Что изменится в национальных стандартах безопасности финансовых операций
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, совместно с Ассоциацией российских банков провели конференцию «Информационная безопасность финансовых организаций в текущих условиях: ГОСТ Р 57580, анализ уязвимостей, защита персональных данных», участники которой обсудили будущие изменения в действующих ГОСТ Р 57580.Х и новые методические требования Банка России по информационной безопасности кредитно-финансовых организаций.
Олег Скворцов, председатель Правления АРБ, и Виктор Сердюк, генеральный директор АО «ДиалогНаука», обратились к участникам конференции по стандартизации с приветственными словами и отметили, что организаторы планировали осветить вопросы, с которыми сталкиваются кредитно-финансовые организации.
Текущее состояние стандартов
Антон Свинцицкий и Ксения Соседская подробно рассказали про ГОСТы, стандарты и требования Банка России, качающиеся информационной безопасности, а также остановились на вопросах операционной надежности и рисков. В частности, на требованиях Положения Банка России 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», Положения Банка России 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», комплекса национальных стандартов безопасности банковских и финансовых операций ГОСТ Р 57580.Х и практике их применения.
Что волнует регулятора
Об основных направлениях деятельности регулятора рассказал Андрей Выборнов, заместитель директора Департамента информационной безопасности (ДИБ) Банка России. Он отметил, что приведенная выше методология интегрирована с российским и международным опытом, в том числе по управлению операционным риском и обеспечению операционной устойчивости.
«Вся эта история рассчитана на добросовестное применение. Оно заключается в том, что организация должна свои риски осознавать и корректировать свою деятельность в случае появления такого рода рисков», — отметил А. Выборнов. Базовая идея Положения 716-П заключается в том, что есть определённые показатели риска и за ними надо следить, при этом в основе должны быть достоверные показатели. В противном случае «идея Положения 716-П превращается в профанацию», считает он. Менеджмент осознанно устанавливает показатели и контролирует эти показатели. Система внутреннего контроля или аудита даёт достоверную картину, а не заниженные как показывают наблюдения Банка России.
Регулятору приходится оценивать состояние системы управления операционной риском на основании Указания Банка России № 4336-У «Об оценке экономического положения банков», он учитывает четыре показателя, направленных на оценку управления операционного риска. Сегодня этот нормативный акт пересматривается коллегами из профильных департаментов, отметил спикер.
Три тенденции управления рисками
Оценивая основные тенденции в области управления рисками, А. Выборнов отметил вопросы, наиболее волнующие регулятора сегодня: фрод и методы борьбы с ним, операционная надёжность и технологический суверенитет, утечки информации и данных.
Первое направление — тематика, связанная с фродом и операциями без согласия клиентов. Проблема имеет социальный характер и значима для крупных банков. При этом работа идет как на стороне банков плательщиков, так и банков, обслуживающих дроппов.
Показатели управления риском по тематике антифрода заложены в Положении 716-П и должны оценивать общую эффективность процедуры с одной стороны. С другой стороны, ложность срабатывания показывает, насколько эффективно процедуры выстроены в банках.
Масштаб трагедии известен многим по новостной ленте. При этом банки не всегда корректно указывают данные по фроду, не принимают заявления клиентов, занижая показатели. Регулятор борется с такими финансовыми организациями и находится на стороне физических лиц и защиты их прав.
Другое направление с точки зрения рисков ‑ выдача кредитов. Кредитный фрод даже более опасная тема, чем фрод переводов, поскольку люди уходят в большие долги, считает А. Выборнов. Мошенничество при выдаче кредитов также перспективе должно стать темой изменений в 716-П. Банк России идет в этом направлении и намерен контролировать соответствующие показатели. «Необходимо окончательно понять объем хищений и внести поправки в законодательство», — подчеркнул спикер.
С 25 июля вступает в силу Федеральный закон № 369-ФЗ «О внесении изменений в Федеральный закон “О национальной платежной системе”» по тематике противодействие переводам без согласия. Регулятор активно готовится к подготовке поднадзорных структур к его реализации.
Новеллы закона:
- двухдневный период охлаждения, если банк нарушил — возврат средств;
- блокировка электронных средств платежа, дистанционного доступа к банковским системам с целью осложнения жизни дроппам.
Ограничения вызывают вопрос по защите прав физических лиц. Регулятор готовит специальный акт, чтобы граждане могли в ускоренном порядке подать заявление на выведение своих данных из базы данных дроппов. По закону на принятие такого решения Банку России отводится 15 рабочих дней. Подать заявление можно как через портал Банка России, так и через банки, которые также могут подать заявление на выведение из фидов в отношении своих клиентов.
Второе направление — операционная надёжность и технологический суверенитет. Здесь под надзором Банка России находится порядка 60 организаций, на которых распространяется в обязательном порядке требования по импортозамещению и обеспечению экономического суверенитета. Созданы организационные структуры и отраслевой комитет. Регулятор намерен выдержать сроки перехода, при этом следит, чтобы процесс импортозамещения не повлиял на качество услуг и непрерывность деятельности финансовых организаций в части рисков и надежности.
Третья важная тема — утечки информации и данных. Это тоже вопрос управления операционным риском, отметил спикер. Он подчеркнул, что часто успешные варианты допуска к информации происходили не в ходе сложных кибератак, а из-за несоблюдений правил элементарной гигиены. В частности, он отметил риски, которые создаются при доступе к инфраструктуре организации поставщиков ИТ-услуг и сторонних подрядчиков. Эти случаи регламентированы нормативными актами. А. Выборнов призвал коллег внимательнее относится к их соблюдению, поскольку возможно инциденты, связанные именно с проникновением в инфраструктуру через поставщиков, через наименее защищенные каналы взаимодействия.
Риски облаков и аутсорса
Банк России рассматривает возможность разрешить банкам передавать на аутсорс разработку IT-решений и хранить сведения с банковской тайной в облачных сервисах, отметил спикер. Это серьёзные законодательные инициативы, которые направлены на снятие правового барьера по передаче разных вид тайн. Спикер также отметил, что классические вопросы аутсорсинга прописаны в соответствующих стандартах Банка России. Но в новых обстоятельствах возникает ряд условий — кому, когда, в каком виде можно передать такую информацию и на каких условиях. Законопроект прошел первое чтение, идет проработка его положений с Минцифры и ФСБ России, отметил представитель регулятора. «Основная логика регулирования такова. Если мы говорим о том, что данные передаются из банка или страховой компании поставщику услуг тили облачном провайдеру на обработку, то этот провайдер должен обеспечить те же показатели защиты информации, операционной надежности, что и банк», — отметил А. Выборнов. При этом предполагается косвенное регулирование поставщиков услуг через договорные отношения. Это вопрос управления риском.
О риске концентраций
Возникает еще один вопрос, который Банк России также пытается решать. Это риск концентрации. «На рынке есть организации, которые не являются поднадзорными Банком России, но от которых существенным образом зависит функционирование в целом финансового рынка и банковского сектора экономии», — подчеркнул спикер. Это могут облачные провайдеры, ЦОДД, разработчики ПО, ИТ-провайдеры. Это задача на полтора-два года, тяжелая проблема, решения по которой ищутся, отметил А. Выборнов.
Говоря о планах регулятора, он повторил, что методология по управлению рисками рассчитана на добросовестное применение. Банк России готовит методические рекомендации по теме показателей, связанных с фродом, операционной надёжностью и, возможно, кредитным фродом. Регулятор уйдет от мягкого регулирования и будет оценивать показания не только по качественным, но и количественным показателям.
Изменения в ГОСТ 57580.1 и ГОСТ 57580.2
Главный инженер отдела информационной безопасности и киберустойчивости финансовых технологий Управления методологии и стандартизации информационной безопасности и киберустойчивости ДИБ Банка России Константин Стародубов рассказал о работе, которая ведется в рамках подготовки изменений в текущие стандарты ГОСТ 57580.1 и ГОСТ 57580.2, принятые в 2017 г. Создана рабочая группа, которая рассмотрела многочисленные предложения и замечания по актуализации стандартов с учетом новых подходов к обеспечению ИБ. В рабочей группе приняли участие 105 человек, из низ 26 — представители банков. В группу поступили 424 предложения по изменению ГОСТ 57580.1, учтены порядка 113 предложений, по 98 предоставлены пояснения. Не учтено 222 инициативы, которые противоречили друг другу и были отклонены участниками рабочей группы. В документ добавлены 36 новых мер, некоторые из них разбиты по пунктам. 17 мер было удалены и 97 мер защиты — измены. Расширен субъектный состав, включены финтех организации, пересмотрен понятийный аппарат, переработаны некоторые процессы, некоторые методики синхронизированы с документами ФСТЭК России и требованиями законодательства РФ.
При актуализации ГОСТ 57580.2 поступили 37 предложений, из которых 24 были учтены. Уточнены критерии независимости контролирующей организации относительно проверяемой, убраны требования по оформлению и подписям, добавлена формула расчёта оценки соответствия для нескольких контуров безопасности с одинаковым уровнем защиты информации.
Новые версии стандарта ГОСТ 57580.1 и ГОСТ 57580.2 подготовлены с учётом деятельности рабочей группы. Банк России постарался совместить в них все лучшие практики и предложения, соблюдая преемственность версий и совместимость с другими требованиями стандарта. Ведется работа по вынесению версий стандартов на ТК 122 «Стандарты финансовых операций» для голосования. Представитель Банка России отметил, что окончательные редакции ГОСТов будут доступны заинтересованным лицам для обсуждения в ближайшие 1-2 месяца. Ввод ГОСТов в действие запланирован на 2025 г.
Методика пентестов и анализа уязвимостей Банка России
Также ДИБ Банка России в целях обеспечения единого подхода к реализации требований по проведению тестирования на проникновение, анализа уязвимости разработаны методические рекомендации по данным вопросам. Данные методические рекомендации были направлены для обсуждения в Ассоциацию финансовых технологий, были учтены полученные замечания. Версия методических рекомендаций готова и находится на внутреннем согласовании в Банке России. Она должны быть опубликована до конца текущего года.
Методические рекомендации затрагивают всех участников финансового рынка и определяют процесс тестирования на проникновение и анализа уязвимостей в соответствии с Положениями Банка России 683-П, 757-П, 821-П, 808-П, определяют периодичность и порядок отчетности. Эти меры призваны описать процесс тестирования, управления уязвимостями и рисками для упрощения работы финансовых организаций и обеспечения доверия к результатам пентестов.
В ходе дальнейших выступлений участники форума рассмотрели вопросы проведения тестирований на проникновение и анализа уязвимостей, новые требования законодательства к персональным данным и пути их выполнения, обсудили проблемы процесса оценки соответствия и как сделать его быстрым и прозрачным для заказчиков.
Информационная поддержка мероприятия — журнал «BIS Journal — Информационная безопасность банков»