Основными целями банка России при реализации мероприятий по противодействию информационным угрозам в организациях кредитно-финансовой сферы является минимизация рисков нарушений финансовой стабильности этих организаций в результате компьютерных атак на их информационные ресурсы. Собственно, речь идет о поддержании таким образом финансовой стабильности государства и страны в целом.
В прошлом году мы постоянно наблюдали попытки атак. Тем не менее, прогноз на декабрь об агрессивных массированных нападениях с целью дискредитации нашей кредитно-финансовой сферы не оправдался. Все атаки были успешно отражены. Но в целом проблема остаётся. Прежде всего – проблема несанкционированных финансовых транзакций, наносящих прямой ущерб клиентам и контрагентам организаций кредитно-финансовой сферы.
Обеспечение доверия клиентов и контрагентов организаций кредитно-финансовой сферы с помощью электронных технологий и сервисов. По данным, полученным из форм обязательной отчётности об инцидентах информационной безопасности, официально предоставляемых кредитными организациями в Банк России, и данным, полученным в рамках информационного обмена, организованного ФинЦЕРТ, объём несанкционированных операций со счетами юридических лиц по итогам 2016 года составил 1,9 млрд рублей. Для сравнения, в 2015 году аналогичный показатель составил 3,8 млрд рублей.
Объём несанкционированных операций с использованием платёжных карт за 2016 год составил порядка 1,08 млрд рублей. В 2015 году – порядка 1,15 млрд рублей. При этом в 2016 году Банк России выявил 9 покушений на хищение денежных средств с корреспондентских счетов кредитных организаций, открытых в платёжной системе Банка России, на сумму порядка 2,18 млрд рублей. Из них на сумму порядка 1,5 млрд рублей наступила окончательность перевода денежных средств. То есть эти деньги были похищены.
С учётом оценочной информации об объёме несанкционированных переводов денежных средств, осуществляемых в национальной платёжной системе России с использованием платёжных карт, эмитированных на территории Российской Федерации, удельный вес несанкционированных переводов денежных средств составляет 0,002%. Это данные за прошлый год. В условиях общего роста платежей, совершаемых в безналичной форме, Банк России ставит цель удержать этот показатель на уровне, не превышающем 0,005%. Для международных платёжных систем эта цифра несколько выше – 0,009%, что дает нам хорошую возможность удерживать данный показатель на приемлемом уровне.
В составе ключевых направлений работы по противодействию информационным угрозам в кредитно-финансовой сфере Банк России реализовывает следующие направления:
Проработка совместно с ФСТЭК России, ФСБ России вопроса о законодательном закреплении полномочий Банка России по нормативному регулированию и контролю всех вопросов, связанных с обеспечением информационной безопасности в организациях кредитно-финансовой сферы. В том числе вопросов защиты информации, отнесённой к категории банковской тайны, а также вопросов возврата денежных средств, переведённых без согласия клиента. Разработан законопроект, посвященный основам деятельности по реализации противодействия хищениям денежных средств системой антифрод и созданию ФинЦЕРТа на базе Банка России. В настоящее время законопроект находится на рассмотрении в Государственной Думе Российской Федерации.
Обеспечение разработки национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности. В частности, разработан проект национального стандарта «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации». Проект стандарта рассмотрен и в целом одобрен на заседании подкомитета №1 и размещён на сайте Росстандарта для публичного обсуждения, сбора замечаний и предложений. Ввод этого стандарта в действие планируется в III-IV квартале 2017 года. Предполагается, что он будет использоваться, как основной документ, регламентирующий технические вопросы защиты информации в организациях кредитно-финансовой сферы. Обязательность применения стандарта планируется обеспечить путём установления на него нормативных ссылок в нормативных актах Банка России, регулирующих действия разных категорий организаций кредитно-финансовой сферы.
Пересмотр технологических требований, связанных с осуществлением переводов денежных средств, внедрение безопасных технологий, в том числе для участников платёжной системы банка России. В настоящее время проводятся мероприятия по переносу подписи распоряжений о переводах денежных средств из АРМ КБР в автоматизированные банковские системы кредитных организаций. Завершение данной работы планируется в 2018 году.
Дополнительно в 2017 году Банком России планируется внесение изменений в положение Банка России от 9 июня 2012 года 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Теперь в нем будут предусмотрены и меры по применению средств, обеспечивающих распределение контуров подготовки и подтверждения поручений на переводы денежных средств. В том числе при использвании системы дистанционного банковского обслуживания. Указанные меры по разделению контуров подготовки и подтверждению платёжных поручений позволят наряду с обязанностью кредитных организаций по выпуску платёжных карт, оснащённых только микропроцессорами, обеспечить эффективность противодействия несанкционированным переводам денежных средств с применением платёжных карт и систем дистанционного банковского обслуживания.
Пересмотр технологий контроля за соблюдением участниками платёжной системы Банка России требований к обеспечению информационной безопасности. Банком России разработано и введено в положение Банка России от 24 августа 2016 года номер 552-П «О требованиях к защите информации в платежной системе Банка России», в соответствии с которым всем участникам платёжной системы вменяется в обязанность информирование Банка России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, в том числе и о несанкционированных переводах денежных средств не позднее трёх часов после выявления инцидента.
Разработка и ввод в действие стандарта, устанавливающего правила выявления и расследования инцидентов информационной безопасности, связанных с функционированием автоматизированных банковских систем и приложений, применяемых национальной платёжной системой. С 1 января 2017 года введен в действие стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств». Банк России разработал этот стандарт совместно с правоохранительными органами для формализации подготовки данных об инцидентах при взаимодействии с правоохранительными органами в рамках расследования киберпреступлений.
Основные направления деятельности банка России по противодействию правонарушениям в кредитно-финансовой сфере в 2017 году:
Будет продолжена разработка и ввод в действие национальных стандартов, регулирующих технические вопросы обеспечения информационной безопасности в организациях кредитно-финансовой сферы. Для этого в 2017 году будет разработан проект национального стандарта «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия информационной безопасности финансовой организации требованиям ГОСТ Р». Ввод в действие I-II кварталы 2018 года.
Реализация совместно с ФСБ России и ФСТЭК России системы независимого подтверждения соответствия обеспечения информационной безопасности кредитно-финансовых организаций требованиям национальных стандартов, что должно, по мнению Банка России, повысить качество надзорных мероприятий по контролю технических аспектов обеспечения информационной безопасности.
Разработка и ввод нормативных актов Банка России, предусматривающих совершенствование требований к управлению операционными рисками, в том числе требований к политике кредитных организаций в сфере информационных технологий, включая информационную инфраструктуру, безопасность и целостность системы платежей и расчётов.
Установление подходов Банка России к оценке уровня операционного риска и дополнительных требований к капиталу на покрытие уровня операционного риска, принятого кредитными организациями.
Создание правовых и организационных условий по внедрению в кредитно-финансовой сфере руководства по киберустойчивости для инфраструктур финансового рынка, которые дополнят международный стандарт Комитета по платежам и рыночным инфраструктурам. Формулирование принципов для инфраструктур финансового рынка.
Оптимизация и повышение достоверности отчётности, которая предоставляет сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Цель данной работы – исключение из отчётности вопросов технической реализации инцидентов защиты информации, и сбор информации о технических способах реализации инцидентов защиты информации по каналам взаимодействия, организованным ФинЦЕРТом. Установление в новой форме отчётности только экономических показателей. Повышение достоверности предоставляемой отчётности, в том числе путём анализа изменений по счетам бухгалтерского учёта.
Разработка совместно с ФСТЭК России типовой программы дополнительного профессионального образования для специалистов по информационной безопасности организаций кредитно-финансовой сферы продолжительностью более 500 учебных часов. В настоящее время высшие учебные заведения не готовят специалистов по данному направлению, а проводят обучение в рамках повышения квалификации объёмом не более 72 учебных часов, что в современных условиях явно недостаточно. Разработка такой типовой программы обучения позволит обеспечить возможность организации вузами системной работы по подготовке специалистов в области информационной безопасности в организациях кредитно-финансовой сферы.
Отдельное внимание Банк России будет уделять созданию условий по применению организациями финансово-кредитной сферы стандартов банка России по вопросам информационной безопасности. По оценкам регулятора, комплекс отраслевых документов имеет высокий уровень зрелости. Он покрывает основные и наиболее актуальные направления обеспечения информационной безопасности. Вместе с тем степень и глубина применения отраслевых стандартов организациями кредитно-финансовой сферы невелики. Для организации указанной работы планируется создание координационного совета с участием заинтересованных организаций кредитно-финансовой сферы, разработчиков банковских систем и средств защиты информации.
Все представленные направления предлагаются к широкому обсуждению профессиональной общественностью. Всестороннее детальное обсуждение будет традиционно способствовать определению оптимальных решений, которые в перспективе позволят преодолеть негативные явления, вызванные деятельностью киберпреступников.