Информационная безопасность банковских безналичных платежей. часть 3

Введение

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

  • ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе «Интернет-банк»;
  • нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе «Интернет-банк»;
  • злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

Условия и требования для заемщика

Вопрос №2. Защита информации (определение, система, концепция, цель и замысел). Формы защиты информации. Сертификация, аттестация и лицензирование.

Защита
информации

— Деятельность,
направленная на предотвращение утечки
защищаемой информации, несанкционированных
и непреднамеренных воздействий на
защищаемую информацию.

Система
защиты информации

— совокупность органов и/или исполнителей,
используемая ими техника защиты
информации, а также объекты защиты,
организованные и функционирующие по
правилам, установленным соответствующими
правовыми, организационно-распорядительными
и нормативными документами по защите
информации.

Концепция
защиты информации

— Концепция
информационной безопасности, как система
взглядов на цели, способы обеспечения
безопасности информации и средства ее
защиты, должна в общем виде отвечать на
три простых вопроса:

·    
Что защищать?

·    
От чего защищать?

·    
Как защищать?

Цель
защиты информации
— Заранее намеченный результат защиты
информации.

Целью
защиты информации  может  быть 
предотвращение  ущерба собственнику, 
владельцу,  пользователю информации
в результате возможной утечки информации
и/или несанкционированного и 
непреднамеренного воздействия на
информацию.

Формы
защиты информации

— Сертификация, аттестация и лицензирование.

Замысел
Основная
идея, раскрывающая состав, содержание,
взаимосвязь и последовательность
осуществления технических и организационных
мероприятий, необходимых для достижения
цели защиты информации.

Сертификация:

Документ,
выдаваемый в соответствии с правилами
сертификации, указывающий, что
обеспечивается необходимая уверенность
втом, что должным образом идентифицированные
защищенные изделия, техническиесредства
и способы защиты информации
соответствуют конкретному стандарту
или другому нормативному документу.

Аттестация
— Под аттестацией объектов информатизации
понимается комплекс организационно-технических
мероприятий, в результате которых
посредством специального документа
(Аттестат соответствия) подтверждается,
что объект отвечает требованиям
стандартов или иных нормативно-технических
документов по безопасности информации,
утвержденных ФСТЭК России.

Лицензирование
– Разрешение
на право проведения тех или иных работ
в области защиты информации оформленное
лицензионным соглашением.

Вопрос
№3. Объект защиты, классификация.
Основные способы защиты информации от
Технических разведок.

Объект 
защиты 
—  информация или носитель информации
или информационный процесс,  в
отношении которых необходимо обеспечивать 
защиту  в соответствии с поставленной
целью защиты информации.

Классификация
к общим показателям относятся:

– важность
информации;

– категория
обрабатываемой информации;

– уровень
защиты;

– контролируемая
зона (КЗ);

– комплекс
средств безопасности объекта (КСБО);

– условия
функционирования при обработке информации
(автономно или неавтономно).

Устанавливаются
следующие уровни составляющих важности
информации:

– конфиденциальность:
особой
важности, совершенно секретно, секретно,
для служебного пользования, открытая
информация;

Защита
от технической разведки

— это комплекс мероприятий организационного
и технического характера, проводимых
с целью исключения или существенного
затруднения получения данных о скрываемом
объекте.

При
осуществлении мероприятий по защите
руководствуются рядом принципов,
реализация которых позволяет решать
задачи защиты с максимальной эффективностью
и минимальной стоимостью. Эти принципы
заключаются в том, что защита должна
быть

  • комплексной

  • активной

  • убедительной

  • непрерывной

  • разнообразной

  • экономически
    обоснованной.

Все
способы защиты в соответствии с имеющейся
руководящей документацией делятся на
две группы:

  1. скрытие;

  2. дезинформация.

Первая
группа включает:

  1. пассивное
    скрытие;

  2. активное
    скрытие;

  3. специальную
    защиту.

Вторая
группа включает:

  1. техническую
    дезинформацию;

  2. имитацию;

  3. легендирование.

Безопасность банковских вкладов

Безопасность банковских вкладов обеспечивается финансовым учреждением, защищающим денежные средства от хищений с помощью различных технических средств, и системой страхования вкладов, минимизирующей потери в случае банкротства или ликвидации кредитной организации. Таким образом, средства, хранящиеся на депозитах граждан от различных видов рисков. С 30.12.2014 года на основании Федерального закона «О страховании вкладов физических лиц в банках Российской Федерации» и Федерального закона «О центральном банке РФ (Банке России)», максимальная сумма страхового возмещения по вкладам составляет 1,4 млн. рублей.

Методики и публикации Microsoft по моделированию угроз

Security Development Lifecycleкаскадной модели разработки ПО («waterfall»)

  • методология STRIDE;
  • использование классификаторов угроз;
  • использование деревьев угроз и шаблонов атак.

Методология STRIDE

  • Spoofing Identity – «подмена личности». Нарушитель выдает себя за легитимного пользователя (например, украл логин/пароль) и выполняет от его имени вредоносные действия.
  • Tampering with Data – «подделка данных». Нарушитель подделывает данные, которые ему доступны при работе Web-приложения. Это могут быть cookie, элементы HTTP-запросов и т.д.
  • Repudiation – «отказ от транзакций». Нарушитель может отказаться от транзакций, когда на стороне Web-приложения не ведется достаточный аудит действий пользователей.
  • Information Disclosure – «раскрытие чувствительной информации». Нарушитель старается раскрыть персональные данные других пользователей, аутентификационную информацию и т.д.
  • Denial of Service – «отказ в обслуживании».
  • Elevation of Privilege – «повышение привилегий».
  • Damage Potential – какой ущерб будет нанесен, если угроза реализуется?
  • Reproducibility – насколько просто реализовать угрозу?
  • Exploitability – что требуется для того, чтобы выполнить атаку?
  • Affected Users – сколько пользователей может пострадать от атаки?
  • Discoverability – насколько просто злоумышленник может обнаружить угрозу?

Risk_DREAD = (DAMAGE + REPRODUCIBILITY + EXPLOITABILITY + AFFECTED USERS + DISCOVERABILITY) / 5

  • 0 = ущерба не будет;
  • 5 = ущерб будет лишь некоторой части системы или ограниченному объему данных;
  • 10 = пострадает вся система или будут уничтожены все данные.

Платежные системы и сервисы

  • Facebook Pay
  • Apple Pay, Apple Card
  • Samsung Pay
  • Alipay
  • WeChat Pay
  • PayPal и PayPal_Россия
  • Android Pay + Google Wallet = Google Pay
  • Huawei Pay, Huawei Card, Huawei Digital Payment Cloud Solution
  • Garmin Pay
  • BitPay Card
  • Mir Pay
  • VK Pay
  • SWIFT, SWIFT gpi Instant
  • Европейская платёжная инициатива (EPI, The European payments initiative)
  • CIPS — Трансграничная межбанковская платежная система
  • Visa International, Fold Rewards Card, Visa Secure, 3-D Secure
  • 3-D Secure 2.0 (3D-Secure 3DS) — EMVCo
  • MasterCard
  • UnionPay
  • JCB Платежная система
  • Corda R3 Платежная система на блокчейне
  • LG CNS: Платежная система с распознаванием лиц
  • Worldpay
  • American Express
  • Payment Card Industry Security Standards Council
  • BitPay
  • Биткоин (Bitcoin) Криптовалюта
  • Биткоин (Bitcoin) в России
  • Криптовалюты в России
  • Криптовалюты на Украине, FacePay24
  • Криптовалюты в Эстонии
  • Национальные криптовалюты
  • Восточноазиатская цифровая валюта
  • Цифровой юань (DCEP)
  • Цифровой евро
  • Цифровой доллар
  • Цифровая вона Южной Кореи
  • Цифровой бат Таиланда
  • Цифровая шведская крона (e-krona)
  • Facebook Libra криптовалюта
  • El Petro (криптовалюта)
  • Эфир (Ether, криптовалюта Ethereum)
  • Ethereum (криптовалюта)
  • JPM Coin (криптовалюта)
  • Gram (криптовалюта)
  • MUFG Coin (криптовалюта)
  • Tcoin (криптовалюта)
  • Venus (криптовалюта)
  • MobiCoin (криптовалюта)
  • Stablecoin (криптовалюта)
  • BitTorrent (криптовалюта)
  • Wells Fargo Digital Cash (криптовалюта)
  • Kodakcoin (криптовалюта)
  • Bitcoen Кошерная криптовалюта
  • Barca Fan Tokens ($BAR)

Виртуальные карты

  • Система Быстрых Платежей (СБП)
  • НСПК МИР
  • Sberbank Pay, Платежная система Сбербанка, Сбербанк: Система оплаты по улыбке
  • Платежная система АО Россельхозбанк
  • PosTransfer
  • United Card Services
  • SelfieToPay
  • Сервис по передаче финансовых сообщений (СПФС)
  • ECommPay ECommPay: Conversion +
  • Про100 (платежная система)
  • Рапида (Rapida)
  • ChronoPay (Хронопэй)
  • CloudPayments
  • Эвотор Пэй (Evotor Pay)
  • Золотая Корона, KoronaPay
  • Элекснет
  • Лидер — система денежных переводов НКО
  • ЮMoney
  • Webmoney
  • RBK Money
  • Кошелек МТС Деньги
  • Qiwi Кошелек
  • МультиКарта
  • Мультисервисная платежная система (МПС)
  • Кампэй (Comepay) Платежная система
  • Contact (платежная система)
  • Magnit Pay
  • PayMaster (сервис)
  • Pay.Travel
  • Blizko платежная система
  • PayBox.money
  • Универсальная электронная карта (УЭК)
  • Онлайн-обмен данными между торговыми точками и налоговой службой (контрольно-кассовая техника, ККТ, POS-терминалы)
  • POS-терминалы и другое торговое оборудование (мировой рынок)
  • Сервисы мобильных платежей
  • Бесконтактные NFC-платежи, NFC
  • Безопасность бесконтактных платежей
  • Основные тренды в сфере защиты банковских платежей
  • Терминалы оплаты (системы моментальных платежей)
  • Платежная карта
  • Карточные платежные системы
  • Дебетовые карты (рынок России)
  • Кредитные карты (рынок России)
  • Эквайринг (процессинг)
  • Оплата по биометрии
  • Безналичные платежи в России
  • Электронные платежные системы в России
  • Политика ЦБ в сфере защиты информации (кибербезопасности)
  • Политика ЦБ в сфере развития инноваций и финансовых технологий
  • ФинЦЕРТ
  • Денежные переводы (рынок России)
  • Электронные платежные системы в Азербайджане
  • Электронные платежные системы в Казахстане
  • Электронные платежные системы в Узбекистане
  • Электронные платежные системы на Украине
  • Денежные переводы (мировой рынок)
  • Потери банков от киберпреступности
  • Информационная безопасность в банках
  • Мошенничество с банковскими картами
  • Взлом банкоматов

Баконг (Bakong) Государственная платежная система Камбоджи

Угрозы информационной безопасности банка

Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка.

По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.

Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.

Кроме внутреннего фактора, существует также техническая угроза информационной безопасности как банков так и предприятий. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями.

Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации, ЭЦП и представляющих техническую угрозу утечки.

Компьютерные системы – это необходимое средство для осуществления работы банка, однако одновременно это и одно из самых уязвимых мест предполагаемой технической утечки.

Опасность и угрозу для программного обеспечения могут представлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды.

Самым известным способом решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, успешно справляющиеся с данной проблемой.

Защитить банковскую информацию  от внутренних и внешних утечек  поможет грамотный специалист в этой области и программное обеспечение, позволяющее отслеживать и блокировать передачу информации на съемные носители (например – флешки).

Важным направлением защиты также является своевременное распознавание и ограничение утечек различного вида.

В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными

Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.

Принципы информационной безопасности банка

Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно.

Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом.

Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля. Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:

  • своевременное установление и обнаружение проблем;
  • возможность прогнозирования развития;
  • актуальность и эффективность предпринятых мер.

Также необходимо особо подчеркнуть важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качественного и аккуратного выполнения требований, предъявляемых службой безопасности

Технический анализ инцидентов

2015

Отчет: “Технический отчет о деятельности преступной группы, занимающейся целевыми атаками — Anunak”, – Group-IB, 2015статьяОтчет: “Атаки на брокерские и расчетные системы”, – Group-IB, 2015Большое банковское ограбление: APT-кампания Carbanak, – securelist.ru, 2015отчет english

2016

“Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0”, – securelist.ru, 2016Отчет: “Buhtrap: эволюция целенаправленных атак на банки”, – Group-IB, 2016Отчет: “Cobalt snatch”, — Positive Technologies, 2016

2017

Отчет: “Cobalt strikes back: новые атаки на финансовые организации”, — Positive Technologies, 2017“По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB”, — Блог компании Group-IB на habr.com, 2017“Секреты Cobalt Как группа Cobalt преодолевает средства защиты”, — Group-IB, 2017“MoneyTaker: охота на невидимку Group-IB рассекретила хакеров, атакующих банки в США и России”, — Group-IB, 2017Атаки на банкоматы на примере GreenDispenser: организация и технологии”, — Positive Technologies, 2017“The Silence — новая целевая атака на финансовые организации”, — Securelist.ru, 2017“Финансовая кампания TwoBee”, — Securelist.ru, 2017

2018

“Большая разница: Cobalt vs MoneyTaker Чем отличаются две самые активные преступные группы”, — Group-IB, 2018“Новые атаки на банки”, — Positive Technologies, 2018Вебинар: “Исследование целенаправленных атак на финансовые организации”, — Positive Technologies, 2018презентация»Атаки на промышленные предприятия с использованием RMS и TeamViewer», — Securelist.ru, 2018«Хакеры атакуют банки с помощью файлов Microsoft Publisher», — SecurityLab.ru, 2018

Методика формирования модели угроз

  • сохранение компактности и минимизация дублирования,
  • полнота идентификации угроз и простота уточнения модели,
  • обеспечение возможности работы с моделью как бизнес-специалистам, так и техническим работникам.

«дерево угроз»

  1. Угрозы описывались, начиная с бизнес-уровня, и постепенно декомпозировались на технические составляющие.
  2. Угрозы, свойственные типовым элементам информационной инфраструктуры (например, сетевым соединениям, системам криптографической защиты информации, …) группировались в типовые модели угроз.
  3. Далее при моделировании угроз, свойственных типовым элементам информационной инфраструктуры, вместо дублирования описания угроз давалась ссылка на соответствующую типовую модель.

Уязвимости

2014

“Безопасность мобильного банкинга: возможность реализации атаки MitM”, — Digital Security, 2014 “VM escape: 101”, – Блог компании Digital Security на habr.com, 2014

2017

“Уязвимости приложений финансовой отрасли”, – Positive Technologies, 2017“Автоматизированный анализ кода: статистика уязвимостей веб-приложений за 2017 год”, — Positive Technologies, 2017“Статистика атак на веб-приложения: IV квартал 2017 года”, — Positive Technologies, 2017Вебинар: “Типовые сценарии атак на беспроводные сети”, — Positive Technologies, 2017презентацияВебинар: “Типовые сценарии атак на корпоративную информационную систему”, — Positive Technologies, 2017презентация

2018

“Исследование: больше половины систем дистанционного банковского обслуживания содержат критические уязвимости”, — Блог компании Positive Technologies на habr.com, 2018Вебинар: “Продвинутые атаки на Microsoft Active Directory: способы обнаружения и защиты”, — Positive Technologies, 2018презентация“Уязвимости корпоративных информационных систем 2018”, — Positive Technologies, 2018“Как социальная инженерия открывает хакеру двери в вашу организацию”,- Positive Technologies, 2018Вебинар: “Анализ защищенности ATM: логические атаки и уязвимости”, — Positive Technologies, 2018презентация«К купюрам пробрались через сейф», — kommersant.ru, 2018«Низкоуровневый взлом банкоматов NCR», — Блог компании Positive Technologies на habr.com, 2018

Информационная безопасность национальной платежной системы

Национальная платежная система (НПС), в виду последних событий, становится все более приоритетным направлением во внутренней политике государства. Президент России Владимир Путин подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. Оператор НСПК создается в форме ОАО, 100% активов которого принадлежит Банку России. Целью проекта обозначено инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри России, закрепить территориально внутри страны операционные центры и платежные клиринговые центры.

Фактически, до выхода закона деньги могли появляться из «ниоткуда» и исчезать в «никуда». С выходом закона ситуация меняется, НПС дает возможность отслеживает все денежные операции, в том числе финансирование сомнительных сделок и мошеннические операции, которые могут угрожать безопасности граждан или страны в целом. Кроме того, уход от наличного оборота, по мнению правительства,  является еще одним шагом в борьбе со взяточничеством.

Для обеспечения безопасности НПС был выпущен целый рад подзаконных актов, серди которых основополагающее Положение о защите информации в платежной системе» от 13.06.2012 №584. Но в большей мере отвечает выпущенное ответственным департаментом Банком России Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» от 09.06.2012 N 382-П)

С обновлением П-382 тенденции обеспечения защиты теперь смещены в сторону:

  • применением банкоматов и платежных терминалов;
  • применения пластиковых платежных карт;
  • использования сети Интернет (систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга);
  • требований к порядку разработки и распространения специализированного ПО, предназначенного для использования клиентом при переводе денежных средств;
  • что очень порадовало, расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
  • требований о необходимости проведения классификации банкоматов и платежных терминалов, результаты которой должны учитываться при выборе мер защиты;
  • процедур приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
  • предусмотрены процедуры защиты от современных угроз безопасности, таких как: скимминг (путем использования специализированных средств, препятствующих несанкционированному считыванию треков платежных карт; защита сервисов расположенных в сети Интернет от внешних атак (DoS-атак); защита от фишинга (от фальсифицированных лождных ресурсов сети Интернет).
  • требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпуска карт, не оснащенных микропроцессором, после 1-го января 2015 года;
  • 29 новых показателей оценки.

Платежная система Банка России

платежная система Банка РоссииРис.4Банк РоссииБанке РоссииБанк РоссииКлиентом БКлиентом ВБанка России

  1. в режиме реального времени с использованием сервиса банковских электронных срочных платежей (БЭСП);
  2. в дискретном режиме с применением механизмов внутрирегиональных электронных расчетов (ВЭР) или межрегиональных электронных расчетов (МЭР).
Номер рейса Период приема электронных документов Период обработки электронных документов Время выдачи результатов обработки
Первый рейс 10:00 – 11:00 11:00 – 12:00 с 12:00
Второй рейс 11:15 – 14:00 14:00 – 15:00 с 15:00
Третий рейс 14:15 – 16:00 16:00 – 17:00 с 17:00
Четвертый рейс 16:16 – 18:00 18:00 – 20:00 с 20:00
Окончательный рейс 19:00 – 21L00 21:00 – 22:00 с 22:00

Аннотация

Финансовые организации являются наиболее защищенной в плане информационной безопасности экономической сферой. Причины очевидны – риски именно экономических потерь в случае киберинцидентов – прямые и наблюдаемые. В то же время, финансовые организации обладают достаточными бюджетами и мотивацией для качественного развития ИТ- и ИБ-систем.

Тем не менее, инциденты ИБ, связанные с нелегитимными транзакциями, в настоящее время распространены и не теряют актуальности. Автором рассматривается, какие именно процессы сейчас находятся в зоне риска, а какие уже достаточно продуманы, и их риски на текущий момент минимизированы.

Как показывает статистика, транзакции между пользователем и банковской системой являются наименее защищенными и наиболее частыми мишенями злоумышленников. Поэтому ниже рассматриваются транзакции уровня «клиентское устройство – банковский бэкенд». Внутренние и межбанковские платежные операции не являются предметом данной статьи.

Место службы информационной безопасности в структуре менеджмента организации

  1. Cтрах.
    Руководство компании осознает, что компьютерные атаки или утечки информации могут привести к катастрофическим последствия, и предпринимает усилия для их нейтрализации.
  2. Обеспечение соответствия законодательным требованиям.
    Действующие законодательные требования налагают на компанию обязательства по формированию СИБ, и топ-менеджмент предпринимает усилия по их исполнению.
  1. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  2. «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 N 382-П) (ред. от 14.08.2014) (Зарегистрировано в Минюсте России 14.06.2012 N 24575).
  3. «Положение о требованиях к защите информации в платежной системе Банка России» (утв. Банком России 24.08.2016 N 552-П) (Зарегистрировано в Минюсте России 06.12.2016 N 44582).
  4. Требования лицензии ФСБ России на криптографию: Постановление Правительства РФ от 16.04.2012 N 313, Приказ ФАПСИ от 13.06.2001 N 152 (СИБ, как орган криптозащиты).
  5. Для банков, обладающих значимыми объектами ключевой информационной инфраструктуры — Приказ ФСТЭК России от 21.12.2017 N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (Зарегистрировано в Минюсте России 22.02.2018 N 50118).

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» РС БР ИББС-2.7-2015»

Подчиненность Особенности
СИБ в составе IT 1. Организация защиты возможна только против внешнего злоумышленника. Основным вероятным внутренним злоумышленником является сотрудник IT. Бороться с ним в составе IT невозможно.
2. Нарушение требований Банка России.
3. Прямой диалог с IT, простое внедрение систем защиты информации
СИБ в составе службы безопасности 1. Защита от действий как внутренних злоумышленников, так и внешних.
2. СБ — единая точка взаимодействия топ-менеджмента по любым вопросам безопасности.
3. Сложность взаимодействия с IT, поскольку общение происходит на уровне глав IT и СБ, а последний, как правило, обладает минимальными знаниями в IT.
СИБ подчиняется Председателю Правления 1. СИБ обладает максимальными полномочиями и собственным бюджетом.
2. Для Председателя Правления создается дополнительная точка контроля и взаимодействия, требующая к себе определенного внимания.
3. Возможные конфликты СБ и СИБ по зонам ответственности при расследовании инцидентов.
4. Отдельный СИБ может «политически» уравновешивать полномочия СБ.
  1. Показать экономическую значимость
    Для этого ей необходимо вести учет инцидентов и оценивать потенциальный ущерб от их реализации. Совокупный размер потенциального ущерба можно считать сэкономленными денежными средствами. Для устранения разногласий по размеру оцениваемого ущерба рекомендуется предварительно разработать и утвердить методику его оценки.
  2. Заниматься внутренним PR-ом
    Рядовые работники организации обычно не знают, чем занимается СИБ, и считают ее сотрудников бездельниками и шарлатанами, мешающими работать, что приводит к ненужным конфликтам. Поэтому СИБ должна периодически доносить до коллег результаты своей деятельности, рассказывать об актуальных угрозах ИБ, проводить обучения и повышать их осведомленность. Любой сотрудник компании должен чувствовать, что, если у него возникнет проблема, связанная с ИБ, то он может обратиться в СИБ, и ему там помогут.

Защита персональных данных в банках

До выхода 5 редакции СТО БР ИББС–2014, защита персональных данных в банках базировалась на двух документах: БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» и РС БР ИББС-2.4-2010. «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

На практике это выглядело так: брали в неизменном виде предложенную Центральным Банком частную отраслевую модель угроз, по методическим рекомендациям определяли требований к защите каждой ИСПДн, исходя из и количества и списка обрабатываемых данных, и в дальнейшем выстраивали по ним перечень необходимых мероприятий.

Главной головной болью специалистов до сегодняшнего дня было то, что настоящие требований действовали вплоть до очередной редакции СТО БР ИББС – 2014, хотя на тот момент защита ПДн уже выстраивалась в соответствии с ПП-1119 и приказом ФСТЭК №21. В виду того, что банки должны соответствовать принятому пакету СТО БР ИББС, многие из них пользовались не актуальными методиками и, как следствие, не соотвестствовали новым реалиям обеспечения безопасности.

С выходом этих двух упомянутых нормативных документов ситуация изменилась к лучшему — были отменены некоторые строгие требования по лицензированию, упрощены процедуры классификации ИСПДн, оператору ПДн дано больше прав на выбор защитных мер. Требования к защите ИСПДн определяясь таблицей соответствия «уровня защищенности» и применяемых к ним процедур безопасности, детализациях которых была представлена приказом ФСТЭК № 21. Это позволило нивелировать различия в методике защиты ПДн в отраслевом стандарте ЦБ и общего российского законодательства.

В обновленном стандарте появился новый термин «Ресурс ПДн», для которого сформированы требования к документированности отдельных процедур, связанных с обработкой персональных данных (раздел 7.10). Отдельно рассмотрены вопросы, связанные с уничтожением персональных данных: организациям предоставлена возможность уничтожать ПДн не сразу, а на периодической основе, но не реже одного раза в полгода.

Роскомнадзором отдельно были внесены пояснения в отношении биометрических ПДн, например фотографии сотрудников, если таковые используются в целях осуществления контрольно-пропускного режима или выставлены на сайте компании в качестве общедоступной информации о руководстве, не попадают под режим специальных требованиям к защите.

Банкам же, которые ранее уже выполнили требования по защите ПДн по старому стандарту, для соответствия новым требованиям нужно скорректировать свои внутренние нормативные документы, провести заново классификацию и переадресацию ИСПДн и, в соответствии с уровнем защищенности, определить для себя новый перечень защитных мероприятий. Хочется отметить, что сейчас у банков появилось больше свободы в выборе средств и методов защиты, однако применение именно сортированных ФСТЭК средств защиты информации по-прежнему является обязательным.

Выводы

Стандарты PCI SSC не закреплены на государственном уровне как обязательные, точнее, только некоторые штаты в США ввели их на законодательном уровне. Но, благодаря требованиям платежных систем, они выполняются в большом количестве организаций. Исследование компании Cisco по выполнению стандарта в США от 2011 года выявило следующее:

Из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта.

При этом 85% опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78% успешно прошли такой аудит с первого раза.

Наиболее высокие результаты в данной области показали государственные организации: 85% госучреждений успешно прошли аудит PCI DSS с первого раза

Хуже всего проходили такой аудит медицинские организации (72%).

67% опрошенных руководителей компаний и членов советов директоров считают PCI DSS весьма важной инициативой; кроме того, 60% опрошенных подтвердили, что стандарт PCI DSS может стимулировать другие проекты, связанные с сетями и сетевой безопасностью.. 10 лет назад компания «Verizon» начала отслеживание выполнения стандарта PCI DSS среди компаний

Отчет «Verizon PCI Report» от 2019 года показывает, что динамика поддержания соответствия ранжируется от 22% (2009 г.) до 7,5% (2011 г.) и 55,4% (2016 г.) – см. рисунок 1. И сейчас, спустя 15 лет после выхода стандарта, более 35% поддерживают системы защиты в полностью актуальном соответствии стандарту, многие компании находятся в процессе проработки подобных процедур.

10 лет назад компания «Verizon» начала отслеживание выполнения стандарта PCI DSS среди компаний. Отчет «Verizon PCI Report» от 2019 года показывает, что динамика поддержания соответствия ранжируется от 22% (2009 г.) до 7,5% (2011 г.) и 55,4% (2016 г.) – см. рисунок 1. И сейчас, спустя 15 лет после выхода стандарта, более 35% поддерживают системы защиты в полностью актуальном соответствии стандарту, многие компании находятся в процессе проработки подобных процедур.

Рис. 1 – Динамика поддержания систем защиты на соответствие стандарту PCI DSS по годам

В условиях технологического рывка финансовой сферы технология 3D Secure получила достаточно широкое распространение благодаря удобству для пользователя при высоком уровне защищенности.

В России, кроме того, с 2020 года становятся обязательными требования ЦБ РФ к финансовым организациям. А с июля 2016 года действует закон «О внесении изменений в 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» (контрольно-кассовая техника – далее «ККТ»), обязывающий, в том числе, все онлайн платежные операции осуществлять с использованием ККТ, подключенной к системе онлайн-передачи фискальных данных в ФНС. Для этого используются операторы фискальных данных (ОФД), которые располагают специальными техническими средствами обработки фискальных данных в режиме реального времени, формирования, проверки и хранения у себя базы фискальных данных, а также передачи их в налоговый орган. Для конечного пользователя этот закон полезен тем, что при любой онлайн-покупке он получает по почте или другим методом подтверждающий чек, являющийся полноценным фискальным документом. ОФД, в свою очередь, располагает техническими средствами защиты фискальных данных и необходимыми лицензиями ФСТЭК и ФСБ.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий