23 января, 2019, BIS Journal №4(31)/2018

ФинЦЕРТ и банки: обмен стал проще


Калашников Артем

руководитель ФинЦЕРТ (Банк России)

Что изменилось в процедуре обмена информацией о киберинцидентах между банками и ФинЦЕРТ после 26 сентября?

Федеральный закон от 27 июня 2018 года № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», Федеральный закон от 26 июля 2017 года №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и новая редакция Положения Банка России № 382-П от 9 июня 2012 года стали важными вехами развития нормативно-правовой базы информационной безопасности финансовой сферы.

УСТРАНЕНИЕ ПРОБЕЛОВ

Три года назад серьёзный всплеск хищений денежных средств со счетов физических и юридических лиц выявил ряд пробелов в сфере безопасности электронных платежей. Оказалось, что у банков нет ни четкого понимания, с чем и с кем им нужно бороться, ни юридического инструментария для такой борьбы. Сотрудники некоторых банков договаривались между собой об обмене данными об участниках схем хищений денежных средств («дропперах»), однако формально это было вне правового поля. Более того – участникам такого обмена могли угрожать санкции за разглашение конфиденциальной информации. Но даже если банки шли на такой риск и благодаря полученной от коллег информации обнаруживали сомнительные транзакции - правовые основы определения, приостановки и возврата таких платежей также отсутствовали.

Эту проблему решило принятие трех взаимодополняющих правовых документов, которые не только создали нормативную основу для легализации обмена данными об инцидентах в электронных платёжных системах, но и установили прямую обязанность кредитных организаций предоставлять такие данные в Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере ЦБ РФ (ФинЦЕРТ). Налаженный информационный обмен с ФинЦЕРТ, в свою очередь, создает основу для упрощения выполнения банками требований закона о безопасности критической информационной инфраструктуры (КИИ) РФ, который обязывает банки как субъекты КИИ предоставлять информацию об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Сейчас Банк России и ФСБ России разрабатывают нормативные документы, которые позволят ФинЦЕРТ выполнять функции ведомственного («отраслевого») центра ГОССОПКА в финансовой сфере, а участникам отрасли – избежать двойной отчётности в вопросах безопасности КИИ.

ЧТО ИМЕННО ИЗМЕНИЛОСЬ?

Первое и главное - поправки в закон «О национальной платежной системе», введенные 167-ФЗ, обязывают банки, платежные системы и операторов услуг платежной инфраструктуры информировать ЦБ обо всех случаях или попытках совершения несанкционированных переводов. Также новый закон легализует и формализует обмен сведениями об операциях, о счетах и вкладах, в отношении которых были зафиксированы случаи и (или) попытки осуществления переводов денежных средств без согласия клиента (в том числе с точки зрения нераспространения на него режима банковской тайны). Указанные данные кредитные организации должны предоставлять в Банк России, который, в свою очередь, будет проводить экспертизу полученных данных и в зависимости от ее результатов доводить информацию об угрозе до участников информационного обмена.

Второй блок нововведений касается предоставления в ЦБ технических данных, описывающих характеристики компьютерных атак, в формате, удобном для ГОССОПКА.

После принятия нового закона, в его развитие, Банком России будут изданы подзаконные нормативные акты, модернизирован стандарт обмена информацией с ФинЦЕРТом. Это откроет возможность работы в расширенном, более эффективном формате.

В 382-П ранее была уже установлена обязанность для ОПДС, ОПС, ОУПИ по выполнению требований к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагирования на них. Новая редакция Положения обязывает их также сообщать регулятору о намерении раскрыть информацию об инцидентах на своих официальных сайтах, в пресс-релизах или на пресс-конференциях как минимум за один рабочий день.

АСОИ

Чтобы упростить для банков процесс формирования и предоставления увеличившегося объема отчетности, ФинЦЕРТ запустил автоматизированную систему обработки инцидентов (АСОИ), в рамках которой будет создана общая база данных о данных счетов «дропперов» «Фид-Антифрод». В будущем пользоваться ею смогут остальные финансовые организации, для которых предоставление такой информации также будет становиться обязательным.

К АСОИ уже подключены все кредитные и многие некредитные организации (НКО, РНКО), имеющие лицензию, а также ряд иных организаций, являвшихся ранее участниками обмена информацией с ФинЦЕРТ.

Изменения в законодательстве, а также замена слабо защищенного канала взаимодействия (электронной почты) на сервис личных кабинетов АСОИ ФинЦЕРТ, обладающий персонифицированным доступом и криптографической защитой канала связи, уже привели к существенному увеличению (более чем в два раза) потока сообщений о событиях и инцидентах, получаемому ФинЦЕРТ.

Из чего состоит АСОИ? АСОИ ФинЦЕРТ 1-ой очереди состоит из информационного портала, сервиса личных кабинетов, специализированных технологических подсистем и защищенной инфраструктуры, что позволяет реализовать процессы:

-      получения данных от Участника (информации об инцидентах в организации и её клиентах, выявленных уязвимостях, угрозах, данных о раскрытии информации, запросах);

-      передачи информации участнику и его оперативному информированию об актуальных угрозах ИБ в КФС (в том числе путем направления соответствующих бюллетеней);

-      оперативного взаимодействия между участником и ФинЦЕРТ по соответствующим инцидентам и запросам;

-      мониторинга атак на организации КФС;

-      поддержки взаимодействия ФинЦЕРТ с регистраторами и хостерами по инициации разделегирования/блокировки мошеннических и вредоносных ресурсов.

АСОИ ФинЦЕРТ поддерживает получение информации как в унаследованном формате (файлы формата xlsx (формыINT, EXT и PUB) для передачи данных участников информационного обмена, содержащие информацию об инцидентах[1]), так и в современном формате (файлы формата json).

Прием информации от УИО в АСОИ ФинЦЕРТ может быть осуществлен следующими путями:

-        заполнения интерактивных форм в личном кабинете;

-        передачи информации в виде json-файлов, оформленных в соответствии с проектом стандарта «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации»[2] в личном кабинете (автоматизированный пакетный режим) или по e-mail (резервный канал);

-        передачи информации в xlsx-файлах, соответствующих формам INT, EXT и PUB[3] в личном кабинете (автоматизированный пакетный режим) или по e-mail (резервный канал).

В целях выполнения норм Федерального закона от 27.06.2018 № 167-ФЗ (в части создания базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента и обеспечения возможности получения кредитными организациями данных из этой базы), на инфраструктурно-технологической платформе АСОИ ФинЦЕРТ Банком России создается АС «Фид-АнтиФрод». Прототип данной системы введен в эксплуатацию 27.09.2018 и реализует ряд базовых функций, обеспечивающих получение необходимой информации, взаимодействие с участниками информационного обмена по получению необходимой информации и формирование базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

[1] Порядок заполнения информации об инцидентах приведен во Временном регламенте передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (http://cbr.ru/StaticHtml/File/14408/inforegl_23.pdf ) Формы INT, EXT и PUB опубликованы на сайте Банка России в разделе ФинЦЕРТ https://cbr.ru/fincert/, данные формы являются унаследованными и после перехода на стандарт «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации» они будут отменены.

[2] По состоянию на октябрь 2018 проект стандарта завершает процедуру его оформления.

[3] Порядок заполнения информации об инцидентах приведен во Временном регламенте передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (http://cbr.ru/StaticHtml/File/14408/inforegl_23.pdf). Формы INT, EXT и PUB опубликованы на сайте Банка России в разделе ФинЦЕРТ (https://cbr.ru/fincert/), данные формы являются унаследованными и после перехода на стандарт «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации» они будут отменены.

 

 

 

Смотрите также

Подпишись на новости!
Подписаться