Обзор новинок в области нормативных актов по ИБ, выпущенных Банком России в 2019-м году и планируемых к выпуску в этом году

1. Бизнес-консультант по безопасности
Новинки законодательства
информационной
безопасности для
финансовых организаций
Алексей Лукацкий

2. ИБ в финансовых организациях
ФОНПС
БТ
ПДн
ФСТЭК
ФСБ
PCI
DSS
КИИ
Опер.
риски
SWIFT
СПФС
УИК /
ЕБС
Финтех

3. Цели Банка России

4. Уровни ИБ Методологическая составляющая Надзорная составляющая
Инфраструктурный
уровень
Защита
инфраструктурыпо
комплексуГОСТ
Надзор подразделений ИБ
Банка России
Система внешнего аудита
Уровень
приложений
►ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки
безопасности информационных технологий,
компоненты доверия к безопасности
►Профиль защиты для оценки уязвимости в
банковских приложениях
► Анализ уязвимостей
приложений, критичных с
точки зрения наличия
уязвимостей (сертификация):
- приложения клиентов
- фронт-приложения
► Сертификация ФСТЭК России
Уровеньтехнологии
обработкиданных
►Обеспечение целостности информации на
технологических участках ее обработки
►Протоколирование действий на технологических
участках
►Взаимодействие с клиентами финансовых
организаций
►Ведение баз данных об инцидентах ИБ, в том
числе на основе претензионной работы
► Анализ показателей уровня
риска по операциям на
технологических участках
► Анализ показателей,
формируемых на основе
претензионной работы
8|
домен УР – «управление киберриском»
домен ЗИ – «защита информации»
домен СО – «мониторинг киберрисков и
ситуационная осведомленность»
домен ОНД – «обеспечение непрерывности
выполнения бизнес- и технологических процессов
финансовых организаций в случае реализации
информационных угроз»
домен УА – «управлением киберриском при
аутсорсинге и использовании сторонних
информационных услуг (сервисов)»
домен УИ – «управление инцидентами ИБ»
- идентификация клиентов
- получение подтверждения финансовых (банковских) операций
- направление уведомлений о совершенных операциях
Основные элементы ИБ

5. Расширение полномочий Банка России
• Новый закон, вступивший в силу с октября, наделяет ЦБ
правом устанавливать, по согласованию с ФСТЭК и ФСБ,
обязательные для кредитных и некредитных финансовых
организаций требования по защите информации, за
исключением требований по защите информации,
установленных федеральными законами и принятыми в
соответствии с ними нормативными правовыми актами
672-П, 683-П, 684-П,
СПФС, 4926-У, 5039-У

6. Защита АРМ
КБР

7. Платежная система Банка России и АРМ
КБР
Источник: https://habr.com/post/345194/

8. «Старое» 552-П
• Редакция 552-П по сути
представляет инструкцию
по защите старого АРМ
КБР
• Длительные сроки
хранения
• Жесткие требования по
ИБ
• Много регламентов

9. Система передачи финансовых
сообщений
• Идеология защиты схожа с платежной
системой Банка России
• Защитные меры перечислены в договоре
об оказании услуг по передаче финансовых
сообщений, утвержденном письмом ЦБ от 5
апреля 2018 г. № 04-45/2470
• Можно ожидать и отдельного положения Банка
России под эту тему (по аналогии с 552-П)
• Приложения №12 (ИБ) и №13 (СКЗИ)

10. АРМ КБР-Н

11. Новое Положение Банка России 672-П
• Терминология синхронизирована с 382-П
• Участники
• обмена при осуществлении перевода денежных средств с
использованием сервиса срочного перевода и сервиса несрочного
перевода (участники ССНП)
• обмена при осуществлении перевода денежных средств с
использованием сервиса быстрых платежей (участники СБП)
• операционный центр и платежный клиринговый центр другой
платежной системы (ОПКЦ внешней платежной системы) при
предоставлении операционных услуг и услуг платежного клиринга
участникам СБП

12. Новое Положение Банка России 672-П
• Защита в соответствие с 382-П с учетом нового Положения
• ССНП и СБП – как операторы по переводу денежных средств (ОПДС)
• ОПКЦ – как операторы услуг платежной инфраструктуры (ОУПИ)
• Сегментирование объектов инфраструктуры
• для ССНП и СБП уровень защиты – 2 (по ГОСТ 57580.1)
• для ОПКЦ уровень защиты – 1 (по ГОСТ 57580.1)
• «Контур формирования электронных сообщений и контур контроля
реквизитов электронных сообщений в информационной
инфраструктуре участника ССНП должны быть реализованы с
использованием разных рабочих мест, разных криптографических
ключей и с привлечением отдельных работников для каждого из
контуров»
Разделение контуров – одна из тенденций ЦБ
Впервые

13. Новое Положение Банка России 672-П
• Меры защиты определяются самостоятельно по ГОСТ 57580.1
• Также участники ССНП, СБП и ОПКЦ должны соблюдать
требования по безопасности по 382-П ;-(
• Как совместить самостоятельный выбор защитных мер по ГОСТ и
обязательные защитные меры по 382-П даже не спрашивайте J
• Регистрация информации в объеме, достаточной для
информирования об инцидентах по 4926-У
• Оценка соответствия проводится не реже одного раза в два
года по 382-П, а также по требованию Банка России, в рамках
оценки соответствия (уровень – не ниже 4 по ГОСТ 57580.2)
Если у вас разные сроки оценки – это проблема
СТО???

14. Новое Положение Банка России 672-П
• Применение СКЗИ в соответствие с 63-ФЗ, ПКЗ-2005 и
документацией на СКЗИ
• Удостоверение распоряжения
• от клиента в СБП – ЭП или АСП
• от СБП в ОПКЦ – УЭП
• от ССНП в ЦБ – две УЭП
• от ОПКЦ в ЦБ – две УЭП
• Срок хранения всех электронных сообщений – 5 лет
ЦБ все активнее «стимулирует»
переходить от простой ЭП к
квалифицированной ЭП

15. Сроки и 672-П
• 672-П вступило в силу 06.04.2019
• Срок выполнения требований ГОСТ 57580.1/2 для участников
ССНП и СБП - 01.07.2021
• Срок выполнения требований ГОСТ 57580.1/2 для ОПКЦ – с
06.04.2019
• Участники ССНП, участники СБП и ОПКЦ должны обеспечить
для объектов информационной инфраструктуры,
размещенных в отдельных выделенных сегментах (группах
сегментов) вычислительных сетей, уровень соответствия не
ниже четвертого согласно ГОСТ 57580.2 до 01.01.2023

16. Новое 683-П:
что и зачем?

17. 382-П и 683-П
382-П 683-П
О требованиях к обеспечению защиты
информации при осуществлении переводов
денежных средств и о порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты информации
при осуществлении переводов денежных
средств
Об установлении обязательных для кредитных
организаций требований к обеспечению защиты
информации при осуществлении банковской
деятельности в целях противодействия
осуществлению переводов денежных средств
без согласия клиента

18. 382-П и 683-П
382-П683-П
• 382-П
• Кредитные / некредитные
организации (участники НПС)
• Не зависит от согласия клиента
• Порядок контроля
• 683-П
• Только кредитные организации
• Без согласия клиента

19. Новое положение Банка России 683-П
• ИБ не только при переводе денежных
средств (382-П) и не только при
общении с ЦБ (687-П), но и при … (683-
П)
• Регистрация – 16 мая 2019 года

20. Защищаемая информация
• Защите подлежат
• Информация, содержащаяся в документах составленных при
осуществлении банковских операций в электронном виде,
формируемых работниками или клиентами кредитных организаций
• Информация, необходимая для авторизации клиентов при
совершении действий в целях осуществления банковских операций и
удостоверения права распоряжаться денежными средствами
• Информации об осуществленных банковских операциях
• Ключевой информации СКЗИ

21. Уровни защиты по ГОСТу 58570.1
• Системно значимые кредитные организации, кредитные
организации, выполняющие функции оператора услуг
платежной инфраструктуры системно значимых платежных
систем, кредитные организации, значимые на рынке
платежных услуг – усиленный уровень защиты (1-й)
• Остальные кредитные организаций – стандартный (2-й)
уровень защиты

22. Требования 683-П
• Сертификация прикладного ПО в ФСТЭК на отсутствие НДВ
или анализ уязвимостей на ОУД4 с помощью лицензиатов
• Обеспечение целостности и достоверности защищаемой
информации
• Защита информации при передаче по каналам связи
• Регистрация результатов выполнения всех действий,
связанных с доступом к защищаемой информации работников
и клиентов
• Хранение зарегистрированной информации – 5 лет
Тренд

23. Некоторые вопросы
• Методика проведения анализа
уязвимостей банковских приложений
• Методика оценки НДВ банковских
приложений в условии ДСПшности
ФСТЭК
• Уход ФСТЭК от «Общих критериев»
• Профиль защиты от ЦБ

24. Требования 683-П
• Применение СКЗИ в соответствие с ФЗ-63, ФЗ-152, ПП-1119,
ПКЗ-2005, приказом ФСБ №378 и технической документацией
на СКЗИ
• Если российские СКЗИ, то только сертифицированные
• Подготовка рекомендаций клиентам по защите от
вредоносного кода и НСД к защищаемой информации
• Сведения об инцидентах направляются в службу управления
рисками в соответствие с 3624-У, а также в ФинЦЕРТ

25. Оценка соответствия
• Оценка соответствия – не реже одного раза в два года, только
лицензиатами ФСТЭК и в соответствие с ГОСТ 57580.2
• Не ниже 3-го уровня – с 01.01.2021
• Не ниже 4-го уровня – с 01.01.2023

26. Сроки вступления в силу
• Вступление в силу – с 26 мая 2019 года
• Требования к прикладному ПО - с 01.01.2020
• Требования по оценке соответствия - с 01.01.2021
• Требования выполнению первого и второго уровней защиты –
с 01.01.2021

27. Некредитные
финансовые
организации

28. Новое Положение 684-П
• Об установлении обязательных для некредитных финансовых
организаций требований к обеспечению защиты информации
при осуществлении деятельности в сфере финансовых
рынков
• Уровни защиты информации (по ГОСТ 57580.1)
• 3-й – центральные контрагенты, центральный депозитарий
• 2-й – депозитарии, клиринг, репозитарии, организаторы торговли,
страховые, НПФ, ПИФы, брокеры, дилеры, регистраторы,
управляющие
А ломбарды и микрофинансовые организации?

29. Информирование клиентов
• Некредитные финансовые организации должны обеспечивать
доведение до своих клиентов следующей информации:
• о возможных рисках получения несанкционированного доступа к
защищаемой информации с целью осуществления финансовых операций
лицами, не обладающими правом их осуществления;
• о мерах по предотвращению несанкционированного доступа к защищаемой
информации, в том числе при утрате (потере, хищении) клиентом
устройства, с использованием которого им совершались действия в целях
осуществления финансовой операции, контролю конфигурации устройства,
с использованием которого клиентом совершаются действия в целях
осуществления финансовой операции, и своевременному обнаружению
воздействия вредоносного кода.
• рекомендаций по защите информации от воздействия вредоносного кода

30. Защитные меры
• Применение СКЗИ в соответствие с ФЗ-63, ФЗ-152, ПП-1119,
ПКЗ-2005, приказом ФСБ №378 и технической документацией
на СКЗИ
• Если российские СКЗИ, то только сертифицированные
• Тестирование на проникновение и анализ уязвимостей
• Оценка соответствия лицензиатами ФСТЭК по ГОСТ 57580.2
• Для усиленного уровня защиты – раз в год
• Для стандартного уровня защиты – раз в три года
• Хранение отчета – 5 лет
• Третий уровень – с 01.01.2022 года, а четвертый – с 01.07.2023 года

31. Защитные меры
• Сертификация прикладного ПО в ФСТЭК или анализ
уязвимостей по ОУД4
• Анализ уязвимостей может проводиться самостоятельно
• Регламентация, реализация, контроль (мониторинг)
технологии безопасной обработки защищаемой информации
• Целостность и неизменность защищаемой информации
• Регистрация инцидентов и их предоставление рисковикам
• Информирование об инцидентах ФинЦЕРТ

32. Борьба с
мошенничеством

33. Новые требования по борьбе с
мошенничеством
• В случае обнаружения банком признаков несанкционированного
перевода денежных средств (фрод), он обязан:
• на срок не более 2-х рабочих дней приостановить исполнение платежа
• заблокировать клиентское электронное средство платежа (ЭСП)
• проинформировать клиента о блокировке
• дать рекомендации по снижению риска возникновения аналогичных
ситуаций
• незамедлительно запросить у клиента подтверждение для возобновления
проведения платежа
• Банк обязан при получении от клиента подтверждения о том, что
перевод легальный, незамедлительно возобновить проведение
платежа и разблокировать клиентское ЭСП, при неполучении -
разблокировать платеж и ЭСП по истечении 2-х рабочих дней
• Вторичный риск мошенничества???

34. Если клиент уведомил о мошеннической
транзакции
• Банк плательщика предпринимает действия по приостановлению платежа,
обратившись в банк получателя по форме и в порядке, установленном ЦБ
• Банк получателя при получении уведомления в случае, если зачисление
средств на счет получателя не произошло:
• Приостанавливает зачисление средств на счет получателя на срок до 5 рабочих дней
• Незамедлительно уведомляет получателя о приостановке и запрашивает от него
подтверждающие документы
• В случае предоставления получателем подтверждающих документов - возобновляет
платеж
• В случае непредоставления в течение 5 рабочих дней - возвращает средства в банк
плательщика для возврата плательщику
• Банк получателя при получении уведомления в случае, если зачисление
средств на счет получателя уже произошло уведомляет об этом банк
плательщика по форме и в порядке, установленном ЦБ
• Банки не несут ответственности перед клиентом в случае надлежащего
исполнения установленных обязанностей по приостановлению и возврату
платежа

35. Указание 5039-У
• ОПДС плательщика при получении от
клиента уведомления об утрате ЭСП
или его использовании без согласия
направляет ОПДС получателя
уведомление о прекращении зачисления
денежных средств на банковский счет
получателя или увеличения остатка
электронных денежных средств
получателя в виде электронного
сообщения

36. Признаки мошенничества
• Признаки фрода устанавливаются
ЦБ и публикуются на сайте
• http://cbr.ru/Content/Document/File/4778
6/priznaki_20180928.pdf
• Дополнительно признаки фрода
устанавливаются банком в рамках
системы управления рисками

37. Всего три признака мошенничества
• Совпадение информации о получателе средств с информацией из базы
данных мошеннических операций ЦБ
• Совпадение информации о параметрах устройств, с использованием
которых осуществлен доступ к автоматизированной системе,
программному обеспечению с целью осуществления перевода денежных
средств, с информацией из базы данных мошеннических операций ЦБ
• Несоответствие характера, и (или) параметров, и (или) объема
проводимой операции (время (дни) осуществления операции, место
осуществления операции, устройство, с использованием которого
осуществляется операция и параметры его использования, сумма
осуществления операции, периодичность (частота) осуществления
операций, получатель средств) операциям, обычно совершаемым
клиентом оператора по переводу денежных средств (осуществляемой
клиентом деятельности)

38. Уведомление о мошенничестве
• Указание Банка России от 12 декабря 2018 №4926-У «О форме и
порядке направления операторами по переводу денежных средств,
операторами платежных систем, операторами услуг платежной
инфраструктуры в Банк России информации обо всех случаях и
(или) попытках осуществления переводов денежных средств без
согласия клиента и получения ими от Банка России информации,
содержащейся в базе данных о случаях и попытках осуществления
переводов денежных средств без согласия клиента, а также о
порядке реализации операторами по переводу денежных средств,
операторами платежных систем, операторами услуг платежной
инфраструктуры мероприятий по противодействию осуществлению
переводов денежных средств без согласия клиента»

39. 5 типов событий для уведомлений
1. Уведомление от клиента
2. Соответствие признакам от Банка России
3. НСД к объектам инфраструктуры ОПДС плательщика
4. Уведомление от участников платежной системы о списании
средств с их корсчетов без согласия
5. Выявление ОПДС или ОУПИ атак на объекты
инфраструктуры участников информационного объема
и(или) клиентов, которые могут привести к хищениям или их
попыткам

40. Типы уведомлений о мошенничестве
Первичное
• Операция
плательщика
• Операция получателя
средств
• Параметры устройств,
с использование
которых осуществлен
доступ к АС, ПО с
целью осуществления
переводя денежных
средств без согласия
клиента
Промежуточное
• Технические данные
по атакам
• Сведения об
обращении
плательщика в
правоохранительные
органы
• Дополнения или
уточнения к
первичному
уведомлению
Окончательное
• Меры, предпринятые
по выявлению и
устранению причин и
последствий атак
• Дополнения или
уточнения к
первичному и
промежуточному
уведомлению
Через АС «Фид-Антифрод» или резервный способ взаимодействия

41. Сроки для первичных уведомлений
• Для ОПДС или ОУПИ - субъектов КИИ,
владеющих значимыми объектами КИИ
• В течение 3-х часов – для событий: НСД и
атаки
• В течение рабочего дня, следующего за днем
наступления остальных событий
• Другие ОПДС или ОУПИ
• В течение 24-х часов – для событий: НСД и
атаки
• В течение рабочего дня, следующего за днем
наступления остальных событий

42. Сроки для промежуточных уведомлений
• Для ОПДС или ОУПИ - субъектов КИИ,
владеющих значимыми объектами КИИ
• В течение 3-х часов – для описания атак
• В течение двух рабочих дней, следующих за
днем получения остальной информации
• Другие ОПДС или ОУПИ
• В течение двух рабочих дней, следующих за
днем получения информации

43. Сроки для окончательных уведомлений
• В течение трех рабочих дней, следующих
за днем окончания рассмотрения случаев
и(или) попыток осуществления переводов
денежных средств без согласия клиента

44. Возможности «Фид-Антифрод»
Доступная
маршрутизация
операций без
согласия
Перевод с карты на
карту через сервисы
банка-отправителя
Перевод со счета на
счет
Без
маршрутизации
(только репортинг)
Перевод с карты на
карту через иные
сервисы
Переводы, связанные с
оплатой товаров и
услуг с использованием
POS терминалов
Перевод на
электронный кошелек
Пополнение остатка
средств абонента
радиотелефонной
связи
Иные реквизиты
получателя
Получение фидов
Специальный код
номера паспорта
Специальный код
СНИЛС
ИНН
Номер карты
Номер телефона
Номер счета + БИК
Номер кошелька
Получение сведений о
повышенном риске для
отдельной операции в
рамках осуществления
переводов денежных
средств
Возможность для ОПДС
принятия мер,
направленных на
выполнение
мероприятий по
противодействию
осуществлению
переводов денежных
средств без согласия
клиента
Выявление операций по
переводу денежных средств,
соответствующих признакам
осуществления перевода
денежных средств без
согласия клиента, до
принятия распоряжения к
исполнению

45. Планы развития «Фид-Антифрод»
• Оптимизация маршрутизации
• Оптимизация внутреннего перечня критериев
• Гармонизация СТО БР 1.5 с текущими форматами системы
• Развитие API для автоматического направления сведений об ОБС в
ФинЦЕРТ
• Оптимизация перечная анализируемых параметров
• Оптимизация подходов к обработке статусов ОБС (автоматизация
изменения статуса при возврате, при отказе от заявления)
• Развитие API для автоматического получения фидов
• Оптимизация перечня фидов и формирование условий для
получения обратной связи по их эффективности

46. Обязанности ОПДС
• Выявлять операции, соответствующие признакам
• Выявлять операции, совершенные в результате НСД
• Выявлять компьютерные атаки на объекты инфраструктуры
• Собирать технические данные об атаках
• Собирать факты обращения плательщика к правоохранителям
• Рассматривать случаи или попытки осуществления переводов денежных
средств, вызванные атаками
• Реализовать меры по выявлению и устранению причин
• Определять в документах по рискам процедуры выявления операций
• Реализовывать ограничения по операциям в отношении получателя

47. Обязанности ОУПИ
• Реализовывать меры по противодействию осуществления переводов
• Выявлять компьютерные атаки на объекты инфраструктуры
• Рассматривать случаи или попытки осуществления переводов денежных
средств, вызванные атаками
• Реализовать меры по выявлению и устранению причин…
• Осуществлять анализ операций, соответствующих признакам…

48. Обязанности ОПС
• Создать систему выявления и мониторинга переводов…
• Определить порядок реализации мероприятий по
противодействию…

49. ФинЦЕРТ

50. АСОИ ФинЦЕРТ
До 01.07.2018
Настоящее время
Создана 1-я очередь АСОИ ФинЦЕРТ
2019
2-я очередь АСОИ ФинЦЕРТ
§ Обмен с участниками по e-mail (получение
информации в формате XLSX)
§ Локальная автоматизация работы экспертов
§ Функционирование базовых процессов
§ Обмен с Участниками через защищенный
портал, ЛКУ, e-mail
§ Автоматизация ключевых процессов ФинЦЕРТ
§ Автоматизированное взаимодействие с
ГосСОПКА;
§ Реализация функционала «Фид-антифрода»
для Участников (прототип)
§ Обмен с участниками через защищенный
портал, e-mail и по API
§ Предоставление Участникам возможности
передачи через ЛК дампов и логов для
последующего анализа в ФинЦЕРТ
§ Автоматическое взаимодействие с
ГосСОПКА
§ Поддержка функционала для реализации
167-ФЗ в полном объеме

51. Новые сервисы АСОИ ФинЦЕРТ 2-й
очереди
• Предоставление Участникам сервиса ЛКУ по проверке ВПО (включая
специализированную песочницу)
• Предоставление Участникам сервиса передачи через ЛК «дампов»
сетевого трафика и лог-файлов web-серверов для последующего
анализа в ФинЦЕРТ
• Сервис автоматического взаимодействия Участников с ГосСОПКА
• Сервис уведомлений о критических инцидентах по SMS
• Автоматизация взаимодействия с АСОИ ФинЦЕРТ посредством API
• Сервис предоставления Участникам машиночитаемых IOC и
агрегированных баз данных
• Сервис обмена электронными сообщениями между ФинЦЕРТ и
Участниками с использованием электронной подписи

52. Ресурсы
ФинЦЕРТ
Средства автоматизации
Обработка входящих
сообщений и реагирование
Исследование данных
о компьютерных атаках
Инспекционные
проверки
Дистанционный
контроль
Информация для
надзорного блока
Криминалистические
компьютерные
исследования и
экспертиза носителей
информации и
устройств
(по запросам
правоохранительных
органов)
Запросы на экспертизу носителей
информации, образов носителей и
специальных устройств
Оперативно-розыскная и
уголовно-процессуальная
деятельность
правоохранительных
органов
Мониторинг
компьютерных атак
Интернет Отчетность
Фрод-
мониторинг
СМИ и
соцмедиа
АИС
Информационная
система
надзорного блока
Обращения граждан и
организаций
Сообщения КО,
участников обмена,
МВД, ФСБ,
ГосСОПКА
Ответы на
обращения
граждан
Информационные
бюллетени
организациям
КФС
Разъяснения
СМИ
Отчеты и
презентации на
официальном
сайте
Банка России
Обучение
по киберграмотности
Образы, носители
*АИС - автоматизированная информационная система
Целевая архитектура ФинЦЕРТ

53. Управление
киберрисками

54. Операционные риски

55. Управление киберрисками
• Киберриски – это часть операционных рисков
• В кредитной организации должна быть создана
база данных о событиях операционного риска и
убытках, понесенных вследствие реализации
операционного риска
• Назначение базы данных – контроль над уровнем
фактически понесенных (прямых) убытков
кредитной организации
• ДБР в 2019-м году планирует установить
требования к отдельной классификации событий
риска ИБ в составе БД операционных рисков
🌪

56. Рискориентированный подход
- регулярная отчетность об
инцидентах
- результаты проверок
подразделениями ИБ Банка России
- протоколирование действий на
технологических участках
- информация, содержащаяся в
базах данных
Показатели
защищенности
инфраструктуры
Показатели
защищенности
приложений
Показатели
риска по
операциям
- результаты проверок
подразделениями ИБ Банка России
Источники
Состав
операционных
рисков
финансовых
организаций
показатели, характеризующие уровень несанкционированных финансовых операций
показатели , характеризующие непрерывность предоставления финансовых услуг
показатели, характеризующие финансовые потери клиентов финансовых организаций
ПоказателиоперационнойстабильностиПоказателифинансовойстабильности

57. Управление киберрисками
• Кредитная организация:
Определяет на плановый годовой период количественные и качественные
показатели склонности к риску ОР, в том числе к риску ИБ(риск-аппетиты
ОР и ИБ)
Устанавливает целевые уровни этих показателей: сигнальный
(приемлемый) уровень и контрольный (лимитный) уровень
• Качественные требования будут формулироваться в рамках
ВПОДК в Указании Банка России №3624-У ссылками на
отраслевые стандарты ИБ (например, ГОСТР 57580.1-2017) с
учетом качественных требований Базеля II к ВПОДК
• Банк самостоятельно определяет уровни и утверждает их
на Совете Директоров.
• Уровни должны быть обоснованы и должны соотноситься
с величиной минимального регуляторного капитала в рамках
Положения № 346-П
🌊Кредитная организация
обязана будет
резервировать капитал
на покрытие
операционных рисков,
включая и киберриски

58. Резервирование капитала
До половины суммы корсчета

59. Проект положения по операционным
рискам
• Требования к системе управления
операционным риском в кредитной
организации и банковской группе, включая
требования к системам управления риском
информационной безопасности и риском
информационных систем, а также ведению
аналитической базы данных о событиях
операционного риска и потерях, понесенных
вследствие реализации этого риска
• 90+ страниц

60. Проект положения по операционным
рискам
• Процедура количественной оценки рисков
ИБ
• Порядок управления рисками
• Порядок отправки информации о событиях
риска в ФинЦЕРТ
• Оценка эффективности службы ИБ

61. Новое положение о СУОР

62. Трансформация системы управления
операционным риском
62
Положение о СУОР
Новые требования к
отчетности по ОР
Порядок расчета величины
ОР с учетом статистики
потерь и качества СУОР
2019 2020
Ø Компонента потерь (ILM)
для расчёта капитала на ОР
Ø Детальные требования к
организации СУОР
Ø Детальные требования к
данным о потерях от ОР и ИБ
Ø Стресс-тестирование ОР и ИБ
2021
Начало применения
подхода Basel III к расчету
капитала под ОР

63. Сколько вешать в граммах?

64. Надзор

65. Жизненный цикл ИБ с точки зрения
надзора
Необходимость включения
нового вида организации в
контур надзора
Комплекс
подготовительных
мероприятий к включению
в контур надзора
Включение в контур
надзора
Формирование профиля
риска
реализации
информационных угроз
Надзор за реализацией
системы управления
риском и капиталом с
учетом профиля риска
• Кредитная организация
• Некредитная финансовая
организация
• ФинТех-проект
• субъект национальной
платежной системы
• Определение типового состава
показателей профиля риска
поднадзорной организации
• Разработка методик применения
надзорных мер реагирования
• Формирование нормативно-
методологической базы знаний
Нормативное закрепление (часть 1):
• состава и содержания
технологических мер обеспечения
защиты информации;
• мер анализа уязвимостей
программного обеспечения;
• уровня защиты по ГОСТ;
• правил протоколирования.
Нормативное закрепление (часть 2):
• требований проведения оценки
соответствия по ГОСТ;
• правил претензионной работы;
• правил информирования ФинЦЕРТ
о несанкционированных
финансовых операциях.
Осуществление дистанционного
надзора (мониторинга) показателей:
ПНО – показатель уровня
несанкционированных операций;
ПОН – показатель операционной
надежности;
ПОС – показатель оценки соответствия
требованиям ГОСТ;
ИФ – показатель уровня
информационного фона.
Этап 1
Этап 2 Этап 3
Этап 4 Этап 5

66. Дистанционный надзор
Показатель уровня
несанкционированных
операций
Показатель
операционной
надежности
Показатель уровня
информационного
фона
Инспекционные проверки
Показатель качества
корпоративного
управления
ПНО ПОН ИФ ККУ
R (ПНО, ПОН, ПОС, ИФ, ККУ)
формирование зон
Источники
Формы
отчетности
Показатель оценки
соответствия
требованиям ГОСТ
ПОС
Внешний аудит
Сейчас
Информационный обмен
с ФинЦЕРТ
(для субъектов НПС)
Участие всех субъектов
надзора в информационном
обмене с ФинЦЕРТ
Сбор исходных
данных
Применение
технологий
BigData
Целеваямодель
Профиль риска поднадзорной
организации

67. Планы
развития ГОСТ

68. От СТО и РС к ГОСТ
• Постепенно осуществляется переход от концепции СТО/РС в
сторону ГОСТа с сохранение идеи отраслевой стандартизации
• Новые ГОСТы будут распространяться на все финансовые
организации
• Кредитные и некредитные
• Обрабатывающие банковскую тайну и другие виды защищаемой
информации
• СТО и РС будут развиваться как площадка для обкатки новых
требований по защите информации в финансовых
организациях

69. Дорожная карта стандартизации по ИБ
Банка России • Домен УКР – «управление
киберриском»
• Домен ЗИ – «защита информации»
• Домен СО – «мониторинг киберрисков и
ситуационная осведомленность»
• Домен ОНД – «обеспечение
непрерывности выполнения бизнес и
технологических процессов
финансовых организаций в случае
реализации информационных угроз»
• Домен УА – «управлением киберриском
при аутсорсинге и использовании
сторонних информационных услуг
(сервисов)»
• Домен УИ – «управление инцидентами
ИБ»

70. Стандарты по
защите
информации
ГОСТ 57580.1
ГОСТ 57580.2
Стандарты по ОИБ
и управлению
рисками
Общие положения
Оценка
соответстви
Аутсорсинг и
использование
информационных
сервисов
Аутсорсинг
Использование
информационных
сервисов
Оценка
соответствия
Стандарты по
управлению
инцидентами
Требования и
меры организации
Сбор и анализ
технических
данных
Взаимодействие с
ФинЦЕРТ
Оценка
соответствия
Стандарт по
непрерывности
Требования и
меры реализации
Оценка
соответствия
Мониторинг
киберрисков и
ситуационная
осведомленность
Требования и
меры реализации
Оценка
соответствия
Направления стандартизации Банка
России
Источник: план работы ПК1 ТК122

71. Финтех

72. Планы ЦБ на финтех 2019-го года
• Расширение на другие
сектора, запуск мобильного
приложения на iOS
• I этап — переводы
с неограниченным количеством
клиентов P2P и Me2Me
• II этап — переводы С2B и C2G
• Утверждение концепции
• Подготовка законопроекта
• Запуск пилотного проекта
• Подготовка технологических
и правовых условий,
запуск платформ
Опытно-промышленная
эксплуатация сервисов:
• электронные закладные
• цифровые банковские гарантии
• цифровые аккредитивы
Цифровой
профиль
Финансовый
маркетплейс
и регистратор
финансовых транзакций
Биометрическая
идентификация
Система
быстрых
платежей
Технологии
распределенных
реестров —
Мастерчейн

73. Спасибо!
alukatsk@cisco.com