SlideShare a Scribd company logo

Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг

S
SelectedPresentations

VII Уральский форум Информационная безопасность банков ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1 Банковский фрод Батырев Тимур Кабирович, заместитель директора Департамента национальной платежной системы Источник: http://ural.ib-bank.ru/materials_2015

1 of 19
Download to read offline
VII Уральский форум Информационная безопасность банков Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг Тимур Кабирович Батырев 16-21 февраля 2015 г.
Банк России Содержание 2 1. Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков. 2. Итоги 2014 года Основные направления деятельности в рамках контроля безопасности платежных услуг Регулирование в области безопасности платежных услуг. Причины внесения изменений в 382-П Изменения, внесенные в Положение № 382-П Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202 Предварительные результаты анализа отчетности по форме 0403203 Совершенствование методологии проверок по вопросам безопасности платежных услуг Проведение проверок кредитных и поднадзорных организаций 3. Совершенствование деятельности: актуальные вопросы и перспективы Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности Результаты опроса по стандартизации безопасности платежных услуг Взаимодействие с клиентом VII Уральский форум: Информационная безопасность банков
Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 1
Банк России Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 4 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор  Кредитный риск  Риск ликвидности  Операционный риск
Банк России Регулирование в НПС: 3 контура взаимодействия и обратной связи 5 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Определение профиля риска нарушения БФПС Надзор  Кредитный риск  Риск ликвидности  Операционный риск 1 2 3Внутренний контур ПС Контур общего регулирования в НПС Контур регулирования безопасности в НПС
Банк России Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор 6 Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС  Кредитный риск  Риск ликвидности  Операционный риск Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков VII Уральский форум: Информационная безопасность банков  Недостаточно проработана методология  Недостаточно мотивацииРиски платежной системы Собственные риски Риски клиента Собственные риски  Недостаточно полномочийРиски участников Риски отрасли  Недостаточно мотивации  Недостаточно мотивации
Итоги 2014 года 2 О работе, проведенной Банком России в рамках контроля безопасности платежных услуг
Банк России Основные процессы, осуществляемые в 2014 году в рамках контроля безопасности платежных услуг 8VII Уральский форум: Информационная безопасность банков Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС  Кредитный риск  Риск ликвидности  Операционный риск Определение профиля риска нарушения БФПС Глобальное регулирование Дистанционный и контактный надзор Сбор и обработка отчетности по ф. 0403202, 0403203 Унификация подходов 2 1 3 4
Банк России 1. Регулирование в области безопасности платежных услуг. Причины внесения изменений в Положение № 382-П. 9VII Уральский форум: Информационная безопасность банков Принцип соразмерности регулирования рискам, присущим деятельности субъектов НПС и связанным со снижением безопасности оказания платежных услуг « » Стратегия развития НПС: Целью развития НПС является обеспечение эффективного и надежного функционирования субъектов НПС в том числе для обеспечения финансовой стабильности, повышения качества, доступности и безопасности платежных услуг. « » 3361-У Почему существовавшие до внесения изменений требования не могли быть универсальными? Электронные денежные средства Платежные карты, мобильный банкинг Интернет-банкинг Платежные системы класса B2B Увеличение средней величины платежа Снижение «кумулятивного» эффекта Усложнение модели нарушителя Изменение профиля риска
Банк России 1. Регулирование в области безопасности платежных услуг. Изменения, внесенные в Положение № 382-П. 10VII Уральский форум: Информационная безопасность банков Выполнение требований Организационные меры Выбор + применение, Порядок, Ответственность, Контроль, Иные действия Технические средства Выбор + использование, Порядок, Ответственность, Контроль, Иные действия Применение объектов инфраструктуры, для которых характерен более низкий профиль риска + Контроль с учетом параметров и статистики выполняемых операций, количества и характера выявленных инцидентов Интернет-банкинг, Мобильный банкинг Банкоматы, платежные терминалы Платежные карты
Банк России 2. Сбор и обработка отчетности. Основные процессы. 11VII Уральский форум: Информационная безопасность банков Предоставление отчетности 0403202 0403203 Надзор Анализ Информирование Выявление нарушений Выявление проблем, Стратегическое планирование Предоставление исходных данных для принятия решений (последний отчет за 2014 год предоставлен 25 января)
Банк России 2. Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202. 12VII Уральский форум: Информационная безопасность банков Качественная оценка Значение итогового показателя Rпс Всего операторов Доля, % ОПДС ОПС ОУПИ Неудовлетворительная 0 < Rпс< 0,5 20 2,38% 19 0 1 Сомнительная 0,5 ≤ Rпс< 0,7 139 16,55% 138 1 1 Удовлетворительная 0,7 ≤ Rпс<0,85 532 63,33% 251 18 28 Хорошая 0,85 ≤ Rпc< 1 134 15,95% 130 4 7 Rпc= 1 15 1,79% 14 1 0 Итого 840 822 24 38 1,79% Необходим новый подход к толкованию «серьезности» нарушений (некоторые не носят угрожающий характер) 0,74Среднее значение Rпс Необходимо проанализировать причину нарушений и «уязвимые места» в регулировании Необходимо усилить контроль за выполнением требований
Банк России 2. Сбор и обработка отчетности. Предварительные результаты анализа отчетности по форме 0403203. 13VII Уральский форум: Информационная безопасность банков Количество несанкционированных операций, ед. Объем несанкционированных операций, млн р. По платежным картам Количество инцидентов, связанных с использованием систем ДБО, ед. Сумма, на которую были исполнены распоряжения, млн р. По системам ДБО 04032030409258
Банк России 3. Совершенствование методологии проверок по вопросам безопасности платежных услуг. 14VII Уральский форум: Информационная безопасность банков Получен опыт при проведении проверок. Собрана отчетность, выработан аппарат ее обработки. Введены в действие новые нормы 382-П. Снижение нагрузки на проверяемые организации, детализация процессов предпроверочной подготовки; «Точечный» подход: определение наиболее слабых мест в организации и проверка по данным направлениям; Диверсификация нарушений по тяжести; Повышение предсказуемости результатов проверки; Публикация ожиданий регулятора по проверяемым вопросам (?) Разработка структуры методики; Проведение совещаний со специалистами, привлеченными к участию в проверках; Наполнение разработанной структуры; Согласование в Банке России; Установление внутренних регламентов; Решение о публикации выдержек.
Совершенствование деятельности: актуальные вопросы и перспективы 3
Банк России Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности в области безопасности платежных услуг 16 Подготовлены предложения о внесении изменений в статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ Подготовлены предложения по проекту федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации (в части противодействия хищению денежных средств)» Предложения по изменению законодательства Повышение финансовой грамотности Подготовлены материалы по повышению финансовой грамотности населения в области безопасности платежных услуг Организации работ по взаимодействию со средствами массовых коммуникаций совместно с Департаментом международного сотрудничества и общественных коммуникаций VII Уральский форум: Информационная безопасность банков
Банк России Результаты опроса по стандартизации безопасности платежных услуг 17 «Электронные деньги» НП НПС Ассоциация НПС ТК 122 (ПК 1 и ПК 4) АРБ Противодействие инцидентам Уточнение урегулированных вопросов Рекомендации по неурегулированным вопросам Сомнительные операции Критерии Привлечение сторонних организаций и контроль их деятельности Аутсорсинг Выбор Контроль Ответственность Проведение оценки выполнения требований Целесообразно по окончании работ над методикой проверок Работа с клиентами VII Уральский форум: Информационная безопасность банков
Банк России Взаимодействие с клиентом. 18 Клиент Злоумышленник Возможность контроля публичной инфраструктуры оператора, многократно превышающая его собственные Распоряжение счетом и ЭСП, которые являются предметом действий злоумышленника Реализация прав и обязанностей, предусмотренных статьей 9 Федерального закона № 161-ФЗ Взаимодействие только с операторами по переводу денежных средств Низкий уровень подконтрольности, специфическая мотивация Совершенствование методов и инструментов, возможность использования технических и социальных методов Использование уязвимостей в технологиях и процессах предоставления услуг Доступность информации о методах совершения преступлений и средств совершения преступлений Развернутая сеть контактов, «разделение труда» Цель - хищение денежных средств или легализация преступных доходов Необходимость осуществления скрытого воздействия VII Уральский форум: Информационная безопасность банков Управление спросом на услуги, определение параметров такого спроса
Банк России 19 Спасибо за внимание! Заместитель директора Департамента национальной платежной системы Тимур Кабирович Батырев VII Уральский форум: Информационная безопасность банков

Recommended

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Expolink
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
Евгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
Евгений Царев
 
Через 3 года мы просто не узнаем банковский рынок Беларуси
Через 3 года мы просто не узнаем банковский рынок БеларусиЧерез 3 года мы просто не узнаем банковский рынок Беларуси
Через 3 года мы просто не узнаем банковский рынок Беларуси
Инфобанк бай
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончарова
finnopolis
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 

Recommended

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Андрей Луцкович (Frodex) "Мошенничество в системах дистанционного банковского...
Expolink
 
Нормативное регулирование дбо
Нормативное регулирование дбоНормативное регулирование дбо
Нормативное регулирование дбо
Евгений Царев
 
Нормативное регулирование ДБО
Нормативное регулирование ДБОНормативное регулирование ДБО
Нормативное регулирование ДБО
Евгений Царев
 
Через 3 года мы просто не узнаем банковский рынок Беларуси
Через 3 года мы просто не узнаем банковский рынок БеларусиЧерез 3 года мы просто не узнаем банковский рынок Беларуси
Через 3 года мы просто не узнаем банковский рынок Беларуси
Инфобанк бай
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончарова
finnopolis
 
Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...Реализация требований по защите информации в соответствии с положением Банка ...
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
Защита от DDoS-атак. Сегодня. В России.
Защита от DDoS-атак. Сегодня. В России.Защита от DDoS-атак. Сегодня. В России.
Защита от DDoS-атак. Сегодня. В России.
SelectedPresentations
 
Mbs f41 b
Mbs f41 bMbs f41 b
Mbs f41 b
SelectedPresentations
 
Интегрированная система информационной и экономической безопасности в бизнес-...
Интегрированная система информационной и экономической безопасности в бизнес-...Интегрированная система информационной и экономической безопасности в бизнес-...
Интегрированная система информационной и экономической безопасности в бизнес-...
SelectedPresentations
 
Spo2 w21
Spo2 w21Spo2 w21
Spo2 w21
SelectedPresentations
 
Mbs f41 a
Mbs f41 aMbs f41 a
Mbs f41 a
SelectedPresentations
 
Law f42
Law f42Law f42
Law f42
SelectedPresentations
 
Grc w25 b
Grc w25 bGrc w25 b
Grc w25 b
SelectedPresentations
 
Hum t17
Hum t17Hum t17
Hum t17
SelectedPresentations
 
Hta t19
Hta t19Hta t19
Hta t19
SelectedPresentations
 
Ht f42
Ht f42Ht f42
Ht f42
SelectedPresentations
 
Stu w22 b
Stu w22 bStu w22 b
Stu w22 b
SelectedPresentations
 
Mash f43
Mash f43Mash f43
Mash f43
SelectedPresentations
 
Law w22
Law w22Law w22
Law w22
SelectedPresentations
 
Ht f43
Ht f43Ht f43
Ht f43
SelectedPresentations
 
Iam r35 b
Iam r35 bIam r35 b
Iam r35 b
SelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
SelectedPresentations
 
Stu t17 a
Stu t17 aStu t17 a
Stu t17 a
SelectedPresentations
 
Spo1 r31 spo1-r31
Spo1 r31 spo1-r31Spo1 r31 spo1-r31
Spo1 r31 spo1-r31
SelectedPresentations
 
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
SelectedPresentations
 
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
ArtemAgeev
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
SelectedPresentations
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 

More Related Content

Viewers also liked

Viewers also liked (19)

Защита от DDoS-атак. Сегодня. В России.
Защита от DDoS-атак. Сегодня. В России.Защита от DDoS-атак. Сегодня. В России.
Защита от DDoS-атак. Сегодня. В России.
 
Mbs f41 b
Mbs f41 bMbs f41 b
Mbs f41 b
 
Интегрированная система информационной и экономической безопасности в бизнес-...
Интегрированная система информационной и экономической безопасности в бизнес-...Интегрированная система информационной и экономической безопасности в бизнес-...
Интегрированная система информационной и экономической безопасности в бизнес-...
 
Spo2 w21
Spo2 w21Spo2 w21
Spo2 w21
 
Mbs f41 a
Mbs f41 aMbs f41 a
Mbs f41 a
 
Law f42
Law f42Law f42
Law f42
 
Grc w25 b
Grc w25 bGrc w25 b
Grc w25 b
 
Hum t17
Hum t17Hum t17
Hum t17
 
Hta t19
Hta t19Hta t19
Hta t19
 
Ht f42
Ht f42Ht f42
Ht f42
 
Stu w22 b
Stu w22 bStu w22 b
Stu w22 b
 
Mash f43
Mash f43Mash f43
Mash f43
 
Law w22
Law w22Law w22
Law w22
 
Ht f43
Ht f43Ht f43
Ht f43
 
Iam r35 b
Iam r35 bIam r35 b
Iam r35 b
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Stu t17 a
Stu t17 aStu t17 a
Stu t17 a
 
Spo1 r31 spo1-r31
Spo1 r31 spo1-r31Spo1 r31 spo1-r31
Spo1 r31 spo1-r31
 
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
Защищенный мобильный доступ. Вчера. Сегодня. Завтра.
 

Similar to Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
ArtemAgeev
 
Дигитализация финансового рынка в стратегии Центробанка России
Дигитализация финансового рынка в стратегии Центробанка РоссииДигитализация финансового рынка в стратегии Центробанка России
Дигитализация финансового рынка в стратегии Центробанка России
Инфобанк бай
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 
Защита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и ВнедренияЗащита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и Внедрения
Евгений Царев
 

Similar to Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг (20)

Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
Дмитрий Сергеевич Крутов. Вопросы применения Положения Банка России от 09.06...
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Дигитализация финансового рынка в стратегии Центробанка России
Дигитализация финансового рынка в стратегии Центробанка РоссииДигитализация финансового рынка в стратегии Центробанка России
Дигитализация финансового рынка в стратегии Центробанка России
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов БанкаПрактический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
 
Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016Финансовый сектор. Аспекты информационной безопасности 2016
Финансовый сектор. Аспекты информационной безопасности 2016
 
Кредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень рискаКредитные рейтинги банков: факторы определяющие уровень риска
Кредитные рейтинги банков: факторы определяющие уровень риска
 
Перенос персональных данных в РФ. Вопросы и ответы
Перенос персональных данных в РФ. Вопросы и ответыПеренос персональных данных в РФ. Вопросы и ответы
Перенос персональных данных в РФ. Вопросы и ответы
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
 
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
Григорий Грузинов, Международный инвестиционный банк: BI как инструмент оценк...
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
 
Надежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ РоссииНадежда Прасолова_ЦБ России
Надежда Прасолова_ЦБ России
 
Защита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и ВнедренияЗащита информации в НПС. Особенности оценки соответствия и Внедрения
Защита информации в НПС. Особенности оценки соответствия и Внедрения
 
Обзор рынка финтех проектов России и Казахстана
Обзор рынка финтех проектов России и КазахстанаОбзор рынка финтех проектов России и Казахстана
Обзор рынка финтех проектов России и Казахстана
 

More from SelectedPresentations

More from SelectedPresentations (20)

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
Exp r35
Exp r35Exp r35
Exp r35
 
Exp t18
Exp t18Exp t18
Exp t18
 

Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг

  • 1. VII Уральский форум Информационная безопасность банков Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг Тимур Кабирович Батырев 16-21 февраля 2015 г.
  • 2. Банк России Содержание 2 1. Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков. 2. Итоги 2014 года Основные направления деятельности в рамках контроля безопасности платежных услуг Регулирование в области безопасности платежных услуг. Причины внесения изменений в 382-П Изменения, внесенные в Положение № 382-П Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202 Предварительные результаты анализа отчетности по форме 0403203 Совершенствование методологии проверок по вопросам безопасности платежных услуг Проведение проверок кредитных и поднадзорных организаций 3. Совершенствование деятельности: актуальные вопросы и перспективы Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности Результаты опроса по стандартизации безопасности платежных услуг Взаимодействие с клиентом VII Уральский форум: Информационная безопасность банков
  • 3. Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 1
  • 4. Банк России Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 4 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор  Кредитный риск  Риск ликвидности  Операционный риск
  • 5. Банк России Регулирование в НПС: 3 контура взаимодействия и обратной связи 5 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Определение профиля риска нарушения БФПС Надзор  Кредитный риск  Риск ликвидности  Операционный риск 1 2 3Внутренний контур ПС Контур общего регулирования в НПС Контур регулирования безопасности в НПС
  • 6. Банк России Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор 6 Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС  Кредитный риск  Риск ликвидности  Операционный риск Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков VII Уральский форум: Информационная безопасность банков  Недостаточно проработана методология  Недостаточно мотивацииРиски платежной системы Собственные риски Риски клиента Собственные риски  Недостаточно полномочийРиски участников Риски отрасли  Недостаточно мотивации  Недостаточно мотивации
  • 7. Итоги 2014 года 2 О работе, проведенной Банком России в рамках контроля безопасности платежных услуг
  • 8. Банк России Основные процессы, осуществляемые в 2014 году в рамках контроля безопасности платежных услуг 8VII Уральский форум: Информационная безопасность банков Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС  Кредитный риск  Риск ликвидности  Операционный риск Определение профиля риска нарушения БФПС Глобальное регулирование Дистанционный и контактный надзор Сбор и обработка отчетности по ф. 0403202, 0403203 Унификация подходов 2 1 3 4
  • 9. Банк России 1. Регулирование в области безопасности платежных услуг. Причины внесения изменений в Положение № 382-П. 9VII Уральский форум: Информационная безопасность банков Принцип соразмерности регулирования рискам, присущим деятельности субъектов НПС и связанным со снижением безопасности оказания платежных услуг « » Стратегия развития НПС: Целью развития НПС является обеспечение эффективного и надежного функционирования субъектов НПС в том числе для обеспечения финансовой стабильности, повышения качества, доступности и безопасности платежных услуг. « » 3361-У Почему существовавшие до внесения изменений требования не могли быть универсальными? Электронные денежные средства Платежные карты, мобильный банкинг Интернет-банкинг Платежные системы класса B2B Увеличение средней величины платежа Снижение «кумулятивного» эффекта Усложнение модели нарушителя Изменение профиля риска
  • 10. Банк России 1. Регулирование в области безопасности платежных услуг. Изменения, внесенные в Положение № 382-П. 10VII Уральский форум: Информационная безопасность банков Выполнение требований Организационные меры Выбор + применение, Порядок, Ответственность, Контроль, Иные действия Технические средства Выбор + использование, Порядок, Ответственность, Контроль, Иные действия Применение объектов инфраструктуры, для которых характерен более низкий профиль риска + Контроль с учетом параметров и статистики выполняемых операций, количества и характера выявленных инцидентов Интернет-банкинг, Мобильный банкинг Банкоматы, платежные терминалы Платежные карты
  • 11. Банк России 2. Сбор и обработка отчетности. Основные процессы. 11VII Уральский форум: Информационная безопасность банков Предоставление отчетности 0403202 0403203 Надзор Анализ Информирование Выявление нарушений Выявление проблем, Стратегическое планирование Предоставление исходных данных для принятия решений (последний отчет за 2014 год предоставлен 25 января)
  • 12. Банк России 2. Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202. 12VII Уральский форум: Информационная безопасность банков Качественная оценка Значение итогового показателя Rпс Всего операторов Доля, % ОПДС ОПС ОУПИ Неудовлетворительная 0 < Rпс< 0,5 20 2,38% 19 0 1 Сомнительная 0,5 ≤ Rпс< 0,7 139 16,55% 138 1 1 Удовлетворительная 0,7 ≤ Rпс<0,85 532 63,33% 251 18 28 Хорошая 0,85 ≤ Rпc< 1 134 15,95% 130 4 7 Rпc= 1 15 1,79% 14 1 0 Итого 840 822 24 38 1,79% Необходим новый подход к толкованию «серьезности» нарушений (некоторые не носят угрожающий характер) 0,74Среднее значение Rпс Необходимо проанализировать причину нарушений и «уязвимые места» в регулировании Необходимо усилить контроль за выполнением требований
  • 13. Банк России 2. Сбор и обработка отчетности. Предварительные результаты анализа отчетности по форме 0403203. 13VII Уральский форум: Информационная безопасность банков Количество несанкционированных операций, ед. Объем несанкционированных операций, млн р. По платежным картам Количество инцидентов, связанных с использованием систем ДБО, ед. Сумма, на которую были исполнены распоряжения, млн р. По системам ДБО 04032030409258
  • 14. Банк России 3. Совершенствование методологии проверок по вопросам безопасности платежных услуг. 14VII Уральский форум: Информационная безопасность банков Получен опыт при проведении проверок. Собрана отчетность, выработан аппарат ее обработки. Введены в действие новые нормы 382-П. Снижение нагрузки на проверяемые организации, детализация процессов предпроверочной подготовки; «Точечный» подход: определение наиболее слабых мест в организации и проверка по данным направлениям; Диверсификация нарушений по тяжести; Повышение предсказуемости результатов проверки; Публикация ожиданий регулятора по проверяемым вопросам (?) Разработка структуры методики; Проведение совещаний со специалистами, привлеченными к участию в проверках; Наполнение разработанной структуры; Согласование в Банке России; Установление внутренних регламентов; Решение о публикации выдержек.
  • 16. Банк России Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности в области безопасности платежных услуг 16 Подготовлены предложения о внесении изменений в статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ Подготовлены предложения по проекту федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации (в части противодействия хищению денежных средств)» Предложения по изменению законодательства Повышение финансовой грамотности Подготовлены материалы по повышению финансовой грамотности населения в области безопасности платежных услуг Организации работ по взаимодействию со средствами массовых коммуникаций совместно с Департаментом международного сотрудничества и общественных коммуникаций VII Уральский форум: Информационная безопасность банков
  • 17. Банк России Результаты опроса по стандартизации безопасности платежных услуг 17 «Электронные деньги» НП НПС Ассоциация НПС ТК 122 (ПК 1 и ПК 4) АРБ Противодействие инцидентам Уточнение урегулированных вопросов Рекомендации по неурегулированным вопросам Сомнительные операции Критерии Привлечение сторонних организаций и контроль их деятельности Аутсорсинг Выбор Контроль Ответственность Проведение оценки выполнения требований Целесообразно по окончании работ над методикой проверок Работа с клиентами VII Уральский форум: Информационная безопасность банков
  • 18. Банк России Взаимодействие с клиентом. 18 Клиент Злоумышленник Возможность контроля публичной инфраструктуры оператора, многократно превышающая его собственные Распоряжение счетом и ЭСП, которые являются предметом действий злоумышленника Реализация прав и обязанностей, предусмотренных статьей 9 Федерального закона № 161-ФЗ Взаимодействие только с операторами по переводу денежных средств Низкий уровень подконтрольности, специфическая мотивация Совершенствование методов и инструментов, возможность использования технических и социальных методов Использование уязвимостей в технологиях и процессах предоставления услуг Доступность информации о методах совершения преступлений и средств совершения преступлений Развернутая сеть контактов, «разделение труда» Цель - хищение денежных средств или легализация преступных доходов Необходимость осуществления скрытого воздействия VII Уральский форум: Информационная безопасность банков Управление спросом на услуги, определение параметров такого спроса
  • 19. Банк России 19 Спасибо за внимание! Заместитель директора Департамента национальной платежной системы Тимур Кабирович Батырев VII Уральский форум: Информационная безопасность банков