| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Во исполнение норм по защите информации, указанных в 161-ФЗ и рассмотренных нами ранее, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим этот документ подробно.
В соответствии с 382-П, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:
- информация об остатках денежных средств на банковских счетах;
- информация об остатках электронных денежных средств;
- информация о совершенных переводах денежных средств;
- информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
- информация о платежных клиринговых позициях;
- клиентская информация и данные держателей платежных карт;
- ключевая информация средств криптографической защиты информации (СКЗИ);
- информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
- информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.
Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:
- назначение и распределение прав доступа сотрудников финансовых организаций;
- защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
- защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
- защита от вредоносного кода;
- защита информации при переводе денежных средств через Интернет;
- защита информации при использовании банкоматов и платежных терминалов;
- защита информации при использовании платежных карт;
- зашита информации с помощью СКЗИ;
- защита технологии обработки информации при переводе денежных средств;
- создание службы информационной безопасности, в том числе в филиалах;
- проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
- разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
- оценка выполнения требований по ЗИ;
- выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
- совершенствование системы ЗИ при переводе денежных средств;
- выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.
При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций.
Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):
- Использование вредоносного программного обеспечения [malware];
- Использование методов социальной инженерии [socialEngineering];
- Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
- Использование фишинговых ресурсов [phishingAttacks];
- Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
- Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
- Изменение маршрутно-адресной информации [trafficHijackAttacks];
- Использование вредоносного программного обеспечения [malware];
- Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
- Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
- Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
- Компроментация аутентификационных/учетных данных [bruteForces];
- Реализация спам рассылки [spams];
- Взаимодействие с центрами «бот-нет» сетей [controlCenters];
- Использование фишинговых ресурсов [phishingAttacks];
- Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
- Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
- Выполнение изменение контента [changeContent];
- Выполнение сканирования портов [scanPorts];
- Иная компьютерная атака [other].
В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств, начиная с 01.01.2020 г., должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).
В документе также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию - лицензиата ФСТЭК России.
В 382-П отдельные пункты посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикация пользовательских инструкций по их использованию, проверка отсутствия ВПО и контроль целостности, использование одноразовых кодов подтверждения доступа, размещение в надежных репозиториях, поиск уязвимостей и своевременное обновление. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.
Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ №378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».