Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 13. Обзор российского законодательства в области информационной безопасности финансовых организаций – продолжение

Руслан Рахметов, Security Vision

Во исполнение норм по защите информации, указанных в 161-ФЗ и рассмотренных нами ранее, было разработано Положение Банка России № 382-П от 09.06.2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим этот документ подробно.

В соответствии с 382-П, субъектами регулирования и контроля со стороны Банка России являются операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры. Объектами защиты являются следующие категории обрабатываемой информации:

• информация об остатках денежных средств на банковских счетах;
• информация об остатках электронных денежных средств;
• информация о совершенных переводах денежных средств;
• информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
• информация о платежных клиринговых позициях;
• клиентская информация и данные держателей платежных карт;
• ключевая информация средств криптографической защиты информации (СКЗИ);
• информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
• информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.

Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:

• назначение и распределение прав доступа сотрудников финансовых организаций;
• защита информации на всех стадиях жизненного цикла объектов информационной инфраструктуры (создание, эксплуатация, модернизация, вывод из эксплуатации);
• защита информации при доступе к объектам информационной инфраструктуры, в т.ч. от несанкционированного доступа (НСД);
• защита от вредоносного кода;
• защита информации при переводе денежных средств через Интернет;
• защита информации при использовании банкоматов и платежных терминалов;
• защита информации при использовании платежных карт;
• зашита информации с помощью СКЗИ;
• защита технологии обработки информации при переводе денежных средств;
• создание службы информационной безопасности, в том числе в филиалах;
• проведение занятий по повышению осведомленности в области ИБ работников финансовых организаций;
• разработка и реализация организационных мер обеспечения защиты информации (ЗИ);
• оценка выполнения требований по ЗИ;
• выполнение оператором платежной системы требований по ЗИ, продиктованных ему оператором по переводу денежных средств или оператором услуг платежной инфраструктуры;
• совершенствование системы ЗИ при переводе денежных средств;
• выявление, анализ причин возникновения и реагирование на инциденты ИБ, связанные с нарушениями требований к обеспечению ЗИ при переводе денежных средств.

При этом к таким инцидентам следует относить события, которые могут привести к осуществлению несанкционированных переводов денежных средств или неоказанию услуг по переводу денежных средств. Такие события могут быть включены в перечень типов инцидентов, согласованный с ФСБ РФ и публикуемый на сайте ЦБ РФ. На текущий момент данная информация не опубликована, но можно руководствоваться типами инцидентов, перечисленными в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности», а также в «Руководстве участника по работе с автоматизированной системой обработки инцидентов (АСОИ) ФинЦЕРТ Банка России» (далее типы инцидентов приведены с их идентификаторами, использующимися в обоих документах):

• Использование вредоносного программного обеспечения [malware];
• Использование методов социальной инженерии [socialEngineering];
• Изменения IMSI на SIM-карте, смена IMEI телефона [sim];
• Использование фишинговых ресурсов [phishingAttacks];
• Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
• Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
• Изменение маршрутно-адресной информации [trafficHijackAttacks];
• Использование вредоносного программного обеспечения [malware];
• Реализация атаки типа «отказ в обслуживании» [ddosAttacks];
• Реализация несанкционированного доступа к банкоматам и платежным терминалам [atmAttacks];
• Эксплуатация уязвимостей информационной инфраструктуры [vulnerabilities];
• Компроментация аутентификационных/учетных данных [bruteForces];
• Реализация спам рассылки [spams];
• Взаимодействие с центрами «бот-нет» сетей [controlCenters];
• Использование фишинговых ресурсов [phishingAttacks];
• Размещение запрещенного контента в сети «Интернет» [prohibitedContents];
• Размещение вредоносного ресурса в сети «Интернет» [maliciousResources];
• Выполнение изменение контента [changeContent];
• Выполнение сканирования портов [scanPorts];
• Иная компьютерная атака [other].

В тексте 382-П приводится детализация указанных выше требований по защите информации при переводе денежных средств. Следует отметить такие нормы, как идентификация, аутентификация и авторизация работающих с информационной инфраструктурой лиц и регистрация действий сотрудников и клиентов (при этом определен объем регистрируемой информации и пятилетний срок её хранения), реализация принципов минимизации полномочий (предоставление лишь минимально необходимых прав доступа для выполнения служебных обязанностей) и двойного контроля (запрет на выполнение критичных действий одним работником), вовлечение сотрудников службы информационной безопасности при создании или модернизации объектов информационной инфраструктуры. Кроме того, для переводов денежных средств, начиная с 01.01.2020 г., должно использоваться прикладное ПО, сертифицированное ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошедшее процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Отметим, что оценочные уровни доверия (ОУД) стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 не следует путать с уровнями доверия (УД) СЗИ, определяемыми в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г. (мы говорили об этом документе ранее).

В документе также присутствует требование о проведении ежегодного тестирования на проникновение (пен-теста) и анализа уязвимостей объектов ИТ инфраструктуры, для чего следует привлекать стороннюю организацию - лицензиата ФСТЭК России.

В 382-П отдельные пункты посвящены принципам защиты систем Интернет-банкинга, в том числе мобильным: публикация пользовательских инструкций по их использованию, проверка отсутствия ВПО и контроль целостности, использование одноразовых кодов подтверждения доступа, размещение в надежных репозиториях, поиск уязвимостей и своевременное обновление. Отдельно указан метод борьбы с атаками типа «подмена SIM-карты» (англ. SIM swapping): в случае замены SIM-карты или смены номера телефона клиентом финансовой организации рекомендуется приостанавливать пересылку чувствительной информации по данному абонентскому номеру.

Также в Положении отдельно подчеркивается, что в случае защиты ПДн с помощью СКЗИ финансовая организация должна выполнять требования Приказа ФСБ РФ №378 от 10.07.2014 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».