Финансовая сфера целиком подпала под действие Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ. В области его применения оказались все участники финансовой сферы: от крупнейших банков, бирж, страховых, инвестиционных компаний, брокеров, вплоть до микрофинансовых организаций, ломбардов и сельскохозяйственных кооперативов. Все до одного они являются субъектами КИИ – критической информационной инфраструктуры.
ЗНАЧИМОСТЬ ФИНАНСОВОЙ СФЕРЫ
Среди всех организаций финансовой сфере выделяются владельцы системно значимых объектов КИИ, определяемых согласно Постановлению Правительства РФ от 8 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Категории значимости определяются по-разному для различных сфер и отраслей. Одним из критериев значимости для финансовой сферы является ежедневный объём финансовых операций, транзакций, выполняемых организацией. При достижении указанного уровня система банка, или, как говорится в законе, объект КИИ, становится значимой. Среди более двадцати тысяч организаций финансовой сферы порядка десяти соответствуют критериям объекта КИИ: крупнейшие банки, НСПК, Московская биржа.
Для финансового сектора нет особой разницы источников информационных угроз, технические это сбои или результат злонамеренного воздействия ‑ внешней компьютерной атаки или действий инсайдера, внутреннего нарушителя. Международный и отечественный опыт свидетельствует, что в финансовом секторе намного более существенным фактором является время.
Во-первых, долговременность прерывания предоставления услуг ‑ не более двух часов. Во-вторых, завершение финансовых транзакций не позднее окончания операционного дня, без перехода на следующий рабочий день. Чтобы обязательства не оказывались незакрытыми, не возникал кредит овернайт.
Для Банка России и многих подведомственных организаций требования ФЗ-187 не оказались неожиданными, не упали как снег на голову. Банк России развивал комплекс отраслевых стандартов информационной безопасности с учётом нормативных документов других органов федеральной исполнительной власти, участвующих в регулировании отрасли.
Это своего рода единая методологическая база, вбирающая в себя статьи новых федеральных законов и подзаконных актов, каcающихся информационной безопасности финансовой сферы. Для подведомственных организаций, выполнявших положения обновляемых версий СТО БР ИББС, ФЗ-187 не принёс неприятных «сюрпризов».
ФИНЦЕРТ КАК ОТРАСЛЕВОЙ ЦЕНТР
Требования ФЗ-187 условно можно разделить на две группы, по двум уполномоченным в сфере КИИ государственным органам федеральной исполнительной власти – ФСТЭК России и ФСБ России. Первая – выполнение норм, которые устанавливает ФСТЭК России, ‑ по защите информации. Приказы, выпушенные на текущий момент, частично воспроизводят нормы, содержащиеся в более ранних документах. В том числе, касающиеся защиты персональных данных, ранее воспроизведённые в нашем отраслевом стандарте.
Более новым является взаимодействие с ГОССОПКА, относящееся ко второй группе требований ФЗ-187, по линии ФСБ России. Для реагирования на компьютерные атаки субъект КИИ должен взаимодействовать с ГОССОПКА. Эта деятельность очень похожа на ту, которую в финансовой сфере ведёт ФинЦЕРТ Банка России, взаимодействуя с кредитными организациями.
Работа, проведённая в этом направлении, в значительной мере подготовила кредитные организации к выполнению второй группы положений ФЗ-187. Именно кредитные организации – участники информационного взаимодействия с ФинЦЕРТ. Банк России совместно с ФСБ России разрабатывают нормативные документы, которые позволят ФинЦЕРТу выполнять функции ведомственного («отраслевого») центра ГОССОПКА в финансовой сфере. Получается трёхуровневая структура взаимодействия: организации финансовой сферы – ФинЦЕРТ Банка России – ГОССОПКА. Аналогичная работа для создания отраслевого центра ведётся и для телекоммуникационных компаний.
Текущая задача заключается в том, чтобы включить в это взаимодействие некредитные финансовые организации (биржи, страховые, инвестиционные компании, брокеров, саморегулируемые объединения микрофинансовых организаций и т.п.), которые являются субъектами КИИ. Это позволит участникам отрасли избежать двойной отчётности в вопросах безопасности КИИ. Процедуры взаимодействия для десятки крупнейших банков в настоящее время прорабатываются.
ОБНОВЛЕНИЕ ФОРМАТА ВЗАИМОДЕЙСТВИЯ
Банк России не является прямым государственным регулятором КИИ, но, конечно, там, где затрагивается финансовая сфера, осуществляет взаимодействие с ФСБ России и ФСТЭК России. Участвуя в аккумулировании предложений, в разработке подзаконных нормативных актов, в выстраивании информационного взаимодействия. Однако надзор и контроль выполнения ФЗ-187 организациями отрасли, принятие мер к тем, кто не исполняет, ‑ эти функции не входят в полномочия Банка России.
Банк России участвует в развитии федерального законодательства и в целом нормативно-правовой базы, связанной с обеспечением безопасности КИИ. 22 мая 2018 года Государственной Думой РФ во втором чтении был принят проект Федерального закона № 296412-7 «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».
Новый закон легализует приостановление банками и платёжными системами транзакций при выявлении признаков того, что они могут совершаться без согласия плательщика. Указанные признаки должны устанавливаться Банком России и размещаться на его официальном сайте в сети Интернет. За ненадлежащее исполнение банками новой обязанности, в частности речь идет о не приостановке платежей, отвечающим указанным критериям, банки будут нести ответственность.
После принятия нового закона, в его развитие, Банком России будут изданы подзаконные нормативные акты, модернизирован стандарт обмена информацией с ФинЦЕРТом. Такой пакет документов должен быть подготовлен в течении 90 дней с момента официального опубликования нового закона. Новый закон откроет возможность работы в расширенном, более эффективном формате.
Будут задействованы два набора автоматически действующих идентификаторов. Первый – показатели, которые идентифицируют схемы хищений и выведения похищенных денежных средств (номера банковских счетов, мобильных телефонов и др.). Второй блок – технические данные, описывающие характеристики компьютерных атак, в формате, удобном для ГОССОПКА.
Предполагается, что организациям финансовой сферы потребуется около двух лет, чтобы в полном объёме достигнуть соответствия ФЗ-187. «Обратная связь», реакции и отзывы, поступающие в Банк России от подведомственных организаций, говорят о том, что эта работа ведётся. Первоочередная мера для тех, кто ещё не успел, ‑ подключение к информационному обмену с ФинЦЕРТом. Прежде такое взаимодействие было «факультативным», вроде участия в «клубе антидропперов». После принятия ФЗ-187 и подзаконных нормативных актов информационный обмен с ГОССОПКА через ФинЦЕРТ Банка России превращается в прямую обязанность организаций финансовой сферы.