25 июля, 2018, BIS Journal №3(30)/2018

Лучшие оказались готовы


Выборнов Андрей

начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБиЗИ (Банк России)

Политика обеспечения безопасности критической информационной инфраструктуры финансовой сферы

Финансовая сфера целиком подпала под действие Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ. В области его применения оказались все участники финансовой сферы: от крупнейших банков, бирж, страховых, инвестиционных компаний, брокеров, вплоть до микрофинансовых организаций, ломбардов и сельскохозяйственных кооперативов. Все до одного они являются субъектами КИИ – критической информационной инфраструктуры.

ЗНАЧИМОСТЬ ФИНАНСОВОЙ СФЕРЫ

Среди всех организаций финансовой сфере выделяются владельцы системно значимых объектов КИИ, определяемых согласно Постановлению Правительства РФ от 8 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Категории значимости определяются по-разному для различных сфер и отраслей. Одним из критериев значимости для финансовой сферы является ежедневный объём финансовых операций, транзакций, выполняемых организацией. При достижении указанного уровня система банка, или, как говорится в законе, объект КИИ, становится значимой. Среди более двадцати тысяч организаций финансовой сферы порядка десяти соответствуют критериям объекта КИИ: крупнейшие банки, НСПК, Московская биржа.

Для финансового сектора нет особой разницы источников информационных угроз, технические это сбои или результат злонамеренного воздействия ‑ внешней компьютерной атаки или действий инсайдера, внутреннего нарушителя. Международный и отечественный опыт свидетельствует, что в финансовом секторе намного более существенным фактором является время.

Во-первых, долговременность прерывания предоставления услуг ‑ не более двух часов. Во-вторых, завершение финансовых транзакций не позднее окончания операционного дня, без перехода на следующий рабочий день. Чтобы обязательства не оказывались незакрытыми, не возникал кредит овернайт.

Для Банка России и многих подведомственных организаций требования ФЗ-187 не оказались неожиданными, не упали как снег на голову. Банк России развивал комплекс отраслевых стандартов информационной безопасности с учётом нормативных документов других органов федеральной исполнительной власти, участвующих в регулировании отрасли.

Это своего рода единая методологическая база, вбирающая в себя статьи новых федеральных законов и подзаконных актов, каcающихся информационной безопасности финансовой сферы. Для подведомственных организаций, выполнявших положения обновляемых версий СТО БР ИББС, ФЗ-187 не принёс неприятных «сюрпризов».

ФИНЦЕРТ КАК ОТРАСЛЕВОЙ ЦЕНТР

Требования ФЗ-187 условно можно разделить на две группы, по двум уполномоченным в сфере КИИ государственным органам федеральной исполнительной власти – ФСТЭК России и ФСБ России. Первая – выполнение норм, которые устанавливает ФСТЭК России, ‑ по защите информации. Приказы, выпушенные на текущий момент, частично воспроизводят нормы, содержащиеся в более ранних документах. В том числе, касающиеся защиты персональных данных, ранее воспроизведённые в нашем отраслевом стандарте.

Более новым является взаимодействие с ГОССОПКА, относящееся ко второй группе требований ФЗ-187, по линии ФСБ России. Для реагирования на компьютерные атаки субъект КИИ должен взаимодействовать с ГОССОПКА. Эта деятельность очень похожа на ту, которую в финансовой сфере ведёт ФинЦЕРТ Банка России, взаимодействуя с кредитными организациями.

Работа, проведённая в этом направлении, в значительной мере подготовила кредитные организации к выполнению второй группы положений ФЗ-187. Именно кредитные организации – участники информационного взаимодействия с ФинЦЕРТ. Банк России совместно с ФСБ России разрабатывают нормативные документы, которые позволят ФинЦЕРТу выполнять функции ведомственного («отраслевого») центра ГОССОПКА в финансовой сфере. Получается трёхуровневая структура взаимодействия: организации финансовой сферы – ФинЦЕРТ Банка России – ГОССОПКА. Аналогичная работа для создания отраслевого центра ведётся и для телекоммуникационных компаний.

Текущая задача заключается в том, чтобы включить в это взаимодействие некредитные финансовые организации (биржи, страховые, инвестиционные компании, брокеров, саморегулируемые объединения микрофинансовых организаций и т.п.), которые являются субъектами КИИ. Это позволит участникам отрасли избежать двойной отчётности в вопросах безопасности КИИ. Процедуры взаимодействия для десятки крупнейших банков в настоящее время прорабатываются.

ОБНОВЛЕНИЕ ФОРМАТА ВЗАИМОДЕЙСТВИЯ

Банк России не является прямым государственным регулятором КИИ, но, конечно, там, где затрагивается финансовая сфера, осуществляет взаимодействие с ФСБ России и ФСТЭК России. Участвуя в аккумулировании предложений, в разработке подзаконных нормативных актов, в выстраивании информационного взаимодействия. Однако надзор и контроль выполнения ФЗ-187 организациями отрасли, принятие мер к тем, кто не исполняет, ‑ эти функции не входят в полномочия Банка России.

Банк России участвует в развитии федерального законодательства и в целом нормативно-правовой базы, связанной с обеспечением безопасности КИИ. 22 мая 2018 года Государственной Думой РФ во втором чтении был принят проект Федерального закона № 296412-7 «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».

Новый закон легализует приостановление банками и платёжными системами транзакций при выявлении признаков того, что они могут совершаться без согласия плательщика. Указанные признаки должны устанавливаться Банком России и размещаться на его официальном сайте в сети Интернет. За ненадлежащее исполнение банками новой обязанности, в частности речь идет о не приостановке платежей, отвечающим указанным критериям, банки будут нести ответственность.

После принятия нового закона, в его развитие, Банком России будут изданы подзаконные нормативные акты, модернизирован стандарт обмена информацией с ФинЦЕРТом. Такой пакет документов должен быть подготовлен в течении 90 дней с момента официального опубликования нового закона. Новый закон откроет возможность работы в расширенном, более эффективном формате.

Будут задействованы два набора автоматически действующих идентификаторов. Первый – показатели, которые идентифицируют схемы хищений и выведения похищенных денежных средств (номера банковских счетов, мобильных телефонов и др.). Второй блок – технические данные, описывающие характеристики компьютерных атак, в формате, удобном для ГОССОПКА.

Предполагается, что организациям финансовой сферы потребуется около двух лет, чтобы в полном объёме достигнуть соответствия ФЗ-187. «Обратная связь», реакции и отзывы, поступающие в Банк России от подведомственных организаций, говорят о том, что эта работа ведётся. Первоочередная мера для тех, кто ещё не успел, ‑ подключение к информационному обмену с ФинЦЕРТом. Прежде такое взаимодействие было «факультативным», вроде участия в «клубе антидропперов». После принятия ФЗ-187 и подзаконных нормативных актов информационный обмен с ГОССОПКА через ФинЦЕРТ Банка России превращается в прямую обязанность организаций финансовой сферы.