24/12/2019

Готова стартовать контрольно-надзорная деятельность за обеспечением безопасности биометрических данных клиентов банков

Полномочия Банка России как государственного регулятора информационной безопасности финансовой сферы в 2019 году были значительно расширены. Отраслевой регулятор, помимо прочих новых полномочий, готовится осуществлять надзор и контроль в финансовой сфере за сбором, обработкой, верификацией и дальнейшим использованием данных для Единой биометрической системы.

 

ОТТАЛКИВАЯСЬ ОТ БИЗНЕС-ПРОЦЕССОВ

Подведомственными для Банка России как мегарегулятора всей финансовой сферы оказались и около 20 тыс. некредитных финансовых организаций. Расширение сферы регулирования и расширение полномочий требует ещё более систематизированного подхода, в том числе в выстраивании процедур регулирования и надзора.

Надзорно-контрольная деятельность должна быть адаптирована к профилю, специализации «поднадзорных» юридических лиц и информационным технологиям, которые они используют. Очевидно, что нормативные акты, которые издаются для кредитных организаций, в меньшей степени применимы к технологии обработки информации у финансовых компаний, работающих на рынке ценных бумаг. И ещё менее применимы к организациям, действующим на рынке коллективных инвестиций.

Банку России важно разобраться в технологиях обработки информации, сейчас эта работа активно ведётся в отношении некредитных финансовых организаций разного вида. Регулятор разбирается, из каких конкретных операций состоит процесс обработки защищённой информации подведомственными организациями в соответствии с профилями их деятельности. Происходит определение рисков реализации компьютерных атак на каждом из технологических участков. В этой работе Банк России активно использует опыт международных площадок, где решают схожие задачи.

 

ТРИ УРОВНЯ РЕГУЛИРОВАНИЯ

Государственное регулирование должно исходить из понимания бизнес-процессов, особенностей обработки информации и концентрироваться на трёх уровнях.

Первый уровень − выбор технологических мер защиты информации при проведении операций. То есть всё, что связано с обеспечением целостности и достоверности информации.

Второй уровень − требования к безопасности программного обеспечения, такие нормативные документы разрабатываются и применяются.

Третий уровень − требования к инфраструктуре. Существует широко известный ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». В настоящее время разрабатывается новый государственный стандарт, инфраструктурные требования к защите информации.

Банк России обладает правовыми основаниями и полномочиями устанавливать требования к защите информации в финансовой сфере. Начиная с уровня федерального законодательства, где Банк России готовит и вносит законодательные инициативы. В том числе взаимодействуя с другими ведомствами, такими как, например, Минфин России и Минкомсвязи РФ, поскольку их субъекты регулирования поднадзорны Банку России.

Кроме того, Банк России разрабатывает и публикует отраслевые нормативно-правовые документы рекомендательного и обязательного характера. Предварительно прорабатываются технологии, используемые для проведения операций в банковской сфере и на финансовых рынках. Результатом выступают положения и концепты, которые переходят в отдел нормативного регулирования.

Требования нормативных актов формируются на основе действующих технологий, которые сегодня уже применяются как в банковских организациях, так и в организациях некредитной финансовой сферы. Для частных случаев предусмотрены нормативные документы более низкого уровня: информационные письма, методические рекомендации, которые более подробно разъясняют требования для тех или иных технологий и правовые аспекты.

 

ЗАЩИЩЁННАЯ БИОМЕТРИЯ

Так, законодательной базой обеспечения информационной безопасности Единой биометрической системы служит Федеральный закон от 31 декабря 2017 года № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» − о создании механизма удаленной биометрической идентификации физлиц. Модель угроз и требования к информационной безопасности в единой биометрической системе в процессе сбора биометрических данных и дистанционной идентификации пользователей были сформулированы Банком России в Методических рекомендациях №4-МР.

О ходе выполнения методических рекомендаций регулятора на начало сентября 2019 года можно было судить по данным 38 банков, обслуживающих физических лиц. Встречи с ними в ходе этой работы проводятся регулярно. Семь банков разрабатывают и внедряют самостоятельные решения, 31 банк пользуются продуктами, купленными у поставщиков. На рынке будут представлены четыре типовых решения − облачные, «коробочные» и адаптированные под заказчика. Большинство банков стремятся использовать типовые решения, что поддерживается, и разработка их должна быть ускорена.

Ожидается, что почти все, 37 банков, завершат внедрение в текущем 2019 году и один – в следующем. Единственным фактором неопределённости, способным повлиять на эти сроки, является время, которое потребуется на согласование ФСБ России системных проектов поставщиков решений. С уполномоченным органом должны быть согласованы вначале системный проект, а потом и решение на его основе.

Банки получили информационное письмо Банка России о неприменении надзорных мероприятий в отношении обеспечения информационной безопасности биометрических данных до конца года. Старт их проведения запланирован на начало следующего, 2020 года. Интенсивность и глубина этой деятельности будут определяться тем, насколько результативно банки внедрят наличествующие решения.