ВЕСТИ

Прямой Эфир

    Прогнозы

      Топ-5 трендов информационной безопасности для банков

      Москва, 5 июня - "Вести.Экономика". Сфера информационной безопасности развивается настолько стремительно, что бизнесу просто необходимо быть в курсе главных ИБ-трендов. Для кредитных организаций это особенно актуально как в силу специфики нормативного регулирования, так и по причине повышенного внимания со стороны злоумышленников. О ключевых трендах в информационной безопасности для банковского сектора изданию "Вести.Экономика" рассказал Сергей Канивец, эксперт Центра информационной безопасности компании "Инфосистемы Джет".

      Единая биометрическая система – ЕБС

      Эта тема сохраняет высокую актуальность не первый год. Неудивительно, ведь, несмотря на установленные сроки начала работы ЕБС c 31 декабря 2018 г., в 2019 г. продолжают выпускаться новые нормативные документы, а типовые решения, призванные обеспечить должный уровень ИБ, находятся либо в стадии модернизации, либо на согласовании у регуляторов.

      Поэтому сегодня рынок разделился на тех, кто находится в активной фазе построения системы защиты, и тех, кто ожидает появления альтернативных, но также согласованных решений. Помимо этого, некоторая часть банков продолжает надеяться на благосклонность регулятора в части переноса сроков для банков с базовой лицензией.

      Информация об этом регулярно звучит на профильных конференциях, но официальных документов от Банка России на этот счет не поступало. Кроме того, бытует мнение о возможном наделении всех банков обязанностью по оказанию услуг населению с помощью ЕБС. Тем не менее требования к кредитным организациям по оснащению структурных подразделений средствами сбора биометрических персональных данных Банк России не отменял, а с учетом возможности регуляторного надзора, в том числе в формате "тайного покупателя", ЦБ может начать контролировать деятельность банков в соответствии с планами в любой момент.
      Критическая информационная инфраструктура – КИИ

      Реализация требований 187-ФЗ также не перестанет быть актуальной для банков как субъектов КИИ в ближайшее время. В соответствии с последними изменениями, внесенными ФСТЭК России в свои приказы в части КИИ, рекомендуемый срок предоставления перечня объектов КИИ для юридических лиц установлен на 1 сентября 2019 г.

      После этого в течение года должно быть проведено категорирование и реализована система защиты каждого объекта в соответствии с требованиями регулятора. Важность этого процесса подчеркивают внесенные на рассмотрение изменения в Кодекс РФ ‎об административных правонарушениях, предусматривающие наложение штрафов как на должностное лицо, так и непосредственно на субъект КИИ.

      Вероятнее всего, наказывать не будут повсеместно, дав нарушителям некоторое время на принятие необходимых мер для соблюдения законодательства. Несмотря на это, некоторая часть банков уже приступила к выполнению требований и находится в разной стадии реализации: от формирования и направления перечня до построения системы защиты.
      Противодействие мошенничеству

      Следующий по списку, но далеко не последний по значимости ИБ-тренд – это повышение осведомленности работников банков и их клиентов в вопросах кибербезопасности. Реализация угроз ИБ методами социальной инженерии, несмотря на широкое освещение проблемы в СМИ, продолжает набирать обороты, с каждым годом меняется ее техника и направленность.

      Так, в последнее время мы наблюдаем смещение атак в сторону клиентов банков – физических лиц. По данным ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) Банка России, объем всех несанкционированных операций, совершенных с использованием платежных карт, эмитированных на территории РФ, в 2018 г. составил 1,38 млрд руб., что на 44% больше аналогичного показателя за 2017 г. (961,3 млн руб.).

      Количество таких операций также возросло – на 31,4%. При этом причинами 96% таких несанкционированных операций являлись как раз методы социнженерии. Между тем с учетом цикличности использования методов мошенничества в перспективе 2 лет прогнозируется смена вектора обратно в сторону юридических лиц, но с изменениями в подходе к реализации. За прошедший год социальная инженерия в 36% случаев стала причиной совершения несанкционированных списаний со счетов юрлиц.

      Согласно 167-ФЗ от 27.06.2018 в целях минимизации числа операций без согласия клиента кредитным организациям потребуется вносить оперативные изменения в свои антифрод-системы, направленные на совершенствование поведенческого анализа транзакционной активности и своевременное предупреждение несанкционированных операций, что потребует повышенного внимания к системам банка со стороны как технических специалистов, так и бизнес-подразделений.

      В дополнение ФинЦЕРТ Банка России намерен изменить периодичность предоставления сведений из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента и осуществлять выгрузку банкам чаще, чем ежедневно, что также потребует вовлеченности профильных специалистов в процесс на постоянной основе.
      Управление рисками ИБ

      В настоящее время Банком России проводится большая работа по регулированию управления операционными рисками кредитными организациями. В рамках этой работы был разработан проект Положения "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", в соответствии с которым устанавливаются требования к управлению в том числе рисками ИБ и ведению базы данных о событиях киберрисков, а также определяются дополнительные требования к капиталу банка, необходимого для покрытия потерь от реализации таких рисков.

      В зависимости от размера активов и типа лицензии формируются три категории банков, для каждой из которых вводятся индивидуальные требования и сроки приведения системы управления рисками в соответствие документу – с 31 декабря 2019 г. до 31 декабря 2021 г.

      Необходимо обратить внимание на изменение подхода регулятора к надзорной деятельности: для кредитной организации создается профиль риска, который формируется из различных показателей по результатам дистанционного надзора, инспекционных проверок и внешнего аудита ИБ на соответствие требованиям банковского ГОСТа (ГОСТ Р 57580.1-2017).

      Таким образом, происходит взаимоувязывание реального состояния защищенности банка с его капиталом. Бизнесу нужно быть готовым либо к увеличению затрат на повышение эффективности системы обеспечения ИБ, либо раскошелиться на покрытие потерь от реализации возможных киберрисков резервированием капитала.
      Внешний аудит ИБ

      В связи с недоверием к результатам выполняемых банками самооценок соответствия установленным требованиям ИБ, Банк России обязал кредитные организации проводить независимый внешний аудит. Кроме того, положениями ЦБ установлены требования по проведению тестов на проникновение и анализа уязвимостей ИБ объектов информационной инфраструктуры.

      В соответствии с действующими нормативно-правовыми актами Центробанка проведение внешнего аудита ИБ на соответствие банков требованиям по обеспечению защиты информации является необходимым для следующих областей деятельности:
      • при осуществлении переводов денежных средств как участника Национальной платежной системы,
      • при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного и несрочного перевода и сервиса быстрых платежей,
      • при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.


      Все указанные работы должны проводиться с привлечением контрагента, обладающего не только необходимыми лицензиями, но и имеющего в штате квалифицированных специалистов с опытом работы в области ИБ. Если для крупных участников рынка это не станет чем-то принципиально новым, то другим игрокам такие требования могут показаться необычными.

      Новости партнеров

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить