SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор Положения Банка России от 23 декабря 2020 г. №747-П

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
20.04.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     


Руслан Рахметов, Security Vision


Положение Банка России от 23 декабря 2020 г. №747-П «О требованиях к защите информации в платежной системе Банка России» было официально опубликовано 15 февраля 2021 года. Однако, это не полностью новое положение, а по сути, развитие (расширение) положения Банка России 672-П (с таким же названием, опубликованным 26 марта 2019 года и уже утратившим силу). Выпуск нового 747-П потребовался, в том числе, из-за из расширения перечня сущностей участников национальной платежной системы в рамках Федерального закона от 27.06.2011 №161-ФЗ «О национальной платежной системе» (например, введенными Федеральным законом от 02.08.2019 № 264-ФЗ) и развития Системы быстрых платежей (СБП) Банка России, как неотъемлемой части платежной системы Банка России.



747p.jpg


Основные новшества связаны с требованиями:

  • к посредникам в СБП – ОУИО СБП, к так называемым операторам услуг информационного обмена или, иначе, процессорам третьей стороны (ТРР - Third Party Processor). Оператор услуг информационного обмена (в терминах 161-ФЗ) – это организация, оказывающая операторам по переводу денежных средств (ОПДС) на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг (далее - услуги информационного обмена).

  • к реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента в рамках СБП, в основном с помощью так называемых индикаторов уровня риска операции (по сути, антифрод в СБП).


Разберем содержание и суть основных новых требований.

Требования к ОУИО СБП

До выделения сущности ОУИО СБП и требований по защите информации в рамках СБП, они, собственно, все равно выполняли требования по защите информации, которые транслировались им через договор с ОПДС (участника СБП). Контроль этих требований, соответственно, полностью лежал на ОПДС. Понятно, что качество реализации и контроля требований сильно разнились в зависимости от участников договорных отношений и тщательности проработки условий договора. Если же ОУИО СБП плохо выполняло или вообще игнорировало требования по защите информации, то вся ответственность ОУИО СБП лежала в плоскости оформленных договорных отношений с ОПДС.


ОУИО СБП и их место в СБП.JPG

Рисунок «ОУИО СБП и место в СБП»


С внесением изменений в 161-ФЗ и выпуском 747-П требования по защите информации к ОУИО СБП явным образом зафиксированы в нормативных актах Банка России. В частности, основные изменения, в порядке объема изменений и новшества для ОУИО СБП:

  • Пункт 12 747-П, применение с 01.01.2022 в ОУИО СБП аппаратных модулей безопасности (HSM - Hardware Security Module), имеющих подтверждение соответствия требованиям, установленным ФСБ. При этом ключи должны формироваться и сертифицироваться самим клиентом ОУИО СБП – участником СБП. По сути, данное требование значительно минимизирует риски того, что из-за инцидента в ОУИО СБП может быть использована (похищена и/или использована в скомпрометированной инфраструктуре) ключевая информация множества клиентов ОУИО СБП – участников СБП в целях проведения несанкционированных переводов. За счет использования HSM и самостоятельных действий клиентов ОУИО СБП отправить нелегитимное сообщение СБП возможно только при непосредственном использовании конкретного экземпляра HSM, а тут как раз риски минимизируются в том числе путем выполнения требований ГОСТ 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Также стоит обратить внимание на следующий текст: «ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений». Требования по использованию HSM применимы только к TPP, которые непосредственно формируют сообщения на прикладном уровне и не касаются тех TPP которые обеспечивают только инфраструктуру и каналы связи до ОПКЦ СБП (операционный центр, платежный клиринговый центр СБП).

  • Пункт 7.3 747-П, определение ОУИО СБП во внутренних документах состава и правил применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - информационные сообщения) на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений (при их наличии). Здесь перечислены технологические требования к защите информации на всех этапах жизненного цикла. Особенно интересно понятие «информационные сообщения». В технологии, применяемой в СБП, можно выделить платежный поток (непосредственно распоряжения) и информационный поток (как раз «информационные сообщения»). К последнему относится обмен в рамках получения информации о возможности перевода, о QR коде и его мета данных (в рамках C2B платежей), об имени, отчестве и букве фамилии получателя и прочие «подготовительные» процедуры.

  • Пункт 5 747-П, применение с 01.01.2022 мер защиты информации, реализующих стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Данное требование, по сути, транслирует аналогичные требования к ОПДС и будет обязывать ОУИО СБП реализовать на должном уровне защиту информации на уровне инфраструктуры. Автоматизировать реализацию и контроль соответствия ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 можно с применением Security Vision.


Типы ОУИО СБП

Рисунок «Типы ОУИО СБП»


Таким образом, для ОУИО СБП к 01.01.2022 предстоит провести определённых объем работ, которые наверняка (особенно в части применения HSM) приведут к изменению как внутренней инфраструктуры, так и технологии работы с СБП. При этом данные HSM должны будут работать «на встречу» криптографическим средствам защиты информации Банка России, применяемым в его ОПКЦ СБП.

Требования к антифроду в СБП

Основные новшества, посвященные антифроду в СБП, описаны в п.16 и п.17 Положения. Одним из механизмов, должных повысить эффективность противодействия осуществлению переводов денежных средств без согласия клиента в рамках СБП, является обмен информацией об участниках операции. Данная информация должна использоваться в антифроде участника СБП для принятия решения о проведении или отклонении операции с последующим взаимодействием с клиентом – отправителем денежных средств через СБП. С другой стороны, данная информация не должна содержать конкретных данных клиента (например, геолокацию, типовой размер перевода и т.д.) – это небезопасно, и сами ОПДС -участники СБП не стали бы делиться такой информацией.


Противоречие было разрешено путем введения риск-индикаторов, содержащих относительные значения определенных параметров участников перевода, субъективно заполняемых участником СБП. Данный механизм обмена оценками клиентов-участников перевода решает важную задачу «подтягивания» антифрода в небольших банках до уровня антифрод систем в крупнейших участниках СБП. Развитая антифрод система и большая статистическая/аналитическая база данных позволяет наиболее полно оценить риски совершения перевода и за счет предусмотренного в СБП механизма обмена передать данную оценку ОПДС второй стороны – участника перевода.


При этом каждую операцию оценивают как банки плательщика и получателя, так и сам ОПКЦ СБП, обладающий информацией по операциям во всей СБП, где основным идентификатором участников операции выступает номер телефона. При оценке операции участники СБП и ОПКЦ СБП также анализируют полученные риск-индикаторы. При этом за счет дополнительных полей в электронных сообщениях (ФИО, номера счетов и т.д.) ОПКЦ СБП может строить дополнительную аналитику и, например, сообщать банкам об обнаруженном ранее в других операциях фроде с конкретным номером телефона.


Риск-индикаторы отличаются для ОПКЦ СБП, банка получателя и банка отправителя и описаны в соответствующих стандартах ОПКЦ СБП. Для таких риск индикаторов в полях электронных сообщений выделили отдельные так называемые элементы бизнес данных (ЭБД). Например, риск индикатор банка отправителя (ЭБД {107}) содержит много параметров (классов оценки), связанных с устройством отправителя, его поведением, и оценка в рамках одного параметра (класса оценки) может принимать некоторое значение. Например, для оценки аномального поведения пользователя (могут оцениваться характер нажатий, скорость и т.д., некоторый поведенческий почерк клиента), параметр соответствующего класса оценки может принимать от 1 – типовое поведение клиента до 9 – совершенно нетиповое поведение.


Одной из особенностей использования риск-индикаторов является их субъективное заполнение участником СБП. Поэтому антифрод система банка должна поддерживать настройку чувствительности (через машинное обучение) к риск индикаторам, полученным от конкретного участника СБП. Если участник СБП будет постоянно заполнять высокий уровень риска (например, для конкретного класса оценки) для всех операций, то очевидно, что значимость такого параметра будет со временем сведена к нулю и не будет учитываться в оценке рисков для конкретного банка второго участника операции.


Формирование и оценка риск-индикаторов СБП

Рисунок «Формирование и оценка риск индикторов»


Также в 747-П в явном виде указаны требования по противодействию нашумевшим переборам в СБП по номеру телефона. Такие переборы позволяют злоумышленникам выяснить по номеру телефона, в каких банках у потенциальной жертвы открыты счета, а также узнать ее имя, отчество и первую букву фамилии, с дальнейшим применением данной информации в мошенничествах с использованием социальной инженерии.


Правила обнаружения таких переборов участники СБП и ОПКЦ СБП настраивают самостоятельно, и получается ступенчатая система обнаружения - сначала в банке отправителя, затем в ОПКЦ СБП. В случае обнаружения таких переборов, номер телефона отправителя блокируется для операций СБП, где он применяется в качестве идентификатора отправителя. В 747-П прописана процедура реагирования на такие инциденты как банков, так и ОПКЦ СБП.


Важную роль занимает и обмен информацией о таких клиентах, собирающих информацию о пользователях СБП - в случае блокировки идентификатора отправителя данная информация передается через ФинЦЕРТ Банка России участникам СБП в целях проведения настроек своих антифрод систем. При этом, если ОУИО СБП оказывает ОПДС услуги по формированию сообщений, он должен реализовать вышеуказанные требования и, по сути, реализовать собственную антифрод систему.


Таким образом, Положение 747-П является развитием Положения 672-П и содержит требования, для реализации которых нужна определенная доработка автоматизированных систем и процессов ОПДС и ОУИО СБП. Требования же к участникам обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода (это требования к объектам информационной инфраструктуры банков, непосредственно участвующим в обмене электронными сообщениями с Банком России, через ПК АРМ КБР-Н) остались без изменения.

ГОСТ 57580 Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ Практика ИБ Финансы в ИБ

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Принципы информационной безопасности
Принципы информационной безопасности

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Принципы информационной безопасности
Принципы информационной безопасности

Похожие статьи

Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Как устроены вредоносные программы
Как устроены вредоносные программы
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом
Интернет вещей и его применение
Интернет вещей и его применение
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель угроз ФСТЭК
Модель угроз ФСТЭК

Похожие статьи

Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Как устроены вредоносные программы
Как устроены вредоносные программы
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом
Интернет вещей и его применение
Интернет вещей и его применение
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Модель угроз ФСТЭК
Модель угроз ФСТЭК