Bashnedra.ru

Правовая помощь онлайн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Информационная безопасность региональных банков

Особенности защиты информации в банковских системах: основные принципы и методики

Банковская деятельность связана с обработкой больших объемов информации, основную часть которых составляют конфиденциальные данные клиентов.

К ним относится личные данные пользователей, копии их документов, номера счетов, данные о проведенных операциях, транзакциях и пр.

В процессе работы с этой информацией важно, чтобы она не попала в руки злоумышленников, не была изменена или утеряна.

Учитывая важность архивов, хранимых в информационной среде банка, существенно возросла их ценность и требования к защите банковской информации.

Сложность поддержки безопасности данных заключается в том, что банки должны обеспечить доступность к этим данным их пользователям и блокировать любые попытки получить информацию чужими людьми и злоумышленниками.

Чтобы успешно реализовать эту задачу потребуется комплекс мер, предназначенный для поддержки конфиденциальности данных, сохранности и безопасности обрабатываемой информации, а также безотказный доступ к данным во время проведения финансовых операций.

Чем важна информационная безопасность в банковских учреждениях

Чтобы понять какую роль играет информационная безопасность в банковской деятельности, следует разобраться в том, какая данные банка требуют защиты и почему.

К банковским данным относится совокупность информации, которая обеспечивает возможность представления финансового учреждения в информационной среде, а также данные, обеспечивающие возможность проведения финансовых операций между клиентом и банком, а также между несколькими клиентами, использующих банковское учреждение в качестве финансового посредника.

Существует два вида банковской информации – это те данные, которые используются в информационной среде с целью представления деятельности финансового учреждения для его клиентов, а также совокупность данных клиентов финучреждения как юридических, так и физических.

Несмотря на то, что одна информация является открытой, а вторая закрытой, обе они требуют надежной защиты.

  1. Безопасность открытых данных заключается в том, что эта информация всегда должна быть достоверной и подаваться клиентам в том ракурсе, который выбрал для себя банк. Если по каким-то причинам эти данные будут видоизменены или подменены, то банк может потерпеть не только существенные финансовые потери, а также и удар по своему имиджу и репутации.
  2. Опасность завладения закрытыми данными заключается в том, что если она попадет в руки злоумышленников, то они могут использовать ее с целью получения для себя неправомерной финансовой прибыли. Это может осуществляться путем проведения неправомерных финансовых операций или посредством вымогательства с угрозой распространить какую-либо скрытую информацию о клиентах банка.

Как видим, защита информации в банковских системах – это очень важный аспект деятельности финансового учреждения, который всегда должен быть ключевым среди большого перечня задач, с которыми сталкиваются банки.

Попытки доступа к тайной банковской информации

Среди способов несанкционированного доступа к данным банков на сегодня наиболее часто встречаются следующие.

  • Физический доступ и последующая кража нужной информации. Вариантов реализовать этот способ очень много, начиная с кражи конфиденциальной информации одним из сотрудников банка, который имеет доступ к ней и заканчивая вероятностью вооруженного налета с целью получения важных архивов, баз данных и пр.
  • Второй метод воровства заключается в том, что архивы можно неправомерно получить во время создания резервных копий. Всем известно, что любое учреждение делает резервирование и архивирование важных данных, чтобы не потерять их во время сбоя информационной системы или какой-нибудь более глобальной катастрофы. Большинство банковских учреждений архивируют свою информацию с помощью стримеров, записывая данные на ленту, которая хранится в отдельных помещениях. Во время процесса транспортирования лент и их хранения возможно копирование данных и распространение их вне информационной среды банка.
  • К одним из наиболее распространенных и вероятных способов утечки информации относится несанкционированный доступ к данным через права администратора информационной системы или посредством специальных программ, которые позволяют обойти защиту и получить доступ к нужной информации. Иногда сотрудники могут делать это даже непреднамеренно, например, беря работу домой. Как бы и ничего опасного, но вероятность того, что данные попадут в руки недоброжелателю, в таком случае, существенно возрастает.
  • Еще одним способом получить засекреченную информацию является распространение разного рода программ-шпионов, вирусов, плагинов, специализированного софта.

Методы защиты банковской информации

Учитывая перечисленные выше угрозы потери важных данных, должны выбираться методы и средства защиты банковской информации.

Защита от физического доступа

Большинство банков уделяют достаточно большое внимание уровню физической безопасности своей информации.

Начинается этот процесс с того, что места, где хранятся информационные архивы и устанавливаются банковские сервера, имеют более высокий уровень защищенности от проникновения и возможности пребывания там сторонних физических лиц.

Кроме этого, активная работа ведется и по подбору персонала, который будет иметь доступ к конфиденциальным данным банка и его клиентов. Реализация перечисленных факторов существенно снижает вероятность кражи архивов, но не исключает ее полностью.

Создание резервных копий

Резервирование информации и запись ее в архивы – это важный шаг чтобы сохранить нужные для себя данные.

Но чтобы исключить вероятность их попадания в руки злоумышленников, этот процесс должен происходить с применением систем шифрования.

Использование современной криптографической защиты сведет к нулю вероятность того, что даже украденная информация будет кем-то использована.

На сегодня есть много различных программных продуктов, которые обеспечивают шифрование данных в момент переноса их в архив.

Весь процесс полностью автоматизирован и не несет для банка существенных затрат в финансовом плане и в плане потребности дополнительных сотрудников.

Также важно, чтобы в процессе создания зашифрованного архива использовались хранилища, построенные на физических накопителях, а не на виртуальных.

Это гарантирует еще один уровень защищенности информации, ведь виртуальное хранилище легче взломать, нежели реальное.

Предотвращение инсайдерской информации

Предотвратить утечку инсайдерской информации порой бывает труднее всего. Защитить ее с помощью различных аппаратных и программных средств – это только половина решения поставленной задачи. В этом случае ключевую роль играет человеческий фактор.

Именно через сотрудников очень часто происходит потеря важных данных, что впоследствии влияет на будущее и текущую деятельность банка.

Поэтому подбор кадров, эффективная работа внутренней службы безопасности, а также использование системы ограничения доступа позволит минимизировать риски потери инсайдерской информации.

Заключение

Выше были рассмотрены основные способы защиты банковской информации.

Чтобы гарантировать 100-процентую ее защиту важно использовать все существующие на сегодня способы в комплексе.

Учитывая, что киберпреступность в последнее время развивается очень сильно и защитить информацию становится все труднее, важно, чтобы этим процессом занимались профессионалы своего дела.

Они помогут подобрать правильные аппаратные и программные средства, а также создадут верную стратегию защиты данных в конкретной информационной среде банка.

Видео: Правила защиты банковской карты от мошенничества

Информационная безопасность в цифровом банке

Банки с каждым годом сокращают количество отделений, предпочитая развивать цифровые каналы взаимодействия с клиентами. По данным «Коммерсанта», в прошлом году российские банки закрыли 10% офисов. «Тинькофф Банк», пионер цифровизации и дистанционного обслуживания в России, позиционирует себя как ИТ-компанию, «Сбербанк» — как «уже не совсем банк». И дело не только в том, что технологические компании выше котируются на бирже: границы между банками, ИТ, ритейлом и финтехом чем дальше, тем больше стираются. Это же касается и внутренних бизнес-процессов.

У банковской цифровизации два базовых преимущества — удобство (для самого банка и для клиентов) и экономия. В числе минусов — новые риски информационной безопасности, включая киберугрозы, которые сопутствуют ИТ-компаниям. В этом посте поговорим о цифровизации банков как раз в контексте обеспечения ИБ. Но для начала — о тенденциях.

Миграция в цифру

Трансформация банков — вопрос не моды, а конкурентноспособности. Когда клиенты «живут» в смартфонах, в соцсетях, странно бороться за них в офлайне. У банков, входящих Топ-50, практически все операции, за исключением разве что банковских ячеек, дублируются онлайн. Та же процедура получения кредита, даже ипотечного, донельзя упрощена и диджитализирована. Причина, конечно, не в том, что банки стремятся облегчить жизнь клиентам. Просто сейчас банкам доступно множество источников информации о них — от кредитной истории до «резюме» правоохранительных органов, а также средства аналитики с применением AI (искусственного интеллекта). Этот инструментарий упрощает и ускоряет процедуру проверки кредитоспособности клиента, а в итоге и выдачу денег.

Учитывая, что у некоторых банков доля дистанционных контактов с клиентами доходит чуть ли не до 100%, необходимость сокращения физических офисов очевидна — их содержание становится нерентабельным. Так, например, «Райффайзенбанк» в ближайшее время собирается закрыть четверть офисов, а в некоторых городах оставит только удаленный формат обслуживания. Вообще, рост количества необанков — банков без отделений, — говорит о том, куда всё движется.

Еще одна причина банковской диджитализации и финансовых вливаний в нее — необходимость создания собственных цифровых продуктов: мобильных приложений, систем дистанционного банковского обслуживания, инструментов для анализа больших данных и сбора статистики, развития веб-сайтов и т. д. Здесь, как и в ИТ, важной стала скорость вывода новых продуктов на рынок.

Потребность в быстром запуске новых финансовых сервисов вынуждает банки прибегать к стратегии ИТ-компаний, специализирующихся на разработке софта, осваивая и соответствующие методики — Agile и CI/CD. Для примера, у того же «Тинькофф Банка» есть собственная сеть центров разработки, где обучаются молодые программисты из регионов — с прицелом на будущее включение в штат. «Сбербанк» еще в 2011 году создал отдельную ИТ-компанию, «СберТех», которая занимается исключительно развитием цифровой экосистемы банка. Цифровая конкуренция между первым российским необанком и мегакорпорацией, выросшей из «Гострудсберкасс», — это то, что среди прочего двигает цифровизацию вперед. Российская банковская сфера по темпам цифровой трансформации, как отмечает аналитическое агентство McKinsey, — одна из лучших в мире.

Другой вопрос, насколько этот «цифровой тур де форс» совпадает с усилиями банков по обеспечению информационной безопасности инфраструктуры. И нет ли между ними тревожного (для клиентов) зазора.

Нерадужная статистика

По данным ФинЦЕРТ — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ РФ, в прошлом году на российские банки было совершено 700 кибератак. 180 из них — нападения с целью извлечения финансовый выгоды, 100 — DDoS-атаки. Кроме этого, на банки и клиентов было направлено 70 кампаний по распространению вредоносных программ. ФинЦЕРТ зафиксировал 550 интернет-ресурсов, распространяющих вредоносное программное обеспечение, и ВПО-серверов. Ущерб российских банков от атак хакеров составил 58 млн рублей.

Главный метод киберпреступников — социальная инженерия: злоумышленники звонят клиентам как «представители банка», требуя сообщить номер карты (PAN), одноразовый пин-код (OTP) или CVV/CVC-код. Другой популярный инструмент — распространение ВПО; при этом для атак на финансовые организации и клиентов используются email-рассылки с зараженными файлами или гиперссылками на сайты с вредоносами, в том числе с программами-вымогателями.

Немалую роль в той же социальной инженерии играют утечки персональных данных клиентов (ПДн). Новости об очередном «сливе» появляются регулярно. Один из недавних произошел в конце октября 2019: по сообщению «Коммерсанта», на черном рынке выложили на продажу базу данных кредитных клиентов «Сбербанка» с подробными ПДн — паспорта, телефоны, адреса, сумма на счете, сумма остатка и даже аудиозаписи разговоров с банком; в базе содержался 1 млн записей. Годом ранее в общий доступ утекла информация о 420 тыс. записей с ФИО сотрудников «Сбербанка» и логинами для входа в операционную систему; логины, как правило, совпадали с адресами служебной электронной почты. Из других примеров — недавняя утечка данных 3,5 тысяч держателей кредиток «Альфа-банка» и еще столько же — клиентов «Альфастрахования».

В чем причины?

По данным ФинЦЕРТ, большинство случаев реального ущерба для банков — финансовых хищений, утечек клиентских данных и пр. — происходит по трем причинам:

  • Многочисленные нарушения федеральных законов и нормативных актов регулятора в части обеспечения защиты информации — того же Положения № 382-П.
  • Отсутствие должного внутреннего контроля внутри банков и других финансовых организаций (ФИ) по вопросам ИБ (например, не анализируются события безопасности и не устанавливаются соответствующие инструменты).
  • Недостаточная осведомленность сотрудников об угрозах ИБ, включая методы социальной инженерии.

Охотнее прочего банки нарушают Положение № 382-П (447 случаев), которое определяет правила обеспечения безопасности при денежных переводах. Нарушения 382-П разнообразны: нет разграничения прав доступа к защищаемой информации, не выявляются инциденты, не контролируются обновления ПО и актуальные уязвимости, и так далее. В числе других законов и актов, которыми пренебрегают российские банки: № 161-ФЗ, № 395-1, № 325-ФЗ, № 672-П, № 683-П и № 684-П.

В качестве примера, к чему приводят нарушения требований регулятора, ФинЦЕРТ упоминает одну неназванную кредитную организацию, на которую в конце 2018 года была совершена хакерская атака. В результате мошенники осуществили несколько несанкционированных денежных переводов на общую сумму 5,5 млн рублей и 15000 евро. На этом фоне банкам приходится думать не только о защите от прямых внешних атак, но также и над противодействием внутреннему фроду (в том числе с помощью внедрения UBA-программ — User Behavior Analytics), мошенничеству с биометрическими данными, обходу двухфакторной аутентификации и не только.

Читать еще:  Загранпаспорт через МФЦ – пошаговая инструкция

Заключение

Трансформация банков в ИТ-компании — история, которая, кроме оптимизации технологических процессов, требует и не менее активной оптимизации ИБ. Чем больше банки цифровизуются, тем более реальными для них становятся угрозы, характерные для ИТ-рынка вообще. Пренебрежение рисками информационной безопасности может повлечь для банков как финансовые, так и репутационные убытки. Кроме этого, несоблюдение нормативов, федеральных законов и стандартов ЦБ РФ грозит штрафами, что, в сочетании с уроном от злоумышленников, может поставить банк на грань банкротства.

Один из эффективных способов защитить банк от угроз — обратиться к аудиторской компании, которая может провести экспертную оценку соответствия стандартам ИБ, включая полный аудит информационной безопасности ИТ-инфраструктуры и тест на проникновение, и дать подробные рекомендации по повышению уровня защищенности.

Информационная безопасность региональных банков

автор Анатолий Скородумов , дата 19 декабря 2018 г. 10:00:00 MSK

Финансовые организации исторически, наряду с нефтегазовой отраслью и телекомом, являются одними из лидеров по построению комплексных систем ИБ, использованию в них самых современных технологий и решений. С начала 2000-х гг. в финансовой отрасли действует отраслевой стандарт по ИБ, разработанный Банком России. К 2018 г. вышло уже четыре редакции данного стандарта, и в 2017 г. году на его основе был принят ГОСТ Р 57580.1.–2017 по обеспечению безопасности финансовых операций. Анатолий Скородумов, н ачальник Управления по обеспечению информационной безопасности Банка «Санкт-Петербург», рассказывает о том, как развивается направление ИБ в банках и чего можно ожидать в будущем.

За прошедший год произошли важные изменения и появились нововведения в законодательстве, связанные с ИБ:

  • вступило в силу постановление европейской комиссии о защите данных (GDPR);
  • издан и вступил в силу закон 167-фЗ «о внесении изменений в отдельные законодательные акты рф в части противодействия хищению денежных средств»;
  • разработан большой пул подзаконных актов в части внедрения единой системы идентификации и аутентификации (ЕСИА).

Реализация требований этих документов достаточна сложна и затратна. Диджитализация бизнеса, растущее количество изменений в ИТ-инфраструктуре организации, вновь появляющиеся киберугрозы и кибератаки также требуют адекватного реагирования от специалистов по ИБ. В итоге в современных условиях построение комплексной системы ИБ превращается в непрерывный процесс внедрения все новых методов и средств защиты и совершенствования уже существующих.

Основные типы преступлений в банковской сфере

Наиболее опасными в финансовых организациях являются атаки на платежную инфраструктуру. в этих случаях банк несет прямые финансовые потери, которые исчисляются десятками и сотнями милллионов рублей.

Специалисты по ИБ прекрасно помнят серию атак 2016 г. на платежную систему Банка России (атаки на арМ кБр), общий ущерб от которых превысил 1,5 млрд рублей. Свежи в памяти произошедшие в 2016–2017 гг. несанкционированные списания с корреспондентских счетов банков через систему SWIFT.

Другой опасный тренд последних лет – атаки на процессинговые центры банков с выводом средств через банкоматы. Эти атаки условно можно разделить на две категории. Первая – это заражение подсистемы управления банкоматами или через нее – самих банкоматов, с последующей подачей команды на выдачу наличных. Злоумышленникам остается только в нужный момент подойти к банкомату с рюкзаком достаточного объема и принять купюры. Второй способ – это взлом процессинга с последующим зачислением на заранее полученные карты очень значительных сумм. Далее происходит обналичивание этих средств через банкоматы различных банков.

Продолжаются атаки злоумышленников на системы дистанционного банковского обслуживания (ДБо) клиентов. В основном они реализуются через заражение устройств, с которых клиенты дистанционно управляют своими счетами. С учетом того что многие банки внедрили технологии подтверждения переводов (операций) одноразовыми кодами, получаемыми, например, через СМС, злоумышленники используют различные методы социальной инженерии для выманивания у клиентов этих кодов. вообще мошенничество с использованием методов социальной инженерии, а проще говоря «развода» клиента, – это еще один из трендов последних двух лет. особенно часто он используется для выманивания у людей данных их платежных карт и одноразовых кодов (3dsec-кодов) подтверждения операций. Злоумышленники даже частично автоматизировали процесс «развода», первоначальный обзвон производится обычно программно. Aвтоинформатор обычно сообщает, что по вашей карте произошла операция и для ее отмены вам необходимо на телефоне нажать любую клавишу. Если вы нажимаете клавишу, автоинформатор якобы переводит вас на службу технической поддержки банка (при этом все выглядит очень натурально), на самом деле вас переключают на «специалиста» по выуживанию данных платежных карт. Действуют злоумышленники очень профессионально, и неподготовленные люди, особенно пожилого возраста, зачастую попадаются на эту удочку.

И последняя разновидность внешних атак, на которую я хотел бы обратить внимание, – это вымогательство. На общий e-mail банка приходит письмо с угрозой и предложением перечислить необходимую сумму в биткоинах на такой-то электронный кошелек. Варианты угроз могут быть совершенно разными. Могут утверждать, что все компьютеры вашей сети заражены неизвестным вирусом, который не ловит еще ни один антивирус. Могут написать, что процессинг вашего банка взломан и если вы не перечислите требуемую сумму, то потеряете в десятки раз больше. Могут шантажировать тем, что взломали вашу корпоративную сеть и скачали какую-то чувствительную информацию, и если деньги не будут перечислены, они опубликуют эту информацию в открытых источниках. В большинстве случаев это чистый фейк.

Помимо внешних атак существуют и злоупотребления со стороны работников самой финансовой организации. И вариантов таких нечистоплотных действий достаточно много.

Элементы системы обеспечения информационной безопасности в банках

Некоторое время назад систему информационной безопасности обычно делили на две части: защиту периметра вычислительной сети организации и защиту внутренних хостов. В качестве периметровых средств защиты использовались:

  • системы межсетевого экранирования (МсЭ);
  • системы обнаружения/предотвращения атак (IDS/IPS);
  • модули DLP-систем для контроля почтового и Web-трафика;
  • системы контентной фильтрации при доступе работников организации в сеть Интернет;
  • антивирусные средства на почтовом сервере и на прокси-сервере доступа в сеть Интернет и ряд других средств.

В качестве защиты хостов, как правило, применялись:

  • антивирусные средства;
  • персональные МсЭ;
  • хостовые модули систем IDS/IPS;
  • хостовые модули DLP-систем;
  • средства контроля использования работником периферийных устройств, прежде всего USB-накопителей.

Многие решения для защиты конечных устройств (Endpoint) стали объединять в себе значительную часть перечисленного функционала.

В последнее время и в периметровую, и в хостовую части стали добавлять средства защиты от таргетированных атак (средства класса APT, EDR). Кроме того, в последнее время разработчики уделяют внимание взаимодействию периметровых и хостовых средств защиты для повышения эффективности выявления и противодействия современным кибератакам. Поэтому зачастую использование периметровых и хостовых средств защиты одного производителя имеет дополнительные бонусы в части более тесного взаимодействия этих средств между собой.

Процессный подход

Конкретное средство защиты – это всего лишь инструмент. А все мы прекрасно знаем, что самый хороший инструмент эффективен только в умелых руках, а мастер может и из топора кашу сварить. Поэтому залогом эффективности использования того или иного средства защиты является правильно выстроенный процесс и квалификация персонала, его осуществляющего. Можно выделить такие процессы верхнего уровня:

  • защита от вредоносного ПО;
  • защита от утечки данных;
  • защита систем электронного документооборота;
  • защита вычислительных сетей;
  • защита информации у мобильных пользователей;
  • управление правами доступа;
  • управление уязвимостями;
  • мониторинг и реагирование на инциденты ИБ;
  • управление информационными активами;
  • управление рисками ИБ;
  • управление соответствием (комплайнсом);
  • безопасная разработка По;
  • повышение осведомленности сотрудников в вопросах ИБ.

Специфика ИБ в банковской сфере

Особенности систем ИБ в банках связаны прежде всего с тем, что в них обрабатывается информация о реальных денежных средствах, расчетных счетах, реальных денежных переводах, а также с тем, что из этих автоматизированных систем осуществляется управление устройствами, выдающими реальные деньги, – банкоматами. Для того чтобы увидеть у себя на счете цифру с 6–7 нулями, не обязательно всю жизнь упорно трудиться, можно просто дописать несколько нулей к уже имеющейся там сумме.

Поэтому значительные усилия специалистов по ИБ в финансовых организациях направлены на защиту платежной инфраструктуры и платежных процессов.

В отличие от других организаций, в банках существует понятие банковской тайны – это информация об операциях, счетах и вкладах клиентов и корреспондентов банка. Так как большинство банковских операций и большая часть обрабатываемой в банке информации относятся к банковской тайне, задача обеспечения ее защиты может быть решена только путем построения сложной комплексной системы защиты.

Схожая ситуация складывается и с защитой персональных данных. В банках они обрабатываются в значительных объемах, и их необходимо защищать в соответствии с законом 152-фЗ «о персональных данных».

Критерии выбора оборудования и решений

Требования к поставщикам и производителям оборудования для информационной безопасности достаточно стандартны: функциональность, надежность, простота и удобство эксплуатации при приемлемой стоимости.

В настоящее время возрастает роль эффективного взаимодействия средств защиты между собой и с системами управления информационной безопасностью. Хорошо, когда разные продукты одного производителя эффективно интегрируются друг с другом, но хочется такого же эффективного взаимодействия и от решений разных производителей.

Очень желательно, чтобы ведущими игроками в ИТ- и ИБ-секторах вкладывались средства в перспективные исследования и разработки и чтобы системы информационной безопасности совершенствовались не в связи с произошедшими преступлениями, а позволяли предотвратить в том числе совершенно новые, еще ранее неизвестные типы атак.

Любые решения и сервисы в сфере ИБ требуют постоянного совершенствования и развития. Они должны быть адекватны современным угрозам, которые, в свою очередь, тоже постоянно развиваются и совершенствуются.

И, безусловно, задача производителей и поставщиков решений по ИБ не только в том, чтобы продать эти решения, а в том, чтобы эти решения эффективно функционировали и приносили организациям, где они работают, реальную пользу. Поэтому требуется активное их участие на этапе как внедрения продукта, так и его эксплуатации.

Внедрение новых технологий

Современные системы ИБ стараются максимально использовать все новые технологии. Прежде всего это Big Data, машинное обучение, нейронные сети, искусственный интеллект.

На самом деле сами принципы выявления и расследования преступлений не сильно изменились. Дедуктивные методы Шерлока Холмса продолжают работать и в электронной среде. Как известно, «дьявол кроется в деталях», но выявить эти детали в современном огромном объеме информации очень непросто. Подобные задачи обычно и решаются системами безопасности с использованием нейронных сетей и элементов искусственного интеллекта. На данный момент эти технологии активно используются в системах фрод-анализа, то есть для борьбы с внешним и внутренним мошенничеством. Но со временем, я думаю, им найдется применение и в других направлениях обеспечения ИБ.

Достаточно перспективными видятся самообучающиеся системы. Специалистам по ИБ все сложнее угнаться за миллионами изменений в современных цифровых технологиях и сервисах, каждое из которых может нести определенные угрозы. Поэтому все чаще используются системы, основанные на выявлении аномалий. Они строят и постоянно актуализируют «нормальное» поведение объекта или человека и реагируют на существенные отклонения от этого «нормального» поведения.

Единая система идентификации и аутентификации (ЕСИА)

Идея единой системы удаленной идентификации интересна и актуальна. Наличие в государстве единой централизованной доверенной системы идентификации и аутентификации граждан позволило бы решить ряд серьезных проблем и снять часть головной боли с банковских специалистов по ИБ.

Использование данной системы призвано существенно упростить для банков задачу идентификации клиентов в соответствии с 115-фЗ «о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и продвижение своих продуктов и услуг, в том числе в регионах, где нет физического присутствия конкретной финансовой организации.

Но реальную пользу система ЕСИА принесет только в том случае, если в ней будут храниться биометрические данные значительного числа жителей рф. На данный момент не совсем понятно, что побудит человека регистрировать в системе ЕСИА свои биометрические данные. Если ее наполненность будет на уровне выданных токенов с электронной подписью для доступа к порталу госуслуг, толку от нее никакого не будет.

У специалистов по ИБ есть серьезные вопросы к выбранной биометрической аутентификации. Понятно, почему в качестве технологии идентификации в есИа выбраны изображение лица и голос. Это единственные технологии биометрической аутентификации, которыми можно охватить значительное число граждан рф, так как они могут быть реализованы с помощью мобильного телефона. Но у них есть серьезные недостатки. Поэтому у меня нет уверенности, что внедрение есИа станет каким-то прорывом в банковской ИБ.

Читать еще:  Если в обьяснительной дать ложные паспортные данные
Прогнозы развития

В современном мире достаточно сложно заглянуть даже на несколько лет вперед. Все так быстро меняется!

Очевидно, что направление ИБ в банках (и не только) продолжит активно развиваться. Этому будут способствовать требования законодательства, цифровизация бизнеса, перевод всех процессов в цифровой формат, прежде всего реализация государственных программ по переходу в электронную среду. Участившиеся случаи громких компьютерных преступлений и постоянный рост сумм потерь от них также будут стимулировать данный процесс.

С учетом все большего переноса бизнеса в электронную среду значимость вопросов обеспечения ИБ будет возрастать. Безопасность продукта или сервиса станет реальным конкурентным преимуществом.

С течением времени мы в меньшей степени будем использовать наложенные средства защиты, используя встроенные. Это закономерный процесс. основной фокус с точки зрения построения систем ИБ будет направлен на управление системой ИБ.

Хочется надеяться, что усилия Банка россии в области обеспечения ИБ приведут к тому, что задача по противодействию современным кибератакам уже в ближайшее время будет решаться финансовыми организациями сообща при активной поддержке Банка россии.

Активно станет развиваться рынок услуг ИБ, так как держать у себя в штате значительное число высококвалифицированных специалистов смогут только самые крупные банки.

В рамках деловой программы ТБ Форума 2019 состоится конференция «Защитные технологии банка будущего», где будут представлены кейсы о новейших технологиях в финансовом секторе.

Информационная банковская безопасность и ее необходимость

  • Статьи
    • Законодательство в области банковской сферы
    • Автокредиты
    • Банковская деятельность
      • Что будет с банковским сектором в ближайшие 5 лет?
      • Банки для людей с ограниченными возможностями
      • Хоум Кредит Банк — планы и перспективы
      • Зима. Экономия банкиров.
      • Создание почтового банка
      • ЦБ беспощаден к «малышам»
      • Направления Банка России
      • Банк Москвы — результаты и перспективы
      • Падение интереса к банковской профессии
      • Перспективные увольнения банка «Возрорждение»
      • Сбербанком проводится процедура капитальной отсрочки
      • Проблемы банков — дело самих банков
      • ЦБ была обнаружена «дыра» в балансе двух организаций
      • ЦБ было дано объяснение по поводу «долгого отзыва» лицензии у банка Связной
      • ЦБ отозвал лицензии у Связного Банка, Нота-Банка, Ипозембанка и банка «Балтика»
      • Как санкции меняют российский банковский бизнес
      • Банки готовы к добровольной сдаче лицензии ЦБ
      • Неликвидная ликвидность
      • Товарищи! Революция, о необходимости которой все время говорил Банк России, совершилась.
      • Экономические новости
      • Экономические новости: ноябрь 2015
      • Каким образом начисляются кредитные проценты?
      • Самые выгодные ставки по вкладам в крупнейших банковских организациях теперь составляют 12,75% годовых в рублях
      • Кто такой кредитный брокер
      • Благонадежность и репутация в бизнесе
      • Как сегодня работают банки
      • Что такое платежеспособность
      • В чем прибыль банков?
      • Конкуренция среди банков
      • Виды инвестиций
      • Виды денег
      • Все о расчетно-кассовом обслуживании
      • Золотовалютные запасы государств
      • Паевые инвестиционные фонды
      • Потребительская корзина
      • Признаки подлинности российских банкнот
      • Покупательная способность населения
      • Экономическая стагнация
      • Почему в Европе низкие процентные ставки?
      • Как банк обрабатывает претензии
      • Бабушки с молотками выбегают
      • Как пользоваться банкоматом
      • Кредитоматы и банкоматы будущего
      • Кто такие банкиры?
      • Самые известные и влиятельные банкиры в истории
      • Профессия — банкир.
      • Как появились деньги и банкиры
      • Банковские гарантии
      • С 1 июня 2015 банковская гарантия стала НЕЗАВИСИМОЙ. Обзор поправок к ФЗ №42-ФЗ
      • Россиянами в первом квартале было потрачено больше заработанного
      • Хоум Кредит Банком сокращена треть сотрудников и введена курьерская кредитная доставка
      • Ситуация финансового рынка стала более предсказуемой
      • Кому и куда жаловаться на банк. Часть I
      • Кому и куда жаловаться на банк. Часть II
      • Что будет с ключевой ставкой по экспертным прогнозам
      • Все о банковской тайне
      • Как проверяют заемщика
      • Информационная банковская безопасность и ее необходимость
      • Цессия как финансовое явление
    • Банкротство юрлиц
    • Валюта
    • Виды кредитов
    • Вклады
    • Кредитные должники
    • Залоговое имущество
    • Интернет-банкинг
    • Ипотечные кредиты
    • Кредитные карты
    • Коллекторы
    • Кредитная история
    • Микрозаймы и микрокредиты
    • Мошенничество в сфере кредитования
    • Платежные системы
    • Судебные приставы
    • Страхование
    • Судебная система
    • Антиколлекторы
    • Общие вопросы кредитования
    • Банкротство физлиц
  • Видео
  • В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.

    Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.

    Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.

    Меры, помогающие обеспечить защиту банковской информации

    В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

    То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

    Меры по защите данных такого типа должны осуществляться последовательно:

  • Сперва оценивается и разрабатывается конфиденциальная информация;
  • Оборудуется объект для осуществления защиты.
  • Контролируется эффективность принятых мер.

    Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

    Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

    При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

    Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

  • Контролируется обмен данных, они строго регламентированы.
  • Банковские сотрудники проходят подготовку и соблюдают все требования безопасности
  • Каналы и сервера подвергаются строгому учету
  • Анализируется эффективность.

    В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, — также своевременно уничтожаются остаточные сведения.

    Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

    Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

    Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

    Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

    Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

    Принципы информационной безопасности банка

    Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.

    Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.

    Система безопасности, в общем, является непрерывным процессом идентификации, анализа и контроля.

    Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:

  • Проблемы своевременно устанавливаются и обнаруживаются
  • Можно спрогнозировать развитие
  • Предпринятые меры должны быть актуальными и эффективными.

    Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.

    Угрозы информационной безопасности банка

    Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.

    Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.

    При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.

    Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.

    Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.

    Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к разрушению введенных кодов.

    Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.

    В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).

    Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.

    Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.

    Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.

    Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

    Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.

    Простыми словами о сложном: ИБ в финансовых организациях

    Банк России выпустил Положения, которые регулируют требования к обеспечению информационной безопасности в финансовых организациях. Некоторые финансовые организации до сих пор не могут понять, каким требованиям им нужно соответствовать.

    Поэтому мы решили собрать общие сведения о некоторых обязательных документах в одной статье, а также уделить внимание содержанию каждого из них.

    Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

    Это положение, которое регламентирует выполнение определённых требований для кредитных организаций :

    • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
    • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
    • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4.

    Также документ производит градацию, в которой представлено, какому уровню должны соответствовать различные организации при проведении оценки соответствия уровню защиты информации, установленному ГОСТ 57580. Например, системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации. Остальные кредитные организации должны реализовывать стандартный уровень защиты информации.

    Информацию об инфраструктурных организациях финансового рынка, в отношении которых Банком России принято решение о признание их системно значимыми, можно посмотреть здесь .

    Положение Банка России от 17 апреля 2019 г. N 684-П «Об установлении обязательных для НЕкредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

    Это положение, которое регламентирует выполнение определённых требований для НЕкредитных финансовых организаций :

    • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
    • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
    • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4.

    Оценка определенного уровня защиты информации должна осуществляться НЕкредитными финансовыми организациями, реализующими усиленный уровень защиты информации, не реже 1 раза в год; НЕкредитными финансовыми организациями, реализующими стандартный уровень защиты информации, – не реже 1 раза в 3 года.

    Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей усиленному уровню защиты, должны соблюдать центральные контрагенты, центральный депозитарий.

    Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей стандартному уровню защиты, должны соблюдать следующие НЕкредитные организации:

    • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
    • клиринговые организации;
    • организаторы торговли;
    • страховые организации, стоимость активов которых в течение последних 6 месяцев подряд превышала 20 миллиардов рублей;
    • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
    • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних 6 месяцев подряд превышал 10 миллиардов рублей;
    • репозитарии;
    • брокеры, которые в течение 3 последних кварталов заключили сделки купли-продажи ценных бумаг в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов осуществляли брокерское обслуживание более чем 100 000 лиц;
    • диллеры, которые в течение последних 3 кварталов заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
    • депозитарии (в т.ч. расчётные), осуществившие в течение 3 последних кварталов учет ценных бумаг на счетах, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
    • регистраторы, которые в течение 3 последних кварталов открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
    • управляющие, которые в течение 3 последних кварталов заключали сделки купли-продажи ценных бумаг в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение 3 последних кварталов осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

    Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

    Это документ, в котором регламентированы требования, необходимые для обеспечения безопасности при переводах денежных средств, и порядок проведения работ по оценке соответствия установленным требованиям.

    Объем оцениваемых требований Положения Банка России № 382-П насчитывает порядка 170 показателей оценки.

    Согласно 382-П, если требование к обеспечению защиты при переводе денежных средств:

    • полностью не выполняется – оценке присваивается числовое значение 0;
    • выполняется частично – оценке присваивается числовое значение 0.25, 0.5 или 0.75;
    • выполняется полностью – оценке присваивается числовое значение 1.

    В целом, процесс оценки соответствия, осуществляемый на основании требований Положения № 382-П, идентичен процессу оценки соответствия по требованиям СТО БР ИББС-1.0.

    ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

    Документ, в котором регламентированы организационные и технические требования, необходимые финансовым организациям для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

    Методика оценивания изложена в ГОСТ Р 57580.2-2018, а сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе ГОСТ Р 57580.1-2017.

    Основные цели ГОСТ 57580 :

    • определение уровней защиты информации и соответствующих им требований;
    • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями;
    • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.

    Настоящий стандарт определяет три уровня защиты информации:
    — уровень 3 – минимальный – нормативные документы не регламентируют проведение аудита на соответствие данному уровню;
    — уровень 2 – стандартный – должен выполняться кредитными и НЕкредитными организациями;
    — уровень 1 – усиленный – должен выполняться значимыми кредитными и НЕкредитными организациями.

    Также финансовые организации при обработке биометрической информации в ЕБС обязаны использовать информационные технологии и технические средства, которые соответствуют первому уровню защиты информации (усиленный) в соответствии с ГОСТ 57580 для контура ЕБС, согласно Приказу Минкомсвязи №321.

    Мы собрали для Вас краткую шпаргалку со сроками, которые дают регуляторы финансовым организациям для проведения того или иного вида аудита.

    Информационная безопасность

    17 декабря 2020 года

    17 декабря 2020 года

    4 декабря 2020 года

    Ассоциация банков России в связи с опубликованием проекта указания Банка России «О внесении изменений в Указание Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента» направила замечания и предложения к данному документу в Банк России, в том числе связанные с необходимостью актуализации Стандарта Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» и пересмотра обязательности информирования своих клиентов о включении в базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

    Банк России в ответ на обращение сообщил о ведущейся работе по совершенствованию указанного Стандарта и планах представить порядок реализации модели информирования о включении клиентов в базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

    16 октября 2020 года

    Департамент информационной безопасности Банка России сообщил, что согласно информационному письму Банка России от 14.05.2020 № ИН-014-56/88, Банк России не будет применять меры в период до 1 июля 2021 года не только в случае нарушения кредитными организациями пункта 4 Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», но и в случае нарушения сходных требований абзаца второго пункта 2.5.5.1 Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

    5 ноября 2020 года

    Департамент информационной безопасности Банка России рассмотрел обращение Ассоциации банков России о возможности предоставления отсрочки на 1,5 года и неприменения мер в период до 1 июля 2022 года в случае нарушения кредитными организациями требований к обеспечению защиты информации, указанных в пункте 3 и абзаце 1 подпункта 9.2 Положения № 683-П. Регулятор сообщил о целесообразности рассмотрения возможности неприменения до 01.07.2022 мер за нарушение требований указанных пунктов Положения № 683-П. Окончательное решение будет принято регулятором по результатам развития ситуации с распространением коронавирусной инфекции.

    8 октября 2020 года

    Департамент информационной безопасности Банка России рассмотрел результаты опроса кредитных организаций на тему сложностей, возникающих при составлении отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» и использовании подсистемы «Фид-Антифрод» автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Регулятор ответил на вопросы кредитных организаций, а также предоставил комментарии по проблемным аспектам в рамках информационного обмена с Банком России.

    15 сентября 2020 года

    Департамент информационной безопасности Банка России рассмотрел вопросы и предложения Ассоциации банков России по проекту указания «О внесении изменений в Положение Банка России от 9 января 2019 года № 672-П «О требованиях к защите информации в платежной системе Банка России» в части защиты информации при работе в рамках Системы быстрых платежей Банка России. Регулятор сообщил об учете ряда поступивших предложений, а также направил разъяснения по вопросам кредитных организаций.

    ЦБ ужесточил требования к банкам по защите от киберугроз

    Банк России ужесточает требования по защите средств банков и их клиентов от киберпреступников. Об этом говорится в положении ЦБ, опубликованном 21 мая. Документ одобрен руководством ЦБ, ФСБ и Федеральной службы по техническому и экспортному контролю.

    Если раньше банки должны были обеспечивать информационную безопасность лишь при проведении операций по переводу денег, то теперь от них потребуют также делать это при привлечении вкладов (как от физических, так и от юридических лиц), размещении привлеченных средств и ведении банковских счетов клиентов.

    Для всех банков по умолчанию будет действовать стандартный уровень защиты информации. Наиболее важные организации банковского рынка обязаны будут перейти на усиленный уровень защиты. К таким организациям в документе отнесены:

    • 11 системно значимых банков: Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Промсвязьбанк, Райффайзенбанк, РСХБ, Росбанк, Московский кредитный банк, «ЮниКредит» и «ФК Открытие»;
    • Национальный расчетный депозитарий как оператор услуг системно значимой платежной системы;
    • 30 значимых на рынке платежных услуг организаций. Помимо девяти системно значимых банков (кроме Промсвязьбанка и «ЮниКредита») туда входят, например, «Тинькофф», «Восточный», Почта Банк, МТС-банк, Совкомбанк, а также сервис «Яндекс.Деньги».

    Принципы стандартного и усиленного уровней защиты прописаны в ГОСТе 2017 года. Основные различия касаются того, нужно ли для защиты информации применять технические меры (с помощью аппаратных и программных систем) или же организационные (вводить разного рода ограничения на работу информационной системы). Для разных видов банков имеются, например, следующие ограничения:

    • крупные банки, имея усиленный уровень защиты, должны автоматически блокировать учетные записи уволенных сотрудников и тех, кто более 90 дней не находится на рабочем месте;
    • со стандартным уровнем защиты достаточно однофакторной аутентификации пользователя при подключении к системам банка, с усиленным нужна уже многофакторная;
    • помещения с устройствами, дающими доступ к системам банка, должны быть оборудованы средствами контроля доступа, видеонаблюдением и сигнализацией при усиленном уровне защиты;
    • с усиленным уровнем защиты требуется автоматическая фиксация неавторизованного подключения к банковскому Wi-Fi;
    • обновление ПО систем защиты при усиленном уровне должно быть автоматическим, при стандартном же достаточно ручного (организационного) способа.
    • другие ключевые требования — внедрение усиленной электронной подписи клиента, выполнение всех требований ФСБ при работе со средствами криптозащиты, уведомление ЦБ обо всех инцидентах информбезопасности, а также регистрация действий клиента и работников банка при обработке платежной информации, отмечает директор департамента информационной безопасности Росбанка Михаил Иванов.

    Эти и другие меры, по замыслу ЦБ, призваны предотвратить несанкционированный доступ ко всем клиентским операциям. Раз в год банки должны тестировать информационные системы на возможность проникновения и анализировать уязвимости.

    Если банк получает статус, требующий перейти от стандартного к усиленному уровню защиты, ему дается полтора года на приведение своих систем в соответствие нормам. Положение о том, какие банки должны обеспечить какой уровень защиты, вступает в силу через полтора года — с 1 января 2021 года.

    Требования заложили в бюджеты

    ЦБ уже давно готовил банковский сектор к усилению требований по безопасности транзакций, так что для многих организаций это не новость, а скорее практика, сказал РБК директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. «К изменениям мы были готовы. Недостающие активности вроде аудита на соответствие ГОСТу мы закладывали в планы и бюджетировали в конце 2018 года», — пояснил Касимов.

    В феврале 2019 года киберкриминалисты компании Group-IB подсчитали, что 74% российских банков не готовы к атакам киберпреступников. Это связано с невысоким уровнем организации защиты: отсутствием плана реагирования, невозможностью быстрой мобилизации ресурсов и т.д. При этом именно на банковский сектор, по данным Group-IB, приходится две трети кибератак на российские компании. По их подсчетам, кибератаки на финансовую сферу за год с лета 2017-го по лето 2018 года нанесли около 3 млрд руб. ущерба.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×