Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

Дмитрий Сергеевич Крутов
Главный экономист
Департамент национальной платежной системы
Вопросы применения
Положения Банка России от 09.06.2012 г. № 382-П
«О требованиях к обеспечению защиты информации при осуществлении переводов денежных
средств и о порядке осуществления Банком России контроля за соблюдением требований к
обеспечению защиты информации при осуществлении переводов денежных средств»
Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

Регулирование защиты информации при
осуществлении переводов денежных средств в
национальной платежной системе
Риски нарушения защиты
информации
1
Полномочия в соответствии с
Федеральным законом №161-ФЗ
Банк России
Изменение
382-П
Инициативы участников рынка
платежных услуг
Потребности рынка в
стабильности и развитии НПС
Утверждено
Изменение
2831-У
Утверждено,
требования
вступили в
силу
338822-П-П
ФСТЭК
ФСБ
Требования к обеспечению
защиты информации при
осуществлении переводов
денежных средств и порядок
осуществления контроля за их
соблюдением в рамках надзора в
НПС
22883311-У-У
Сбор и анализ отчетности
по обеспечению защиты
информации при
денежных средств

Обновление нормативной базы в области обеспечения
защиты информации в национальной платежной
системе
2
3361-У
Указание Банка России от 14 августа 2014 года № 3361-У
«О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П
«О требованиях к обеспечению защиты информации при осуществлении
переводов денежных средств и о порядке осуществления Банком России
контроля за соблюдением требований к обеспечению защиты информации при
осуществлении переводов денежных средств»:
-Обновление подходов к обеспечению защиты информации
-Требования к банкоматам и платежным терминалам
-Требования к системам Интернет-банкинга и мобильного банкинга
-Требования к платежным картам

Отчетность по форме
0403203
3361-У 2831-У
3
Факторы, влияющие на внесение изменений в
Положение Банка России № 382-П
(1/3)
Количество инцидентов, фиксируемых ежемесячно: ~1700
>10% происходит при использовании банкоматов
>50% инцидентов приводит к несанкционированному переводу
>50% инцидентов происходит на стороне клиента

3361-У
(2/3)
 Реализация стратегии развития НПС
 Вступление в силу 9 статьи Федерального закона № 161-ФЗ
 Активное участие Банка России в повышении финансовой грамотности
населения Российской Федерации
 Развитие технологий, появление новых электронных средств платежа,
повышение популярности дистанционного банковского обслуживания
 Накопление опыта при осуществлении надзора в национальной платежной
системе
4 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

(3/3)
Почему существовавшие до внесения изменений требования не могли быть универсальными?
3361-У
Электронные денежные средства
Платежные карты, мобильный банкинг
Интернет-банкинг
Платежные системы класса B2B
Увеличение средней величины
платежа
Снижение «кумулятивного»
эффекта
Усложнение модели нарушителя
Изменение профиля риска
« Формирование задач в рамках каждого из направлений развития национальной
платежной системы и их реализация будут осуществляться при следовании
Банком России принципу соразмерности регулирования в НПС рискам, присущим
»
деятельности субъектов НПС и связанным со снижением безопасности оказания
платежных услуг 5 Сентябрь 2014 Семинар «Комментарии к документам Банка России по обеспечению ИБ и защиты информации»

Мнения и опыт
Департаментов Банка России
Независимых экспертов
Профессиональных объединений
участников рынка платежных услуг
Федеральных органов исполнительной
власти
Участников Технического комитета по
стандартизации «Стандарты
финансовых операций»
Иностранных регуляторов
Операторов платежных систем
6
Источники, используемые Банком России при
формировании требований к обеспечению защиты
информации в национальной платежной системе
3361-У
Документы
Базельского комитета по банковскому
надзору
Совета по стандартам безопасности
данных индустрии платежных карт
Комитета по платежам и рыночным
инфраструктурам
Международной организации комиссий
по ценным бумагам
Европейского союза
Систематизация рекомендаций по
тематике изменений (- необходим
системный подход, базовый документ,
учитывающий результаты применения
этих рекомендаций

Процесс формирования требований к обеспечению
защиты информации при осуществлении переводов
67 страниц,
43 требования 31 страница,
24 требования
77 редакций документа
3361-У 3361-У
Рекомендации
7
Требования не универсальны в плане
выполнения различными субъектами
Требования могут конфликтовать с
гарантийными обязательствами
Требования могут быть исполнены только
при вмешательстве в оборудование
Требования подразумевают наличие
узкоквалифицированных специалистов
Требования, не в полной мере относящиеся
к осуществлению переводов

1. Изменения общего характера

8
Изменения общего характера.
Пункт 2.3 Положения Банка России № 382-П
Выполнение
требований
с учетом параметров и статистики
выполняемых операций, количества и
характера выявленных инцидентов
Организационные меры
Выбор + применение,
Порядок,
Ответственность,
Контроль,
Иные действия
Технические средства
Выбор + использование,
Порядок,
Ответственность,
Контроль,
Иные действия
Применение объектов
инфраструктуры, для которых
характерен более низкий профиль
риска
+
Контроль

Изменения общего характера.
Пункт 2.12 Положения Банка России № 382-П
Риски, меры по их снижению
+
Меры по предотвращению
несанкционированного доступа к
защищаемой информации, в том числе при
утрате (потере, хищении) устройства
+
меры по контролю конфигурации
устройства
+
Информация о появлении в «Интернет»
фальсифицированных ресурсов и
программного обеспечения
+
рекомендуемые меры по обнаружению
указанных ресурсов и программного
обеспечения
1
+
Определение фальсифицированного
ресурса
ТУ
2

2. Требования к системам
Интернет-банкинга и
мобильного банкинга

Требования к системам Интернет-банкинга и
мобильного банкинга.
Терминология.
Интернет-банкинга
= = = ?
Системы
Системы

Разные ОС
Одинаковые каналы
связи
= = =
Разные каналы
связи
Одинаковые ОС
Отличие только в
размере дисплея
Системы
Интернет-банкинга:
сайты в сети «Интернет»,
используемые клиентом на
основании договора,
системы клиент-серверной
архитектуры, передающих
информацию через сеть
«Интернет»
(кроме АТМ, ПТ)
Системы
мобильного банкинга:
ПО, используемое клиентом при
осуществлении ПДС с
использованием системы
Интернет-банкинга и
предназначенное для установки
на мобильные устройства

Иерархия требований.
Системы
Интернет-банкинга
Программное обеспечение,
используемое клиентом при
денежных средств,
разрабатывалось оператором по
переводу денежных средств
самостоятельно или с
привлечением сторонних
организаций
Системы
Реализация функций, связанных с
выполнением требований
защитой данных при передаче
Распространение изменений,
контроль актуальности версий
Доведение инструкции, ее
обновление при обновлении ПО
ОПДС регламентирует обновление
вспомогательного ПО
Одноразовые пароли (коды
подтверждения) (по решению)
Уведомление перед авторизацией
перевода (по решению)
Установление клиентом лимитов
(сумма, получатели, устройства,
услуги, время)
Средство контроля целостности
(ЮЛ)
защитой хранимой информации
ИЛИ
Запрет на хранение информации на
устройстве
В репозиториях: указание
разработчика
В репозиториях: выявление
фальсифицированного ПО
И
Уведомление клиентов и
администраторов репозиториев
Блокировка доступа клиента по
заявлению

Взаимодействие с операторами сотовой связи.
приостановление
пересылки клиенту извещений (подтверждений) о
принятии к исполнению распоряжений и иной
защищаемой информации и
осуществления перевода денежных средств на
основании сообщений (кодов), отправленных с номера
телефона, указанного в договоре с клиентом,
в случае если
оператору по переводу денежных средств стало
известно о признаках, указывающих на изменение:
получателя информации, направленной оператором
по переводу денежных средств и используемой при
аутентификации клиента;
отправителя сообщений (кодов) с номера телефона,
указанного в договоре с клиентом, на основании
которых осуществляется перевод денежных средств.
К указанным признакам может
быть отнесена информация о
замене SIM-карты клиента,
прекращении обслуживания
или смене номера телефона,
К указанным признакам может
быть отнесена информация о
замене SIM-карты клиента,
прекращении обслуживания
или смене номера телефона,
указанного в договоре с
указанного в договоре с
клиентом
клиентом

3. Требования к банкоматам и
платежным терминалам

Требования к банкоматам и платежным терминалам.
Терминальные
Банкомат
устройство для осуществления в
автоматическом режиме:
выдачи и (или) приема средств наличного
платежа (банкнот) с использованием
платежных карт,
наличных денежных расчетов и (или)
расчетов с использованием платежных
карт, передачи распоряжений кредитной
организации об осуществлении расчетов
по поручению клиентов по их банковским
счетам и для составления документов,
подтверждающих передачу
соответствующих распоряжений.
(Федеральный закон № 54-ФЗ)
Платежный терминал
устройство для осуществления
наличных денежных расчетов в
автоматическом режиме
(Федеральный закон № 54-ФЗ)
Электронный терминал
электронное устройство,
предназначенное для совершения
операций с использованием платежных
карт и конструкция которых не
предусматривает прием (выдачу)
наличных денежных средств
(Указание Банка России № 2332-У)

Классификация.
Терминальные
дистанционного
банковского
обслуживания
возможности
несанкционированного
получения информации,
необходимой для
осуществления переводов
возможности осуществления
воздействия, приводящего к
сбоям, отказам, повреждению
ТУ ДБО
Особенности конструкции и
место установки
Основания для
классификации
(определение типов и
отнесение к ним)
Использование при определении мер и средств,
применяемых в рамках выполнения требований

Иерархия требований.
Классификация
Установка на (в) ТУ ДБО
технических средств,
предназначенных для обнаружения
и (или) предотвращения
(затруднения) работы
несанкционированно
установленного оборудования
(по решению)
несанкционированное внесение
изменений в программное
обеспечение
использование систем
удаленного мониторинга
состояния ТУ ДБО
Контроль
Состояния
(периодичность,
порядок)
несанкционированное внесение
изменений в аппаратное
обеспечение
сбои и отказы в работе
технических средств защиты
информации,
устройств приема платежных
карт,
устройств приема наличных
денежных средств,
устройств выдачи наличных
приведение ТУ ДБО в состояние,
при котором обслуживание
клиентов невозможно

Требования к банкоматам и платежным терминалам
размещение на лицевой панели ТУ
ДБО или в непосредственной
близости от ТУ ДБО сведений об
ОПДС
контроль состава объектов
информационной инфраструктуры в
сегментах информационно-
телекоммуникационных сетей, в
составе которых присутствуют ТУ
ДБО
порядок работы с заявлениями
клиентов о выявленных событиях,
связанных с нарушением
обеспечения защиты информации
порядок настройки программного
обеспечения, средств
вычислительной техники в составе
ТУ ДБО
Определение требований для
банковских платежных агентов
(субагентов) + контроль в
соответствии с действующей
редакцией (п. 1.2)

4. Требования к применению
платежных карт, оснащенных
микропроцессором

Требования к применению платежных карт,
оснащенных микропроцессором
Оператор по переводу денежных средств осуществляет переводы денежных
средств с применением расчетных (дебетовых), кредитных карт:
оснащенных микропроцессором, оснащенных микропроцессором и магнитной
полосой, выданных (эмитированных) кредитными организациями на
территории Российской Федерации, срок действия которых начинается после 1
июля 2015 года;
оснащенных магнитной полосой и (или) микропроцессором, выданных
(эмитированных) кредитными организациями на территории Российской
Федерации, срок действия которых начинается до 1 июля 2015 года.

Дмитрий Сергеевич Крутов
Главный экономист
Департамента национальной платежной системы

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

More Related Content

What's hot

Viewers also liked

Similar to Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06.2012 г. № 382-П