BIS Journal №4(35)/2019

24 декабря, 2019

Готовность номер один

Готова стартовать контрольно-надзорная деятельность за обеспечением безопасности биометрических данных клиентов банков

Полномочия Банка России как государственного регулятора информационной безопасности финансовой сферы в 2019 году были значительно расширены. Отраслевой регулятор, помимо прочих новых полномочий, готовится осуществлять надзор и контроль в финансовой сфере за сбором, обработкой, верификацией и дальнейшим использованием данных для Единой биометрической системы.

 

ОТТАЛКИВАЯСЬ ОТ БИЗНЕС-ПРОЦЕССОВ

Подведомственными для Банка России как мегарегулятора всей финансовой сферы оказались и около 20 тыс. некредитных финансовых организаций. Расширение сферы регулирования и расширение полномочий требует ещё более систематизированного подхода, в том числе в выстраивании процедур регулирования и надзора.

Надзорно-контрольная деятельность должна быть адаптирована к профилю, специализации «поднадзорных» юридических лиц и информационным технологиям, которые они используют. Очевидно, что нормативные акты, которые издаются для кредитных организаций, в меньшей степени применимы к технологии обработки информации у финансовых компаний, работающих на рынке ценных бумаг. И ещё менее применимы к организациям, действующим на рынке коллективных инвестиций.

Банку России важно разобраться в технологиях обработки информации, сейчас эта работа активно ведётся в отношении некредитных финансовых организаций разного вида. Регулятор разбирается, из каких конкретных операций состоит процесс обработки защищённой информации подведомственными организациями в соответствии с профилями их деятельности. Происходит определение рисков реализации компьютерных атак на каждом из технологических участков. В этой работе Банк России активно использует опыт международных площадок, где решают схожие задачи.

 

ТРИ УРОВНЯ РЕГУЛИРОВАНИЯ

Государственное регулирование должно исходить из понимания бизнес-процессов, особенностей обработки информации и концентрироваться на трёх уровнях.

Первый уровень − выбор технологических мер защиты информации при проведении операций. То есть всё, что связано с обеспечением целостности и достоверности информации.

Второй уровень − требования к безопасности программного обеспечения, такие нормативные документы разрабатываются и применяются.

Третий уровень − требования к инфраструктуре. Существует широко известный ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». В настоящее время разрабатывается новый государственный стандарт, инфраструктурные требования к защите информации.

Банк России обладает правовыми основаниями и полномочиями устанавливать требования к защите информации в финансовой сфере. Начиная с уровня федерального законодательства, где Банк России готовит и вносит законодательные инициативы. В том числе взаимодействуя с другими ведомствами, такими как, например, Минфин России и Минкомсвязи РФ, поскольку их субъекты регулирования поднадзорны Банку России.

Кроме того, Банк России разрабатывает и публикует отраслевые нормативно-правовые документы рекомендательного и обязательного характера. Предварительно прорабатываются технологии, используемые для проведения операций в банковской сфере и на финансовых рынках. Результатом выступают положения и концепты, которые переходят в отдел нормативного регулирования.

Требования нормативных актов формируются на основе действующих технологий, которые сегодня уже применяются как в банковских организациях, так и в организациях некредитной финансовой сферы. Для частных случаев предусмотрены нормативные документы более низкого уровня: информационные письма, методические рекомендации, которые более подробно разъясняют требования для тех или иных технологий и правовые аспекты.

 

ЗАЩИЩЁННАЯ БИОМЕТРИЯ

Так, законодательной базой обеспечения информационной безопасности Единой биометрической системы служит Федеральный закон от 31 декабря 2017 года № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» − о создании механизма удаленной биометрической идентификации физлиц. Модель угроз и требования к информационной безопасности в единой биометрической системе в процессе сбора биометрических данных и дистанционной идентификации пользователей были сформулированы Банком России в Методических рекомендациях №4-МР.

О ходе выполнения методических рекомендаций регулятора на начало сентября 2019 года можно было судить по данным 38 банков, обслуживающих физических лиц. Встречи с ними в ходе этой работы проводятся регулярно. Семь банков разрабатывают и внедряют самостоятельные решения, 31 банк пользуются продуктами, купленными у поставщиков. На рынке будут представлены четыре типовых решения − облачные, «коробочные» и адаптированные под заказчика. Большинство банков стремятся использовать типовые решения, что поддерживается, и разработка их должна быть ускорена.

Ожидается, что почти все, 37 банков, завершат внедрение в текущем 2019 году и один – в следующем. Единственным фактором неопределённости, способным повлиять на эти сроки, является время, которое потребуется на согласование ФСБ России системных проектов поставщиков решений. С уполномоченным органом должны быть согласованы вначале системный проект, а потом и решение на его основе.

Банки получили информационное письмо Банка России о неприменении надзорных мероприятий в отношении обеспечения информационной безопасности биометрических данных до конца года. Старт их проведения запланирован на начало следующего, 2020 года. Интенсивность и глубина этой деятельности будут определяться тем, насколько результативно банки внедрят наличествующие решения.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных