Дмитрий Сергеевич Крутов. Вопросы применения ...
DESCRIPTION
Обзор изменений в Положение ЦБ 382-ПTRANSCRIPT
Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П
«О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к
обеспечению защиты информации при осуществлении переводов денежных средств»
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Дмитрий Сергеевич КрутовГлавный экономистДепартамент национальной платежной системы
1
Полномочия в соответствии с Федеральным законом №161-ФЗ
Банк России
Изменение
382-П
Инициативы участников рынка платежных услуг
Потребности рынка в стабильности и развитии НПС
Риски нарушения защиты информации
Утверждено
Изменение
2831-У
Утверждено,требования вступили в
силу
382-П382-П
ФСТЭК
ФСБ
Требования к обеспечению защиты информации при
осуществлении переводов денежных средств и порядок
осуществления контроля за их соблюдением в рамках надзора в
НПС
2831-У2831-У
Сбор и анализ отчетности по обеспечению защиты
информации при осуществлении переводов
денежных средств
Регулирование защиты информации при осуществлении переводов денежных средств в национальной платежной системе
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
2
Обновление нормативной базы в области обеспечения защиты информации в национальной платежной системе
3361-У
Указание Банка России от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»:
-Обновление подходов к обеспечению защиты информации
-Требования к банкоматам и платежным терминалам
-Требования к системам Интернет-банкинга и мобильного банкинга
-Требования к платежным картам
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3
Факторы, влияющие на внесение изменений в Положение Банка России № 382-П(1/3)
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У 2831-У
Количество инцидентов, фиксируемых ежемесячно: ~1700
>10% происходит при использовании банкоматов
>50% инцидентов приводит к несанкционированному переводу денежных средств
>50% инцидентов происходит на стороне клиента
Отчетность по форме 0403203
4Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У
Реализация стратегии развития НПС
Вступление в силу 9 статьи Федерального закона № 161-ФЗ
Активное участие Банка России в повышении финансовой грамотности населения Российской Федерации
Развитие технологий, появление новых электронных средств платежа, повышение популярности дистанционного банковского обслуживания
Накопление опыта при осуществлении надзора в национальной платежной системе
Факторы, влияющие на внесение изменений в Положение Банка России № 382-П(2/3)
5Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У
Почему существовавшие до внесения изменений требования не могли быть универсальными?
Электронные денежные средства
Платежные карты, мобильный банкинг
Интернет-банкинг
Платежные системы класса B2B
Увеличение средней величины платежа
Снижение «кумулятивного» эффекта
Усложнение модели нарушителя
Изменение профиля риска
Формирование задач в рамках каждого из направлений развития национальной платежной системы и их реализация будут осуществляться при следовании
Банком России принципу соразмерности регулирования в НПС рискам, присущимдеятельности субъектов НПС и связанным со снижением безопасности оказания
платежных услуг« »
Факторы, влияющие на внесение изменений в Положение Банка России № 382-П(3/3)
6
Источники, используемые Банком России при формировании требований к обеспечению защиты информации в национальной платежной системе
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У
Документы
Базельского комитета по банковскому надзору
Совета по стандартам безопасности данных индустрии платежных карт
Комитета по платежам и рыночным инфраструктурам
Международной организации комиссий по ценным бумагам
Европейского союза
Систематизация рекомендаций по тематике изменений (- необходим системный подход, базовый документ, учитывающий результаты применения этих рекомендаций
Мнения и опыт
Департаментов Банка России
Независимых экспертов
Профессиональных объединений участников рынка платежных услуг
Федеральных органов исполнительной власти
Участников Технического комитета по стандартизации «Стандарты
финансовых операций»
Иностранных регуляторов
Операторов платежных систем
7
Процесс формирования требований к обеспечению защиты информации при осуществлении переводов денежных средств
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
3361-У 3361-У
Требования могут быть исполнены только при вмешательстве в оборудование
Требования подразумевают наличие узкоквалифицированных специалистов
Требования могут конфликтовать с гарантийными обязательствами
Требования, не в полной мере относящиеся к осуществлению переводов
Требования не универсальны в плане выполнения различными субъектами
Рекомендации
67 страниц, 43 требования 31 страница,
24 требования
77 редакций документа
1. Изменения общего характера
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
8
Изменения общего характера.Пункт 2.3 Положения Банка России № 382-П
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Выполнение требований
Организационные мерыВыбор + применение,
Порядок,Ответственность,
Контроль,Иные действия
Технические средстваВыбор + использование,
Порядок,Ответственность,
Контроль,Иные действия
Применение объектов инфраструктуры, для которых
характерен более низкий профиль риска
+Контроль
с учетом параметров и статистики выполняемых операций, количества и
характера выявленных инцидентов
9Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Риски, меры по их снижению+
Меры по предотвращению несанкционированного доступа к
защищаемой информации, в том числе при утрате (потере, хищении) устройства
+меры по контролю конфигурации
устройства+
Информация о появлении в «Интернет» фальсифицированных ресурсов и
программного обеспечения+
рекомендуемые меры по обнаружению указанных ресурсов и программного
обеспечения+
Определение фальсифицированного ресурса
Изменения общего характера.Пункт 2.12 Положения Банка России № 382-П
ТУ
1
2
2. Требования к системам Интернет-банкинга и мобильного банкинга
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
10Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга.Терминология.
= = = ?
СистемыИнтернет-банкинга
Системымобильного банкинга
10Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга.Терминология.
= = =
Одинаковые каналысвязи
Разные каналысвязи
Одинаковые ОС
Разные ОС
Отличие только в размере дисплея
СистемыИнтернет-банкинга:
сайты в сети «Интернет», используемые клиентом на
основании договора,
системы клиент-серверной архитектуры, передающих информацию через сеть
«Интернет» (кроме АТМ, ПТ)
Системымобильного банкинга:
ПО, используемое клиентом при осуществлении ПДС с
использованием системы Интернет-банкинга и
предназначенное для установки на мобильные устройства
11Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга.Иерархия требований.
СистемыИнтернет-банкинга
Программное обеспечение, используемое клиентом при осуществлении переводов
денежных средств, разрабатывалось оператором по
переводу денежных средств самостоятельно или с
привлечением сторонних организаций
Системымобильного банкинга
Распространение изменений, контроль актуальности версий
Доведение инструкции, ее обновление при обновлении ПО
Реализация функций, связанных с защитой данных при передаче
ОПДС регламентирует обновление вспомогательного ПО
Реализация функций, связанных с выполнением требований
Установление клиентом лимитов (сумма, получатели, устройства,
услуги, время)
Средство контроля целостности (ЮЛ)
Уведомление перед авторизацией перевода (по решению)
Одноразовые пароли (коды подтверждения) (по решению)
В репозиториях: выявление фальсифицированного ПО
Реализация функций, связанных с защитой хранимой информации
ИЛИ
В репозиториях: указание разработчика
И
Запрет на хранение информации на устройстве
Блокировка доступа клиента по заявлению
Уведомление клиентов и администраторов репозиториев
12Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к системам Интернет-банкинга и мобильного банкинга.Взаимодействие с операторами сотовой связи.
приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение: получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
К указанным признакам может быть отнесена информация о
замене SIM-карты клиента, прекращении обслуживания
или смене номера телефона, указанного в договоре с
клиентом
К указанным признакам может быть отнесена информация о
замене SIM-карты клиента, прекращении обслуживания
или смене номера телефона, указанного в договоре с
клиентом
3. Требования к банкоматам и платежным терминалам
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
13Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам.Терминология.
Терминальные устройства
Банкомат
устройство для осуществления в автоматическом режиме:
выдачи и (или) приема средств наличного платежа (банкнот) с использованием
платежных карт,
наличных денежных расчетов и (или)
расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению клиентов по их банковским счетам и для составления документов,
подтверждающих передачу соответствующих распоряжений.
(Федеральный закон № 54-ФЗ)
Платежный терминал
устройство для осуществления наличных денежных расчетов в
автоматическом режиме
(Федеральный закон № 54-ФЗ)
Электронный терминал
электронное устройство, предназначенное для совершения
операций с использованием платежных карт и конструкция которых не
предусматривает прием (выдачу) наличных денежных средств
(Указание Банка России № 2332-У)
14Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам.Классификация.
Терминальные устройства
дистанционного банковского
обслуживания
возможности несанкционированного
получения информации, необходимой для
осуществления переводов денежных средств
возможности осуществления воздействия, приводящего к
сбоям, отказам, повреждению ТУ ДБО
Особенности конструкции и место установки
Основания для классификации
(определение типов и отнесение к ним)
Использование при определении мер и средств, применяемых в рамках выполнения требований
15Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам.Иерархия требований.
Классификация
Установка на (в) ТУ ДБО технических средств,
предназначенных для обнаружения и (или) предотвращения
(затруднения) работы несанкционированно
установленного оборудования (по решению)
несанкционированное внесение изменений в программное
обеспечение
использование систем удаленного мониторинга
состояния ТУ ДБО
Контроль Состояния
(периодичность, порядок)
несанкционированное внесение изменений в аппаратное
обеспечение
сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт, устройств приема наличных денежных средств, устройств выдачи наличных денежных средств
приведение ТУ ДБО в состояние, при котором обслуживание
клиентов невозможно
16Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к банкоматам и платежным терминалам
контроль состава объектов информационной инфраструктуры в
сегментах информационно-телекоммуникационных сетей, в
составе которых присутствуют ТУ ДБО
размещение на лицевой панели ТУ ДБО или в непосредственной
близости от ТУ ДБО сведений об ОПДС
порядок работы с заявлениями клиентов о выявленных событиях,
связанных с нарушением обеспечения защиты информации
порядок настройки программного обеспечения, средств
вычислительной техники в составе ТУ ДБО
Определение требований для банковских платежных агентов
(субагентов) + контроль в соответствии с действующей
редакцией (п. 1.2)
4. Требования к применению платежных карт, оснащенных
микропроцессором
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
17Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»
Требования к применению платежных карт, оснащенных микропроцессором
Оператор по переводу денежных средств осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт:
оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 июля 2015 года;
оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 июля 2015 года.
Дмитрий Сергеевич КрутовГлавный экономистДепартамента национальной платежной системы
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»