Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 14. Обзор российского законодательства в области информационной безопасности финансовых организаций - продолжение


 

Руслан Рахметов, Security Vision

Рассмотрев в предыдущей публикации основные нормы Положения 382-П, перейдем к обзору требований этого документа к отчетности и реагированию на инциденты ИБ.

В 382-П отдельный пункт (п.2.13) посвящен требованиям по выявлению и реагированию на инциденты защиты информации при осуществлении переводов денежных средств. В частности, указано, что оператор платежной системы определяет порядок взаимодействия и обмена информацией об инцидентах ИБ с операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, а также ведет учет и предоставляет доступ к информации о выявленных инцидентах и методиках анализа и реагирования на них. Кроме того, финансовым организациям, за исключением операторов платежных систем, предписано:

·       выявлять и регистрировать инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, с применением организационных и технических средств;

·       информировать выделенное подразделение ИБ в случае выявления инцидентов ЗИ;

·       осуществлять реагирование на выявленные инциденты;

·       анализировать причины возникновения выявленных инцидентов и проводить оценку результатов реагирования на них.

Более того, Указанием ЦБ РФ №4793-У от 07.05.2018 г. для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры введена обязанность по информированию Банка России о выявленных инцидентах защиты информации и о планируемом публичном раскрытии деталей инцидентов; при этом форма и срок предоставления информации согласуются с ФСБ РФ.

Немаловажным требованием к операторам по переводу денежных средств, операторам платежной системы и операторам услуг платежной инфраструктуры является обязательное проведение оценки соответствия, т.е. анализа полноты выполнения требований к обеспечению защиты информации. Такая оценка проводится не реже одного раза в два года с привлечением компаний-лицензиатов ФСТЭК России на основе информации о реализованных организационных и технических мерах ЗИ и анализа их соответствия положениям 382-П, а также по результатам мониторинга выполнения порядка обеспечения ЗИ при осуществлении переводов денежных средств. По результатам оценки соответствия указанные операторы в течение 30 рабочих дней должны сдать отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств», согласно указанию ЦБ РФ № 2831-У (в редакции Указания № 3024-У). Таким образом, ЦБ РФ получает от операторов количественную оценку выполнения ими организационных и технических требований по ЗИ. Отчетность от операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в целях анализа полноты применяемых защитных мер должны получать и сами операторы платежной системы, при этом они устанавливают требования к содержанию, форме и периодичности таких отчетов.

Еще одним видом отчетности операторов перед Банком России является предоставление сведений по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», установленной Указанием Банка России № 2831-У от 09.06.2012 г. «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» в редакции Указания Банка России № 4753-У от 30.03.2018 г. Нормы периодичности предоставления данной формы отчетности различаются в зависимости от категории оператора и объема переводимых денежных средств (далее - д/с). Данная форма отчетности должна содержать сведения о фактах несанкционированного использования электронных средств платежей клиентов, о переводах и снятии д/с и уменьшении остатка электронных д/с в результате НСД к объектам ИТ-инфраструктуры оператора (в т.ч. к банкоматам), о неоказании услуг по переводу д/с, о получении уведомлений от клиентов о фактах несанкционированного перевода д/с, а также о фактах несанкционированного списания с корреспондентских счетов участников платежной системы. Особые требования предъявляются к операторам по переводу д/с, являющимся кредитными организациями, признанными Банком России значимыми на рынке платежных услуг: отчитываться следует обо всех фактах неоказания услуг по переводу д/с в течение более 2 часов. Расчетный центр значимой платежной системы должен указывать в отчете сведения о событиях неоказания расчетных услуг на период более 1 операционного дня.

Форма отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленная Указанием Банка России № 4212-У от 24.11.2016 г. «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» в редакции Указания №4927-У, должна содержать сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции, с разбивкой по количеству и сумме несанкционированных операций на территории РФ и за рубежом, совершенных в организациях торговли/услуг, в пунктах выдачи наличных, посредством банкоматов, доступа через Интернет или с использованием смартфонов. Данную форму отчетности должны предоставлять кредитные организации и небанковские кредитные организации, имеющие право на осуществление переводов д/с без открытия банковских счетов.

Следует отметить, что до середины 2018 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.

Сведения из переданных операторами отчетов включаются в ежегодные официальные обзоры несанкционированных переводов д/с, выпускаемые ФинЦЕРТ Банка России, где в формате предоставления статистической информации показаны тренды нарушений ЗИ в банковской сфере. Например, отчет за 2018 год показывает неуклонный рост количества несанкционированных CNP-транзакций (CNP, Card Not Present - операция, осуществленная без предъявления платежной карты, только её реквизитов), а причинами совершения несанкционированных операций с использованием платежных карт физических лиц в 97% случаев являются применяемые злоумышленниками методы социальной инженерии и нарушение порядка использования карт владельцами, при этом причинами несанкционированных операций со счетов юридических лиц в 46% случаев является воздействие вредоносного кода и лишь в 39% - методы социнженерии и нарушение правил работы владельцами.

Следует отметить, что 382-П в настоящее время действует совместно с новым Положением Банка России № 683-П от 21.05.2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», о котором мы поговорим в следующей публикации.