистов со специализацией по данному направлению, а проводят обучение в рамках повышения квалификации объемом не более 72 учебных часов, что в современных условия явно недостаточно.

В качестве первоочередных направлений по подготовке и аттестации специалистов и руководителей подразделений информационной безопасности (кибербезопаности) планируется реализовать в рамках переподготовки лиц с высшим образованием по следующим направлениям:

- переподготовка специалистов (от 500 учебных часов) – лиц с высшим образованием для цели формирования компетенций, позволяющих полноценно участвовать в процессах обеспечения информационной безопасности и управления киберрисками наравне со специалистами и магистрами, получившими высшее профильное образование в области информационной безопасности в финансовых организациях;

- переподготовка руководителей подразделений информационной безопасности финансовых организаций (от 500 учебных часов) – лиц с профильным высшим образованием или прошедших переподготовку по направлению «специалист информационной безопасности в финансовых организациях» для цели формирования компетенции, позволяющей организовать работу подразделений информационной безопасности финансовых организаций.

Дополнительно планируется разработать методики и программы тестирования специалистов и руководителей подразделений информационной безопасности (Рис. 4).

Рис. 4

Кроме того, Банком России планируется начать разработку профессионального стандарта «Специалист по кибербезопасности» (совместно с Советом по профессиональным квалификациям финансового рынка).

4. Неотъемлимой частью работы по обеспечению киберустойчивости финансовых организаций является контрольно-надзорная деятельность по оперативной и объективной оценке состояния информационной безопасности финансовых организаций.

При этом особое внимание Банк России уделяет вопросам повышения достоверности данных, получаемых в результате контроля вопросов информационной безопасности финансовых организаций. В этих целях планируется:

- создание системы оценки соответствия информационной безопасности финансовых организаций требованиям национальных стандартов путем проведения внешнего аудита;

- устанавить обязанности участников национальной платежной системы по использованию для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в соответствии с законодательством РФ на отсутствие уязвимостей или в отношении которого проведен анализ уязвимостей;

- развитие вопросов регулирования операционных рисков в части киберрисков финансового рынка в целом на основе метрик (показателей), характеризующих управление киберрисками, а также совершенствование нормативных актов Банка России в части резервирования капитала для обработки операционных рисков.

Для оптимизации и повышения достоверности отчетности, предоставляемой по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», Банком России подготовлены изменения в Указание Банка России от 9 июня 2012 г. № 2831-У, целью которых являются:

- исключение из отчетности вопросов технической реализации инцидентов защиты информации и реализации сбора информации о технических способах реализации инцидентов защиты информации по каналам взаимодействия, организованным ФинЦерт;

- установление в новой форме отчетности только экономических показателей;

- повышения достоверности предоставляемой отчетности, в том числе путем анализа изменений по счетам бухгалтерского учета.

 

Все указанные направления планируются к детальному обсуждению профессиональной общественностью. Всестороннее обсуждение будет традиционно способствовать определению оптимальных решений, которые в перспективе позволят преодолеть негативные явления, вызванные деятельностью киберпреступников.