Штабные киберучения выявят реальный уровень безопасности, а не формальное выполнение банками нормативных требований.
Нормативное регулирование и надзорная деятельность Банка России в отношении обеспечения информационной безопасности финансовой сферы — многоплановая деятельность, динамично развивающаяся в соответствии с новыми задачами. Ряд актуальных вопросов в этой сфере, встающих перед кредитно-финансовыми организациями, собранных Ассоциацией Банков России, заслуживают детальных разъяснений.
УСТРАНЕНИЕ РАЗНОЧТЕНИЙ
Формулировки нормативных документов Банка России в настоящее время предоставляют банкам и некредитным финансовым организациям (НФО) неравные возможности разрабатывать и проверять на уязвимость программное обеспечение. Что не может не вызывать вопросов со стороны организаций финансовой сферы.
В Положении Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» указано, что для этих целей банки могут только привлекать стороннюю компанию-лицензиата.
Положение № 684-П от 17 апреля 2019 года «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» предоставляет МФО возможность делать это самостоятельно.
Формулировку в 684-П считаем более приоритетной, разночтение будет устранено, нормативная документация гармонизируется. Банки, как и МФО, обладая необходимыми компетенциями, вправе самостоятельно проводить разработку безопасного программного обеспечения. Если таких компетенций нет, они могут привлекать для этого сторонние организации, у которых есть лицензия ФСТЭК России на осуществление такого рода работ.
СРОКИ АУДИТА И ОТЧЁТНОСТИ
Сроки прохождения аудита и предоставления в Банк России отчётности о соответствии ГОСТ Р 57580.1–2017 таковы. Было запланировано, что 3-й уровень должен быть достигнут в январе 2021 года, а 4-й — в январе 2022 года. Для оформления итогов аудита будет создана специальная форма отчётности на базе 202-й, которую дополнят показателями, насколько информационная безопасность отвечает нормам государственного стандарта.
Нужно быть готовым провести оценку соответствия в 2021 году, к моменту, когда соответствующая форма отчётности вступит в силу в начале 2022 года. Таким образом, для проверки у финансовых организаций в запасе достаточно времени, почти два года.
К вопросу о профессиональных стандартах для аудиторов информационной безопасности финансовых организаций. В настоящее время разрабатывается только стандарт деятельности таких организаций, но не их сотрудников.
Вопрос аттестации специалистом ИБ преждевременный, потому что профессиональные стандарты должны быть увязаны с образовательными стандартами по этой специализации. Кроме того, необходимы аттестационные центры, где специалисты могли бы подтверждать актуальность своей квалификации, получить сертификат. Когда эта система сложится, станет возможным её нормативное закрепление.
НОВЫЙ МЕТОДИЧЕСКИЙ ДОКУМЕНТ
Федеральный закон № 173-ФЗ от 3 июля 2019 года «О внесении изменений в Федеральный закон «О национальной платёжной системе» и отдельные законодательные акты Российской Федерации» ввёл новые объекты регулирования. Ими стали новые типы организаций — платёжные агрегаторы, операторы информационного обмена и поставщики платёжного программного обеспечения.
Это новшество заставило пересмотреть Положение № 382-П от 9 июня 2012 года «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Более того: новый состав субъектов регулирования предполагает издание нового нормативного акта.
Для банков существенных новых требований в нём не появится. Для выполняющих только функции операторов переводов денежных средств будет ссылка о защите информации на Положение № 683-П. Для банков, которые выполняют функции расчётных, клиринговых центров и другие, отдельная совокупность требований появится в новом нормативном акте, гармонизированным с 683-П.
Этот документ прошёл все предварительные процедуры согласования, Совет директоров Банка России, в настоящее время согласует в федеральных органах исполнительной власти, ФСБ России и ФСТЭК России. Принятие его ожидается к середине 2020 года, а вступление в силу — с 2021 года. До тех пор Положение № 382-П пребудет в силе.
В новом положении устраняется пересечение требований проведения финансовыми организациями аудита при помощи сторонних организаций: с одной стороны, на соответствие ГОСТ Р 57580.1–2017, с другой — требований Положения 382-П. Для оптимизации ресурсов остаётся необходимость проведения аудита только выполнения норм государственного стандарта защиты информации, а 382-П прекращает своё действие.
СЕРТИФИКАЦИЯ И АНАЛИЗ УЯЗВИМОСТЕЙ
Устраняются разночтения, постепенно накопившиеся в разных нормативных актах, унифицируются требования к сертификации и проведению анализа уязвимостей программного обеспечения. Гармонизированная с 683-П и 684-П редакция, в том числе в Положении № 672-П от 9 января 2019 года «О требованиях к защите информации в платёжной системе Банка России», такова.
Программное обеспечение для финансовых операций через интернет (чаще всего это мобильные приложения), которое предоставляют клиенту, должно быть протестировано анализом уязвимостей, либо требуется наличие сертификата. Более детальной классификации прикладного программного обеспечения для идентификации его как объекта оценки и определения приоритетности работ по анализу уязвимостей не предусмотрено.
Нормативно Банк России будет требовать проведения оценки соответствия прикладного программного обеспечения по уровню доверия ОУД4. Это блок вопросов, связанных не только с классом доверия AVA — анализом уязвимостей, одной из составных частей оценки соответствия по ОУД4. Недостаточно провести анализ уязвимостей, определённый в компонентах доверия AVA_VAN.5 (усиленный методический анализ), AVA_CCA_EXT.1 (анализ скрытых каналов) и AVA_VAN.3. Необходима полная оценка соответствия по всем параметрам, подпадающим под ОУД4.
ОТВЕТСТВЕННОСТЬ НА СТОРОНЕ БАНКОВ
Анализ уязвимостей программных продуктов, предоставляемых вендорами — сторонними разработчиками, яв-ляется известным вопросом. Требования к безопасности такой продукции накапливаются, их можно свести воедино. Но Банк России не обладает полномочиями регулировать деятельность вендоров — разработчиков программного обеспечения.
Ответственность за безопасность поставляемой сторонними разработчиками продукции Банк России может требовать только от подведомственных финансовых организаций, банков. Только сами финансовые организации в рамках договорных отношений могут предъявлять подобные требования безопасности к своим контрагентам, поставщикам программного обеспечения.
Подобным образом банк может выступать пользователем автоматизированной системы сторонних поставщиков услуг. Это тема аутсорсинга, когда обработка данных передаются на аутсорсинг поставщику услуг. Но ответственность за безопасность, с точки зрения регулирования и надзора, остаётся на стороне банка. Подробный стандарт процедур управления рисками аутсорсинга СТО БР ИББС‑1.4–2018 действует уже давно.
БЕЗОПАСНОСТЬ СО СТАДИИ РАЗРАБОТКИ
Успех многих компьютерных атак на финансовые сервисы, предоставляемые клиентам, объясняется отсутствием должного контроля безопасности программного обеспечения на этапе его создания, невыявленными уязвимостями. Наибольшая часть типичных уязвимостей связана с недостатками разработки. Разработчики банковского программного обеспечения обязаны самостоятельно обеспечивать контроль уязвимостей и их устранение.
Если прямой договорной механизм не будет работать, придётся разбираться и находить механизм, который бы обязал вендоров обеспечивать безопасность поставляемого ими программного обеспечения. Как вендоры будут этого достигать, проведением анализа уязвимостей на этапе разработки, сертификации или другим путём, — неважно, важен положительный итог.
Не имея возможности напрямую воздействовать на вендоров, Банк России будет стремиться при помощи других средств добиться от них необходимого результата. Вряд ли для этого потребуются такие серьёзные меры, как изменение федерального законодательства.
САМОСТОЯТЕЛЬНО ИЛИ АУТСОРСИНГ
Проект методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» предусматривает два варианта проверки на наличие уязвимостей. Первый вариант — самостоятельный, при наличии документально оформленного прохождения организацией процедур сертификации ФСТЭК России. Такой вариант возможен.
Второй вариант — анализ соответствия ГОСТ Р ИСО/МЭК 15408–3–2013 по ОУД4, который может выполняться как самостоятельно, так и с привлечением стороннего исполнителя. Методический документ не будет распространяться на организации, являющиеся лицензиатом ФСТЭК России по ТЗКИ (пункты «Б», «Д» или «Е»), проводящие работы по анализу уязвимостей в соответствии с ГОСТ Р ИСО/МЭК 15408–3–2013 и ГОСТ Р ИБО/МЭК 18045–2013.
Формальное требование таково, что организация, которая привлекается для проведения сертификации, должна обладать лицензией ФСТЭК России. Содержательное условие — наличие у организации-исполнителя компетенций качественно выполнить порученные работы.
Методический документ будет введён в действие по аналогии с отраслевыми стандартами. Его нормы нацелены на обеспечение информационной безопасности программного обеспечения для использующих его клиентов. Общая методология проведения процедуры оценки соответствия согласно ОУД4 увязывается с разными видами программного обеспечения, не только банковского.
Методический документ, нося рекомендательный характер, востребован и субъектами отрасли, не подпадающими под прямое регулирование Банком России, — вендорами и испытательными лабораториями. Потому нормы методического документа учитываются в техническом задании на проверку уязвимостей, которое заказчики, финансовые организации, составляют для исполнителей — разработчиков программного обеспечения.
УРОВНИ СООТВЕТСТВИЯ
Динамика достижения банками уровней соответствия требованиям информационной безопасности по срокам закреплена в нормативных документах. Микрофинансовые организации (МФО) в сфере информационной безопасности пока остаются вне подобного детального регулирования со стороны Банка России. На них пока не распространяются нормы Положения № 684-П.
Оценка текущего уровня обеспечения информационной безопасности и киберустойчивости в поднадзорных кредитных организациях была проведена Департаментом информационной безопасности Банка России согласно письму от 8 октября 2019 года № 56–3–7/611. Оценивались не только собственно уровень информационной безопасности, но и другие показатели надёжности.
Первые три уровня показателей включали количество прерываний деятельности из-за компьютерных атак, потери от инцидентов защиты информации, уровень фрода к общим объёмам платежей, возврат клиентам денежных средств при несанкционированных транзакциях. Только четвёртый уровень использовавшихся показателей определял оценку соответствия отраслевым нормативам информационной безопасности. Пятый уровень — показатели качества управления рисками информационной безопасности.
Эта система показателей уровня соответствия и рисков будет развиваться в отношении и банков, и других финансовых организаций. Показатели деятельности поднадзорных субъектов по обеспечению информационной безопасности должны агрегироваться и интегрироваться в другие нормативные акты.
По мнению ДИБ Банка России, уровень информационной безопасности должен являться для банков такой же частью общих показателей экономического состояния, как и внутренние процедуры оценки достаточности капитала в соотношении с операционными рисками. В частности, одним из элементов качества управления банком рисками, который будет внедряться, станет стандарт безопасности аутсорсинга СТО БР ИББС‑1.4–2018.
ШТАБНЫЕ УЧЕНИЯ — НЕ ФОРМАЛИСТИКА
Разработка методик проведения проверок финансовых организаций в сфере обеспечения информационной безопасности является внутренним делом Банка России. Подобная документация относится к служебной, а не публично распространяемой информации. Общая идеология проведения проверок заключается не в поиске формальных нарушений нормативных требований, не в определении комплаенса.
В ходе проверки, во‑первых, нужно понять вероятность компьютерных атак, способных привести к инцидентам. Во-вторых, главная задача — оценить готовность поднадзорных организаций своевременно их выявить и реагировать. То есть купировать атаку, обеспечить операционную устойчивость и надёжность. Риски поднадзорных оцениваются с точки зрения потенциальных инцидентов и возможностей минимизировать их негативные последствия.
Методология проведения киберучений в финансовой сфере именно такая. Подобные учения во всех крупных, системно-значимых кредитных организациях запланированы на второе полугодие текущего 2020 года. Это будет практическая проверка подходов, применяемых в ходе проверок по инструкциям Банка России.
Предстоящие киберучения — не имитация атаки, не сканирование на уязвимости, не тесты на проникновение. В формате штабных учений будут проводиться сбор информации и другие процедуры. Цель — оценить реальную защищённость ото всех актуальных компьютерных атак.
***
Оценке подвергнутся наличие уязвимостей, вероятность атак и инцидентов, возможный ущерб, меры противодействия и процедуры реагирования, способности минимизировать потери. С последующей интеграцией полученных данных в общие показатели экономического состояния поднадзорных организаций.