SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Рассмотрев в предыдущей публикации основные нормы Положения 382-П, перейдем к обзору требований этого документа к отчетности и реагированию на инциденты ИБ.


В 382-П отдельный пункт (п.2.13) посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:


·  выявлять и регистрировать инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, с применением организационных и технических средств;

·  информировать выделенное подразделение ИБ в случае выявления инцидентов ЗИ;

·  осуществлять реагирование на выявленные инциденты;

·  анализировать причины возникновения выявленных инцидентов и проводить оценку результатов реагирования на них.


Более того, Указанием ЦБ РФ №4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.


Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30 рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.


Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее - д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2 часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.


Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания №4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.


Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.


Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present - операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% - методы социнженерии и нарушение правил работы владельцами.


Следует отметить, что 382-П в настоящее время действует совместно с новым Положением Банка России № 683-П от 21.05.2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», о котором мы поговорим в следующей публикации.


Стандарты, ГОСТы и документы ИБ Финцерт Подкасты ИБ ИБ в финансовых организациях

Похожие статьи

DMA-атака и защита от нее
DMA-атака и защита от нее
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и его применение
Интернет вещей и его применение
Разработка без кода
Разработка без кода
XSS, Межсайтовый скриптинг (Cross-Site Scripting)
XSS, Межсайтовый скриптинг (Cross-Site Scripting)

Похожие статьи

DMA-атака и защита от нее
DMA-атака и защита от нее
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
CVE (Common Vulnerabilities and Exposures) — база данных уязвимостей информационной безопасности
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и его применение
Интернет вещей и его применение
Разработка без кода
Разработка без кода
XSS, Межсайтовый скриптинг (Cross-Site Scripting)
XSS, Межсайтовый скриптинг (Cross-Site Scripting)