РЕКОМЕНДОВАННОЕ СТАЛО ОБЯЗАТЕЛЬНЫМ
В последние несколько лет система регулирования национальной платежной системы России была существенно усовершенствована. До выхода ФЗ-161 «О национальной платёжной системе» Банк России не имел полномочий регулировать обеспечение защиты информации в банках. Вынужденно использовалась рекомендательная форма регулирования – в виде отраслевого стандарта, а также методических рекомендаций и «наводящих» опросов. Надзора за этой сферой Банк России не вёл, не было обязательной отчетности об инцидентах, связанных с безопасностью платежей.
Тем не менее, в 2012 году был зафиксирован впечатляющий итог совместной деятельности Банка России и банковского сообщества. О присоединении к отраслевому стандарту заявили около 80% кредитно-финансовых организаций. Около 500 банков внутренними распорядительными документами приняли требования стандарта как обязательные. Оценку соответствия требованиям стандарта Банка России СТО ИББС 1.0 провели около 250 кредитно-финансовых организаций, что является высоким показателем.
Практика показала: в той области, которую регулирует комплекс стандартов Банка России по информационной безопасности, риски существенно снизились и в настоящее время в целом являются приемлемыми. Забегая вперёд, отметим, что это подтверждается статистикой, получаемой в результате обработки отчётности, предоставляемой в надзирающую организацию.
Усиление информационной защищённости собственно банковской сферы сопровождается и в России, и за рубежом тенденцией перемещения рисков безопасности и компьютерной преступности в платёжные системы. Причём в области, связанные с действиями, выполняемыми непосредственно человеком, в первую очередь клиентом. На стороне клиента меры безопасности должны поддерживаться самим клиентом, а так как человек является наиболее слабым местом в этом человеко-машинном комплексе, он и подвергается атакам не только с помощью технических инструментов, но и посредством фишинга или кражи аутентификационных данных. Например, с банковских карт, на которых они хранятся и на магнитной полосе, и в виде нанесенных на карту цифр.
Мировой опыт показывает, что государство должно обеспечивать устойчивость и стабильность национальной платёжной системы, бесперебойность её функционирования, максимальное сокращение хищений денежных средств, создавать условия развития и совершенствования платёжных систем и инфраструктуры, минимизировать риски. Задачи реализации требований к безопасности решаются с помощью государственного нормативного регулирования, проведения мероприятий по надзору и наблюдению, сбора и анализа отчетности.
НАБЛЮДЕНИЕ КАК «МЯГКОЕ» РЕГУЛИРОВАНИЕ
Новации ФЗ-161 в области защиты информации заключаются в следующих нормах:
Федеральным законом ФЗ-161 «О национальной платёжной системе» введены понятия «национальная платёжная система», «платёжная система» «электронное средство платежа» и многие другие. Определены критерии отнесения систем к категории платёжных систем, установлены требования для них, включая требования бесперебойности и управления рисками. Определены требования к правилам платёжных систем, установлены права и принципы надзора и наблюдения за платёжными системами (через соответствующих операторов) со стороны Банка России.
Особенно важно, что регулирование вопросов защиты информации при переводе денежных средств теперь, в соответствии со ст. 27 ФЗ-161, осуществляется в рамках надзора за операторами платёжных систем. Таким образом, с 1 июля 2012 года Банк России получил полномочия нормативного регулирования этой деятельности.
Осуществление Банком России нормативного регулирования защиты информации при переводе денежных средств полностью вписывается в схему надзорной деятельности в соответствии с ФЗ-161. Регулированием, наблюдением и надзором, организацией сбора и обработки отчётности в сфере защиты информации в национальной платёжной системе, в соответствии с внутренним функциональным распределением, в Банке России занимается Департамент регулирования расчётов.
В последнее время в России, как и в мире в целом, всё большее развитие получает такая «мягкая» форма регулирования как наблюдение за платёжными системами. По итогам делаются рекомендации, как можно улучшить достигнутые результаты, внедряя лучшие практики и стандарты безопасности, разрабатываемые мировым банковским сообществом. Такая форма взаимодействия с поднадзорными организациями способствует повышению качества их работы, снижению рисков, в том числе безопасности.
О ПОЛОЖЕНИИ БАНКА РОССИИ 382-П
В соответствии со ст. 27 ФЗ-161 Банком России на Департамент регулирования расчётов была возложена обязанность, совместно с регуляторами в этой области – ФСБ России и ФСТЭК России, разрабатывать и выпускать требования по защите информации при переводе денежных средств. Работа по подготовке этих нормативных актов была выполнена в установленные сроки.
Нормативные документы были гармонизированы с постановлением Правительства России № 584 от 13 июня 2012 года «Об утверждении Положения о защите информации в платёжной системе» и достаточно полно соответствуют стандартам безопасности, принятым мировым банковским сообществом. Соблюдена преемственность с Комплексом стандартов Банка России по информационной безопасности СТО ИББС. Документы, нормирующие защиту информации, готовились с учётом, с одной стороны, уже проделанной участниками отрасли работы, с другой – результатов, достигнутых в ходе разработки и внедрения стандартов.
Выпуск требований Банка России к обеспечению защиты информации при переводе денежных средств фактически снял проблему, стоявшую перед банковским сообществом все последние годы. В соответствии с федеральным законом ФЗ-184 от 27 декабря 2004 года «О техническом регулировании», стандарт Банка России по информационной безопасности, как и другие стандарты, имеет рекомендательный статус. Теперь же его ключевые требования, будучи воспроизведены в нормативно-правовом акте, обязательны для исполнения. Выполнение их через некоторое время положительно скажется на деятельности субъектов национальной платёжной системы, способствуя снижению рисков информационной безопасности.
Положение Банка России 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», выпущенное 9 июня 2012 года, было разработано на базе Стандарта Банка России СТО ИББС БР 1.0 и согласовано с ФСБ России, ФСТЭК России и Минюстом РФ.
Документ содержит 14 групп требований к защите информации при осуществлении переводов денежных средств и устанавливает порядок осуществления Банком России контроля их выполнения. Также Положение включает «Методику оценки соответствия (выполнения)», которая распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем и операторов услуг платежной инфраструктуры.
Положение не регулирует безопасность ни операционных центров, расположенных за пределами России, ни систем ДБО, ни деятельности клиентов в системах электронных средств платежа и участников карточных платёжных систем, регулируемую стандартом PCI DSS. Однако следует отметить, что, по всей видимости, Банк России будет расширять данное Положение, включая в него соответствующие дополнительные требования по мере проработки вопросов интеграции требований PCI DSS – стандарта карточной индустрии.
Важно помнить, что хорошо организовать работу по защите информации при переводе денежных средств и добиться прозрачности оценки можно только при наличии соответствующих единых, универсальных требований, методик контроля выполнения и единой системы отчётности.
ПРЕЖНИЕ РЕЗУЛЬТАТЫ ЗАЧИТЫВАЮТСЯ
Приложением к Положению Банка России 382-П является методика оценки выполнения требований, и перед банками встала задача конвертировать в этот новый формат прежде полученные результаты оценки соответствия Стандарту СТО ИББС 1.0. Эти ранее достигнутые показатели соответствия отраслевому стандарту информационной безопасности должны быть пересчитаны и зачтены при оценке выполнения требований новых нормативных документов.
Банкам, которые ранее приняли и выполняли требования стандарта безопасности Банка России, мало поводов для беспокойства. Конечно, чтобы соответствовать требованиям Положения Банка России №382-П, им придётся выполнить дополнительные организационные работы. А именно провести анализ и доработку документации, но это, как показывает практика, вполне решаемая задача. В дальнейшем нужно будет проводить регулярные оценки и самооценки, а также подтверждать полученные результаты в ходе комплексных проверок, проводимых Банком России.
Около 20% всех кредитно-финансовых организаций, те, что ранее не приняли стандарт Банка России и не проводили работу по достижению соответствия его требованиям, будут находиться в более сложной ситуации. Требования информационной безопасности, ранее содержавшиеся в отраслевом стандарте, а теперь включённые в 382-П, им теперь придётся выполнять в обязательном порядке. Старт с «низкой позиции» вынуждает к более значительным финансовым затратам, а выполнение требований длится дольше, – как показывает практика, около 2 лет.
Банк России, введя в действие новые нормативные требования к защите информации при переводе денежных средств, инициировал приведение всех кредитно-финансовых организаций в соответствие с предъявляемыми требованиями. Периодичность предоставления отчетности о состоянии защиты установлена не реже 1 раза в 2 года. Первый сбор информации о выполнении требований Положения 382-П было запланировано провести в начале 2013 года.
Оценка соответствия требованиям нормативных документов может проводиться в форме либо самооценки, либо оценки внешней стороной – аудитором. Банк России не настаивает на привлечении для оценки внешних организаций, но и не отвергает такую возможность. Банки могут выбирать сами, как проводить оценку, результаты будут перепроверяться регулятором в любом случае.
СЕМЬ ОСОБЕННОСТЕЙ ИБ
В ходе организации работы по защите информации при переводе денежных средств важно учитывать следующий ряд особенностей, обусловленных природой базового понятия безопасности, включающей информационную безопасность и защиту информации.
Таким образом, нарушение требований безопасности может сопровождаться различными последствиями, которые требуют различных по степени и по форме мер надзорного реагирования. Поэтому представители государственного регулятора в первую очередь заинтересованы в устранении брешей в системах защиты поднадзорных организаций. Этот вид деятельности в большей степени свойственен не столько собственно надзорной деятельности, сколько мерам наблюдения.
В дальнейшем требования, прописанные в положении 382-П, будут конкретизированы включением требования по защите дистанционного банковского обслуживания – ДБО, и электронных средств платежа – ЭСП. Будет осуществлена и совместимость со стандартом PCI DSS посредством четкого разграничения областей регулирования. Отдельно следует рассматривать вопросы создания и признания систем лицензирования и сертификации деятельности по выпуску и обслуживанию пластиковых карт.
НОВЫЕ ФОРМЫ ОТЧЁТНОСТИ
Вторая, следующая за оценкой и не менее важная задача – организация сбора информации о состоянии защищённости операторов перевода денежных средств и об уровне киберпреступности, атакам которой подвергается банковская система России. Для решения этой задачи было выпущено Указание Банка России 2831-У «Об отчётности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платёжных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
Это указание определяет для операторов платёжных систем, услуг платёжной инфраструктуры, перевода денежных средств формы отчётности об обеспечении защиты информации при осуществлении переводов денежных средств, сроки её предоставления и методики составления.
Предусмотрено 2 новые формы отчетности, 0403202 и 0403203.
Форма 0403202 – «Сведения о выполнении операторами платёжных систем, операторами услуг платёжной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств». Эту форму операторы перевода денежных средств должны предоставлять не позднее 30 рабочих дней со дня завершения проведения указанной оценки.
Форма 0403203 – «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» – устанавливается для операторов услуг платежной инфраструктуры и операторов перевода денежных средств. Отчёт по этой форме предоставляется ежемесячно, не позднее 10 рабочих дней либо с начала месяца, следующего за отчётным, либо со дня получения письменного требования Банка России.
Уже к началу августа 2012 года была завершена доработка внутренних систем государственного регулятора, предназначенных для сбора и анализа отчётности поднадзорных организаций. В Банке России поставлена задача за год создать технологию защищённого обмена информацией со всеми субъектами национальной платёжной системы на базе специального портала.
Такая система должна заработать 1 июня 2013 года и служить не только каналом передачи отчётности и анкет, но и обеспечить обмен информацией с поднадзорными организациями. Правда, в режиме псевдо-онлайн для обеспечения безопасности работы и передачи данных. Банки и платёжные системы создали свои собственные внутренние системы сбора отчётности и подготовки отчётных форм.
СЛУЖЕБНАЯ ИНФОРМАЦИЯ ОСТАЁТСЯ ЗАКРЫТОЙ
Таким образом, формируется система сбора отчётности субъектов национальной платёжной системы об инцидентах и правонарушениях.
К интересующим Банк России инцидентам относятся:
Ранее такая отчётность в банковской системе не собиралась, в результате чего и кредитные организации, и рынок финансовых услуг в целом не имели сводной объективной информации о ситуации в сфере защиты информации. Следует отметить, что такие данные носят высоко резонансный характер, так как любая негативная информация мгновенно повышает репутационные риски карточной платежной системы или кредитной организации – эквайера пластиковых карт.
За рубежом появились интересные исследования, результаты которых говорят о том, что публикация в прессе информации о компрометации определённого вида банковских карт приводит уже на следующий день к падению числа операций с ними на 3%. Возникает закономерный вопрос: а зачем собирать столь конфиденциальную и высоко резонансную информацию?
Ответ простой: для лечения болезни первым делом нужно поставить правильный диагноз, а для этого сначала необходимо провести обследование. Чем оно подробнее, тем диагноз точнее, а значит, и лечение лучше. Отчётность о ситуации в сфере информационной безопасности крайне важна, так как она даёт знание объекта регулирования. Без такой информации невозможно разработать эффективные меры для проведения сбалансированной политики управления безопасностью, в том числе её финансирования.
Благодаря сбору отчётности и анализу данных об инцидентах будет даваться объективная оценка происходящего в банках и в национальной платёжной системе в целом, необходимая для выработки эффективных мер противодействия киберпреступности. Департамент регулирования расчётов Банка России будет добиваться того, чтобы система сбора отчётности об инцидентах начала хорошо работать.
О ТАЙНОМ И ЯВНОМ
Государственный регулятор заинтересован в том, чтобы сбор такой отчётности не приводил к нанесению какого-либо ущерба ни банкам, ни другим субъектам национальной платёжной системы России. Есть убеждённость, что организации, обязанные предоставлять в отчётности информацию обо всех инцидентах в сфере информационной безопасности, будут делать это. Потому что нет ничего тайного, что не стало бы явным.
Отметим, что нулевую отчетность Банку России тоже нужно сдавать, в том числе и небанковским субъектам национальной платёжной системы. Не включенная в отчетность информация, утаённая от государственного регулятора, всё равно станет известной через другие источники. Например, из заявлений пострадавших от хищений клиентов.
Тогда у Банка России возникнут неприятные, но закономерные вопросы к недобросовестному респонденту. Существенно снизится степень доверия к достоверности предоставляемых им в отчётности данных. Обращаю внимание, что у регулятора есть все возможности выявить скрываемую информацию, а поднадзорная организация несёт ответственность за предоставление недостоверной отчетности.
За нарушения требований федерального закона № 161-ФЗ, принятых в соответствии с ним нормативных актов Банка России, выявленные при осуществлении надзора и подтвержденные документами и информацией, предусмотрены меры принуждения. К числу таких мер относятся доведение до нарушителя информации о нарушении, направление нарушителю рекомендаций об устранении нарушения, направление нарушителю предписания об устранении нарушения, ограничение (приостановление) оказания операционных услуг, исключение оператора платёжной системы из реестра таких операторов и привлечение к административной ответственности.
Могут быть случаи, когда клиент сам сообщит о мошенничестве в Банк России, например, через интернет-приёмную, а банк, где это случилось, не отчитался об этом. Понятно, что Банк России расследованием конкретного хищения заниматься не станет – для этого есть правоохранительные органы. Но эта информация будет использована. И мы будем анализировать, в какой степени совпадают сведения из разных источников.
Благодаря сбору всей этой информации точность нашего анализа и прогнозирования ситуации будет только расти. Сейчас мы, как правило, в своих оценках ситуации используем частичную или зарубежную информацию, которая не совсем точно характеризует положение дел в России. Мы рассчитываем, что к середине 2013 года у нас будет хорошо отлаженная система сбора, хорошая, достаточно точная, подробная и полная база данных, информация которой будет отражать тенденции, динамику развития процесса, позволять разрабатывать эффективные меры борьбы с киберпреступностью.
СТРУКТУРА ИНЦИДЕНТОВ
Под инцидентом информационной безопасности, имеющим последствия, понимается событие, которое завершилось негативным результатом: украдены деньги, нарушена бесперебойность функционирования платёжной системы и т.п. Кредитной организации нужно обращать внимание и на инциденты, не завершившиеся кражей денежных средств, поскольку безуспешные действия преступника могут сопровождаться новыми попытками хищения. Все инциденты нужно фиксировать, чтобы анализировать тенденции развития и прогнозировать направления развития инструментария киберпреступности.
Предпосылкой инцидента является появление уязвимости в системе организации информационной защиты, недостатки технического, программного обеспечения. Сам инцидент – результат атаки преступником на найденную им уязвимость. По видам атак инциденты распределяются следующим образом в порядке убывания:
Количественных критериев оценки качества защиты банком платежей по этим видам инцидентов пока нет, но можно в абсолютных величинах фиксировать уровень преступности – количество атак и размер похищенных средств. Это очень важная информация, которая тоже должна оцениваться в абсолютных величинах, чтобы можно было отслеживать динамику. Нужно знать, сколько средств украдено, сколько заблокировано, но ещё не выведено из банка, и сколько находится под угрозой.
Динамика сведений за последние годы, которыми располагает Банк России, говорит, что объёмы краж постепенно нарастают. Преступники вначале «тренируются» на небольших суммах, а потом решаются на крупные хищения. В целом динамика киберпреступности не носит характер эпидемии, но не даёт поводов для расслабления. Скорее, наоборот, диктует необходимость своевременного принятия комплекса профилактических мер. Отрадно, что такое же понимание и соответствующую активность демонстрирует банковское сообщество.
Информация, собираемая через отчётность, носит статистический характер, имеет стратегическое значение и не годится для принятия быстрых решений. Чтобы информировать банковскую среду о тенденциях в сфере защиты информации в национальной платёжной системе, Банк России по результатам осуществляемого наблюдения планирует выпускать аналитические обзоры. Не предполагается предание публичности информации о состоянии дел в конкретных кредитно-финансовых организациях.
ЗАЩИТА ОБЩИХ ИНТЕРЕСОВ
Оперативное реагирование на инциденты, как можно более быстрое доведение информации о них до заинтересованных лиц не входит в обязанности Банка России. Для выполнения таких функций нужно создать особую систему, возможно, силами самих кредитно-финансовых организаций, в том числе в рамках саморегулирования, например, при банковских ассоциациях. Банкам обязательно нужно сотрудничать, информируя друг друга об инцидентах. Прототипы таких центров обмена информацией уже есть, они достаточно хорошо и интенсивно работают, их эффективность высока. Банковское сообщество активно обсуждает пути борьбы с мошенническими платежами, обобщённо называемыми «фродом».
Пока что наибольшую действенность выявления мошеннических платежей демонстрируют банковские системы антифрода. Статистика показывает, что большинство киберпреступлений при переводе денежных средств совершается именно в результате информационных атак киберпреступников на системы ДБО не с достаточно хорошо защищённой «стороны банка», а с более слабой «стороны клиента». Банковские автоматизированные информационные аналитические системы антифрода учитывают особенности «человеческого фактора» и вполне успешно способны выявлять сомнительные платежи на этапе проводки с эффективностью 70 – 100%.
Проблемой является блокирование платежей, которые определены как мошеннические либо клиентами или сотрудниками банков, либо банковскими автоматизированными информационными аналитическими системами антифрода. Блокировка сомнительных платежей существенно облегчила бы борьбу с киберпреступностью и возврат истинным владельцам денежных средств, которые пытаются похитить.
По нынешний день продолжаются теоретические дискуссии по этому вопросу. С одной стороны, понятна цель введения понятия безотзывности платежа, с другой – принцип этот, если его абсолютизировать, вступает в противоречие с защитой интересов пострадавших клиентов. Банковское сообщество демонстрирует решимость придти к общему знаменателю и сформулировать конкретные предложения по механизмам блокировки сомнительных платежей. Это необходимый элемент эффективной централизованной системы борьбы с фродом, действующей в интересах всего банковского сообщества и клиентов.
Другие направления борьбы с киберпреступностью – подготовка нормативных документов и разработка стандартов систем ДБО и мобильных платежей (в том числе так называемое «безопасное программирование»). Возникает задача сертификации средств ДБО, и одно из возможных решений – разработка безопасного кода. К сожалению, достичь абсолютной безопасности электронных платежей, уничтожив преступность, в обозримом будущем невозможно. Но понизить риски до приемлемого уровня при помощи системного регулирования – можно.
Приложение
СТРАТЕГИЯ ВЗАИМОДЕЙСТВИЯ БАНКА РОССИИ С ДРУГИМИ ГОСУДАРСТВЕННЫМИ РЕГУЛЯТОРАМИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ