Дмитрий Сергеевич Крутов. Вопросы применения ...

Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

«О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к

обеспечению защиты информации при осуществлении переводов денежных средств»

Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

Дмитрий Сергеевич КрутовГлавный экономистДепартамент национальной платежной системы

1

Полномочия в соответствии с Федеральным законом №161-ФЗ

Банк России

Изменение

382-П

Инициативы участников рынка платежных услуг

Потребности рынка в стабильности и развитии НПС

Риски нарушения защиты информации

Утверждено

Изменение

2831-У

Утверждено,требования вступили в

силу

382-П382-П

ФСТЭК

ФСБ

Требования к обеспечению защиты информации при

осуществлении переводов денежных средств и порядок

осуществления контроля за их соблюдением в рамках надзора в

НПС

2831-У2831-У

Сбор и анализ отчетности по обеспечению защиты

информации при осуществлении переводов

денежных средств

Регулирование защиты информации при осуществлении переводов денежных средств в национальной платежной системе


2

Обновление нормативной базы в области обеспечения защиты информации в национальной платежной системе

3361-У

Указание Банка России от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»:

-Обновление подходов к обеспечению защиты информации

-Требования к банкоматам и платежным терминалам

-Требования к системам Интернет-банкинга и мобильного банкинга

-Требования к платежным картам


3

Факторы, влияющие на внесение изменений в Положение Банка России № 382-П(1/3)


3361-У 2831-У

Количество инцидентов, фиксируемых ежемесячно: ~1700

>10% происходит при использовании банкоматов

>50% инцидентов приводит к несанкционированному переводу денежных средств

>50% инцидентов происходит на стороне клиента

Отчетность по форме 0403203

4Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

3361-У

Реализация стратегии развития НПС

Вступление в силу 9 статьи Федерального закона № 161-ФЗ

Активное участие Банка России в повышении финансовой грамотности населения Российской Федерации

Развитие технологий, появление новых электронных средств платежа, повышение популярности дистанционного банковского обслуживания

Накопление опыта при осуществлении надзора в национальной платежной системе



3361-У

Почему существовавшие до внесения изменений требования не могли быть универсальными?

Электронные денежные средства

Платежные карты, мобильный банкинг

Интернет-банкинг

Платежные системы класса B2B

Увеличение средней величины платежа

Снижение «кумулятивного» эффекта

Усложнение модели нарушителя

Изменение профиля риска

Формирование задач в рамках каждого из направлений развития национальной платежной системы и их реализация будут осуществляться при следовании

Банком России принципу соразмерности регулирования в НПС рискам, присущимдеятельности субъектов НПС и связанным со снижением безопасности оказания

платежных услуг« »


6

Источники, используемые Банком России при формировании требований к обеспечению защиты информации в национальной платежной системе


3361-У

Документы

Базельского комитета по банковскому надзору

Совета по стандартам безопасности данных индустрии платежных карт

Комитета по платежам и рыночным инфраструктурам

Международной организации комиссий по ценным бумагам

Европейского союза

Систематизация рекомендаций по тематике изменений (- необходим системный подход, базовый документ, учитывающий результаты применения этих рекомендаций

Мнения и опыт

Департаментов Банка России

Независимых экспертов

Профессиональных объединений участников рынка платежных услуг

Федеральных органов исполнительной власти

Участников Технического комитета по стандартизации «Стандарты

финансовых операций»

Иностранных регуляторов

Операторов платежных систем

7

Процесс формирования требований к обеспечению защиты информации при осуществлении переводов денежных средств


3361-У 3361-У

Требования могут быть исполнены только при вмешательстве в оборудование

Требования подразумевают наличие узкоквалифицированных специалистов

Требования могут конфликтовать с гарантийными обязательствами

Требования, не в полной мере относящиеся к осуществлению переводов

Требования не универсальны в плане выполнения различными субъектами

Рекомендации

67 страниц, 43 требования 31 страница,

24 требования

77 редакций документа

1. Изменения общего характера


8

Изменения общего характера.Пункт 2.3 Положения Банка России № 382-П


Выполнение требований

Организационные мерыВыбор + применение,

Порядок,Ответственность,

Контроль,Иные действия

Технические средстваВыбор + использование,

Порядок,Ответственность,

Контроль,Иные действия

Применение объектов инфраструктуры, для которых

характерен более низкий профиль риска

+Контроль

с учетом параметров и статистики выполняемых операций, количества и

характера выявленных инцидентов


Риски, меры по их снижению+

Меры по предотвращению несанкционированного доступа к

защищаемой информации, в том числе при утрате (потере, хищении) устройства

+меры по контролю конфигурации

устройства+

Информация о появлении в «Интернет» фальсифицированных ресурсов и

программного обеспечения+

рекомендуемые меры по обнаружению указанных ресурсов и программного

обеспечения+

Определение фальсифицированного ресурса

Изменения общего характера.Пункт 2.12 Положения Банка России № 382-П

ТУ

1

2

2. Требования к системам Интернет-банкинга и мобильного банкинга



Требования к системам Интернет-банкинга и мобильного банкинга.Терминология.

= = = ?

СистемыИнтернет-банкинга

Системымобильного банкинга


Требования к системам Интернет-банкинга и мобильного банкинга.Терминология.

= = =

Одинаковые каналысвязи

Разные каналысвязи

Одинаковые ОС

Разные ОС

Отличие только в размере дисплея

СистемыИнтернет-банкинга:

сайты в сети «Интернет», используемые клиентом на

основании договора,

системы клиент-серверной архитектуры, передающих информацию через сеть

«Интернет» (кроме АТМ, ПТ)

Системымобильного банкинга:

ПО, используемое клиентом при осуществлении ПДС с

использованием системы Интернет-банкинга и

предназначенное для установки на мобильные устройства


Требования к системам Интернет-банкинга и мобильного банкинга.Иерархия требований.

СистемыИнтернет-банкинга

Программное обеспечение, используемое клиентом при осуществлении переводов

денежных средств, разрабатывалось оператором по

переводу денежных средств самостоятельно или с

привлечением сторонних организаций

Системымобильного банкинга

Распространение изменений, контроль актуальности версий

Доведение инструкции, ее обновление при обновлении ПО

Реализация функций, связанных с защитой данных при передаче

ОПДС регламентирует обновление вспомогательного ПО

Реализация функций, связанных с выполнением требований

Установление клиентом лимитов (сумма, получатели, устройства,

услуги, время)

Средство контроля целостности (ЮЛ)

Уведомление перед авторизацией перевода (по решению)

Одноразовые пароли (коды подтверждения) (по решению)

В репозиториях: выявление фальсифицированного ПО

Реализация функций, связанных с защитой хранимой информации

ИЛИ

В репозиториях: указание разработчика

И

Запрет на хранение информации на устройстве

Блокировка доступа клиента по заявлению

Уведомление клиентов и администраторов репозиториев


Требования к системам Интернет-банкинга и мобильного банкинга.Взаимодействие с операторами сотовой связи.

приостановление пересылки клиенту извещений (подтверждений) о принятии к исполнению распоряжений и иной защищаемой информации и осуществления перевода денежных средств на основании сообщений (кодов), отправленных с номера телефона, указанного в договоре с клиентом, в случае если оператору по переводу денежных средств стало известно о признаках, указывающих на изменение: получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.

К указанным признакам может быть отнесена информация о

замене SIM-карты клиента, прекращении обслуживания

или смене номера телефона, указанного в договоре с

клиентом

К указанным признакам может быть отнесена информация о

замене SIM-карты клиента, прекращении обслуживания

или смене номера телефона, указанного в договоре с

клиентом

3. Требования к банкоматам и платежным терминалам



Требования к банкоматам и платежным терминалам.Терминология.

Терминальные устройства

Банкомат

устройство для осуществления в автоматическом режиме:

выдачи и (или) приема средств наличного платежа (банкнот) с использованием

платежных карт,

наличных денежных расчетов и (или)

расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению клиентов по их банковским счетам и для составления документов,

подтверждающих передачу соответствующих распоряжений.

(Федеральный закон № 54-ФЗ)

Платежный терминал

устройство для осуществления наличных денежных расчетов в

автоматическом режиме

(Федеральный закон № 54-ФЗ)

Электронный терминал

электронное устройство, предназначенное для совершения

операций с использованием платежных карт и конструкция которых не

предусматривает прием (выдачу) наличных денежных средств

(Указание Банка России № 2332-У)


Требования к банкоматам и платежным терминалам.Классификация.

Терминальные устройства

дистанционного банковского

обслуживания

возможности несанкционированного

получения информации, необходимой для

осуществления переводов денежных средств

возможности осуществления воздействия, приводящего к

сбоям, отказам, повреждению ТУ ДБО

Особенности конструкции и место установки

Основания для классификации

(определение типов и отнесение к ним)

Использование при определении мер и средств, применяемых в рамках выполнения требований


Требования к банкоматам и платежным терминалам.Иерархия требований.

Классификация

Установка на (в) ТУ ДБО технических средств,

предназначенных для обнаружения и (или) предотвращения

(затруднения) работы несанкционированно

установленного оборудования (по решению)

несанкционированное внесение изменений в программное

обеспечение

использование систем удаленного мониторинга

состояния ТУ ДБО

Контроль Состояния

(периодичность, порядок)

несанкционированное внесение изменений в аппаратное

обеспечение

сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт, устройств приема наличных денежных средств, устройств выдачи наличных денежных средств

приведение ТУ ДБО в состояние, при котором обслуживание

клиентов невозможно


Требования к банкоматам и платежным терминалам

контроль состава объектов информационной инфраструктуры в

сегментах информационно-телекоммуникационных сетей, в

составе которых присутствуют ТУ ДБО

размещение на лицевой панели ТУ ДБО или в непосредственной

близости от ТУ ДБО сведений об ОПДС

порядок работы с заявлениями клиентов о выявленных событиях,

связанных с нарушением обеспечения защиты информации

порядок настройки программного обеспечения, средств

вычислительной техники в составе ТУ ДБО

Определение требований для банковских платежных агентов

(субагентов) + контроль в соответствии с действующей

редакцией (п. 1.2)

4. Требования к применению платежных карт, оснащенных

микропроцессором



Требования к применению платежных карт, оснащенных микропроцессором

Оператор по переводу денежных средств осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт:

оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается после 1 июля 2015 года;

оснащенных магнитной полосой и (или) микропроцессором, выданных (эмитированных) кредитными организациями на территории Российской Федерации, срок действия которых начинается до 1 июля 2015 года.

Дмитрий Сергеевич КрутовГлавный экономистДепартамента национальной платежной системы


Дмитрий Сергеевич Крутов. Вопросы применения ...

Business