Geekly articles weekly

Análisis de documentos reglamentarios sobre protección de la información en el sector financiero y crediticio ruso

En publicaciones anteriores, examinamos los conceptos básicos de la seguridad de la información, discutimos la legislación en el campo de la protección de datos personales y la infraestructura de información crítica , y también tocamos el tema de la seguridad de la información en las instituciones financieras utilizando el estándar GOST R 57580 .

Era el turno de examinar con más detalle las normas de la legislación rusa actual en el ámbito financiero. Un regulador clave en esta industria es el Banco Central de la Federación Rusa, que regularmente emite documentos actualizados de protección de la información en instituciones financieras que enfrentan desafíos cibernéticos modernos. Además, el Banco Central de la Federación de Rusia está trabajando activamente con ciudadanos y organizaciones: se celebran conferencias con la participación de representantes del Banco Central, se publican informes y advertencias de FinCERT , se dan explicaciones sobre la implementación de los requisitos reglamentarios. Esta publicación estará dedicada al análisis de documentos relevantes sobre la protección de la información en el ámbito crediticio y financiero. Entonces comencemos.

imagen

En las instituciones financieras y de crédito, los problemas de protección de datos son extremadamente relevantes debido al hecho de que a menudo puede colocar un signo de identidad entre la información y el dinero. Los problemas de confidencialidad de los datos del cliente, integridad de las órdenes de pago, acceso a los servicios bancarios son más graves que nunca en nuestra era digital. Dada la impresionante competencia y la diversidad de productos bancarios, la lealtad del cliente (tanto personas físicas como jurídicas) es muy valorada, y la seguridad de los pagos y la confidencialidad de la información proporcionada al banco se encuentran entre los factores más importantes para elegir. Además del propósito obvio y comprensible de hacer pagos a una amplia gama de personas, el sistema bancario en realidad sirve como el "sistema circulatorio" de la economía de todo el país, y es por eso que las entidades del sector bancario (organizaciones de crédito sistémicamente importantes, operadores de sistemas de pago, sistémicamente, pertenecen a los sujetos de la infraestructura de información crítica de la Federación de Rusia) importantes organizaciones de infraestructura del mercado financiero).

Según los datos proporcionados por el Centro de Monitoreo y Respuesta a los ataques informáticos en el ámbito financiero y crediticio del Banco de Rusia (FinCERT / FinCERT), en 2018 el volumen de transacciones con tarjeta no autorizadas ascendió a 1.400 millones de rublos, y el monto promedio de una transacción no autorizada fue de 3 , 32 mil rublos Para muchos bancos, los riesgos cibernéticos se han convertido en uno de los factores más importantes que limitan el desarrollo, y el daño de los delitos cibernéticos, incluido el daño a la reputación, ha superado durante mucho tiempo el de los robos "clásicos". Además, el Banco Central de la Federación de Rusia en su Proyecto de "Disposiciones sobre los requisitos para un sistema de gestión de riesgos operativos" incluyó los riesgos de seguridad de la información y los sistemas de información en la lista de riesgos operativos que deberían tenerse en cuenta al gestionar el capital de una organización financiera.

Una respuesta lógica a los desafíos cibernéticos de nuestro tiempo fue una serie de iniciativas por parte de los líderes del país, de acuerdo con las cuales se adoptaron actos legales regulatorios para regular el ámbito de la seguridad de la información en las instituciones financieras de la Federación de Rusia. El principal regulador del sector financiero ruso es el Banco de Rusia. Los objetivos del Banco Central de la Federación de Rusia en términos de seguridad de la información son garantizar la estabilidad cibernética (monitoreando los indicadores de riesgo para la implementación de amenazas de información, asegurando la continuidad de la provisión de servicios financieros y bancarios, monitoreando el nivel de transacciones fraudulentas), protegiendo a los consumidores de servicios financieros (monitoreando y controlando los indicadores que caracterizan el nivel de pérdidas financieras) , así como promover el desarrollo de tecnologías financieras innovadoras (controlando el riesgo de implementar amenazas de información e implementar n nivel requerido de seguridad de la información).

Ley Federal Nº 161 "Sobre el Sistema Nacional de Pagos"


El documento principal que rige la protección de la información en los bancos rusos es la Ley Federal No. 161 del 27 de junio de 2011 sobre el Sistema Nacional de Pagos. Este documento se actualiza y cambia continuamente, y sigue siendo relevante con la llegada de nuevas amenazas y desafíos. Los principales artículos 161-FZ que se dedican directamente a la protección de la información son el art. 27 "Garantizar la protección de la información en el sistema de pago", así como el art. 28 “El sistema de gestión de riesgos en el sistema de pago” (la cláusula 3.11 de la cual habla directamente de la necesidad de determinar el procedimiento para proteger la información en el sistema de pago). Basado en el art. 2, cláusula 3 de esta Ley Federal, el Banco de Rusia ha desarrollado estatutos para regular las relaciones en el sistema de pago nacional, que discutiremos en esta y otras publicaciones.

En primer lugar, es necesario familiarizarse con los términos y definiciones básicos que utiliza el regulador representado por el Banco de Rusia cuando discute los problemas de SI en el sector financiero. Entonces

  • Un sistema de pago nacional es una colección de operadores de transferencia de dinero (incluidos operadores de dinero electrónico), agentes de pago bancario (subagentes), agentes de pago, organizaciones postales federales cuando brindan servicios de pago, operadores de sistemas de pago, operadores de servicios de infraestructura de pagos, operadores de servicios intercambio de información, proveedores extranjeros de servicios de pago, operadores de sistemas de pago extranjeros, proveedores de aplicaciones de pago (sujetos de pago nacional Sistema Noah);
  • un operador de transferencia de dinero es una organización que, de conformidad con la legislación de la Federación de Rusia, tiene derecho a transferir dinero;
  • el operador de dinero electrónico es un operador de transferencia de dinero que transfiere dinero electrónico sin abrir una cuenta bancaria (transferencia electrónica de dinero);
  • Agente de pagos bancarios: una entidad legal que no es una institución de crédito, o un empresario individual, que está involucrado en una institución de crédito para llevar a cabo ciertas operaciones bancarias;
  • Subagente de pago bancario: una entidad legal que no es una institución de crédito, o un empresario individual, contratado por un agente de pago bancario para llevar a cabo ciertas operaciones bancarias;
  • un operador del sistema de pago es una organización que determina las reglas del sistema de pago, además de cumplir con otras obligaciones estipuladas en 161-;
  • operador de servicios de infraestructura de pago: un centro de operaciones, un centro de compensación de pagos y un centro de liquidación;
  • Centro de operaciones: una organización que proporciona acceso a servicios de transferencia de dinero, incluido el uso de medios de pago electrónicos, así como mensajes electrónicos, dentro del sistema de pago para los participantes en el sistema de pago y sus clientes;
  • un sistema de pago es un conjunto de organizaciones que interactúan de acuerdo con las reglas de un sistema de pago con el fin de transferir fondos, incluido un operador del sistema de pago, proveedores de servicios de infraestructura de pago y participantes del sistema de pago, de los cuales al menos tres organizaciones son operadores de transferencia de dinero;
  • Proveedor de aplicaciones de pago: una entidad legal, incluida una organización extranjera, que proporciona, sobre la base de un acuerdo con un operador de transferencia de dinero, una aplicación de pago para uso de los clientes de un operador de transferencia de dinero.

De conformidad con el art. 27 161-, los operadores de transferencia de dinero, los agentes de pago bancario (subagentes), los proveedores de servicios de intercambio de información, los proveedores de aplicaciones de pago, los operadores de sistemas de pago, los proveedores de servicios de infraestructura de pago deben garantizar la protección de la información al realizar transferencias de dinero de acuerdo con los requisitos establecidos en el Reglamento del Banco de Rusia de fecha 09.06.2012 No. 382-P “Sobre los requisitos para garantizar la protección de la información al realizar transferencias de dinero y sobre el procedimiento para que el Banco de Rusia realice supervisar el cumplimiento de los requisitos para la protección de la información al realizar transferencias de dinero ". Además, los operadores de transferencia de dinero, los operadores de sistemas de pago y los operadores de servicios de infraestructura de pago deben enviar información al Banco de Rusia sobre todos los casos y (o) intentos de realizar transferencias de dinero sin el consentimiento del cliente, pueden recibir información del Banco de Rusia contenida en la base de datos. sobre casos e intentos de realizar transferencias de dinero sin el consentimiento del cliente, y también están obligados a implementar medidas para contrarrestar la implementación de las transferencias de dinero sin el consentimiento del cliente en la forma prescrita por la Ordenanza Nº 4926-U del Banco de Rusia del 10/08/2018 "En el Formulario y Procedimiento para enviar información por parte de los operadores de transferencia de dinero, operadores de sistemas de pago, proveedores de servicios de infraestructura de pago al Banco de Rusia sobre todos los casos y (o) intentos de realizar transferencias fondos sin el consentimiento del cliente y su recibo del Banco de Rusia de la información contenida en la base de datos de casos e intentos de realizar transferencias de dinero sin el consentimiento del cliente, así como sobre el procedimiento para que los operadores de transferencia implementen enezhnyh fondos, operadores de sistemas de infraestructuras de pago, los operadores de servicios de transferencia de medidas para contador de dinero sin el consentimiento del cliente. " En otras palabras, la Ordenanza No. 4926-U define la forma, el procedimiento y el contenido de los mensajes enviados por organizaciones financieras al FinCERT del Banco Central de la Federación de Rusia. Al mismo tiempo, el propio Banco Central está creando y manteniendo una base de datos de casos e intenta realizar transferencias de dinero sin el consentimiento del cliente.

Reglamento del Banco de Rusia No. 382-P "Sobre los requisitos para garantizar la protección de la información al hacer transferencias de dinero ..."


De conformidad con las normas para la protección de la información especificadas en 161-FZ, el Reglamento del Banco de Rusia No. 382-P del 06/09/2012 se desarrolló sobre los requisitos para garantizar la protección de la información al realizar transferencias de dinero y sobre el procedimiento para que el Banco de Rusia supervise el cumplimiento de los requisitos para garantizar la protección de la información al realizar transferencias de dinero ". De acuerdo con este documento, los sujetos de regulación y control por parte del Banco de Rusia son operadores de transferencia de dinero, agentes de pago bancario (subagentes), operadores de sistemas de pago, operadores de servicios de infraestructura de pago. Los objetos de protección son las siguientes categorías de información procesada:

  • información sobre saldos de caja en cuentas bancarias;
  • información sobre saldos de caja electrónicos;
  • información sobre transferencias de dinero completadas;
  • información contenida en órdenes ejecutadas de clientes, participantes del sistema de pago, centro de compensación de pagos;
  • información sobre posiciones de compensación de pagos;
  • información del cliente y datos del titular de la tarjeta;
  • información clave de medios de protección de información criptográfica (CPSI);
  • información sobre la configuración de instalaciones de infraestructura de información y equipos de seguridad de la información;
  • información de acceso limitado, incluidos datos personales y otra información sujeta a protección obligatoria de conformidad con la legislación de la Federación de Rusia.

Los requisitos principales para la protección de la información cuando se transfieren fondos a instituciones financieras, como se establece en 382-P, son:

  • nombramiento y distribución de derechos de acceso para empleados de instituciones financieras;
  • protección de la información en todas las etapas del ciclo de vida de los objetos de infraestructura de información (creación, operación, modernización, desmantelamiento);
  • protección de la información al acceder a las instalaciones de infraestructura de información, incluidas de acceso no autorizado (NSD);
  • protección contra código malicioso;
  • protección de la información al transferir fondos a través de Internet;
  • protección de la información cuando se utilizan cajeros automáticos y terminales de pago;
  • protección de la información al usar tarjetas de pago;
  • protección de información utilizando protección de información criptográfica;
  • protección de la tecnología de procesamiento de información al transferir fondos;
  • creación de un servicio de seguridad de la información, incluso en sucursales;
  • realización de clases de sensibilización en el campo de la seguridad de la información para empleados de organizaciones financieras;
  • desarrollo e implementación de medidas organizativas para garantizar la protección de la información (ZI);
  • evaluación del cumplimiento de los requisitos para ZI;
  • el cumplimiento por parte del operador del sistema de pago de los requisitos de ZI dictados por el operador de transferencia de dinero o el operador de servicios de infraestructura de pago;
  • mejorar el sistema de ZI al transferir fondos;
  • identificando, analizando las causas de ocurrencia y respondiendo a incidentes de SI relacionados con violaciones de los requisitos para proporcionar ZI al transferir fondos.

Al mismo tiempo, dichos incidentes deben incluir eventos que pueden conducir a transferencias no autorizadas de fondos o la imposibilidad de proporcionar servicios de transferencia de dinero. Dichos eventos pueden incluirse en la lista de tipos de incidentes acordados con el FSB de la Federación de Rusia y publicados en el sitio web del Banco Central de la Federación de Rusia. Por el momento, esta información no se ha publicado, pero puede guiarse por los tipos de incidentes enumerados en el Estándar STO BR BFBO-1.5-2018 del Banco de Rusia “Seguridad de las operaciones financieras (bancarias). Gestión de incidentes de seguridad de la información ", así como en las" Directrices para trabajar con un sistema automatizado de procesamiento de incidentes (ASOI) del FinCERT Bank of Russia "(en adelante, los tipos de incidentes se muestran con sus identificadores utilizados en ambos documentos):

  • Uso de malware [malware];
  • Uso de métodos de ingeniería social [ingeniería social];
  • IMSI cambia en la tarjeta SIM, cambia el teléfono IMEI [sim];
  • Uso de recursos de phishing [phishingAttacks];
  • Colocación de contenido prohibido en Internet [contenido prohibido];
  • Hospedar un recurso malicioso en Internet [malwareRecursos];
  • Cambiar la información de enrutamiento y dirección [trafficHijackAttacks];
  • Uso de malware [malware];
  • Denegación de servicio [ddosAttacks];
  • Implementación de acceso no autorizado a cajeros automáticos y terminales de pago [atmAttacks];
  • Explotación de vulnerabilidades de la infraestructura de información [vulnerabilidades];
  • Compromiso de autenticación / credenciales [fuerzas brutas];
  • Implementación de correo no deseado [spam];
  • Interacción con centros de botnet [centros de control];
  • Uso de recursos de phishing [phishingAttacks];
  • Colocación de contenido prohibido en Internet [contenido prohibido];
  • Hospedar un recurso malicioso en Internet [malwareRecursos];
  • Ejecución de cambio de contenido [changeContent];
  • Realizar escaneo de puertos [scanPorts];
  • Otro ataque informático [otro].

El texto 382-P proporciona detalles de los requisitos anteriores para proteger la información al transferir fondos. Cabe señalar normas como la identificación, autenticación y autorización de las personas que trabajan con la infraestructura de información y el registro de las acciones de los empleados y clientes (se determina el volumen de información registrada y el período de cinco años de su almacenamiento), la implementación de los principios de minimizar la autoridad (proporcionando solo los derechos de acceso mínimos necesarios para desempeñar funciones oficiales deberes) y doble control (prohibición de la ejecución de acciones críticas por parte de un empleado), participación de los empleados del servicio de seguridad de la información Al crear o modernizar instalaciones de infraestructura de información. Además, para transferencias de dinero, software de aplicación certificado por la FSTEC de Rusia para el cumplimiento de los requisitos de seguridad de la información, incluidos los requisitos para el análisis de vulnerabilidades y el monitoreo de la ausencia de NDV, o someterse a un procedimiento de análisis de vulnerabilidad de acuerdo con los requisitos para un nivel estimado de confianza no inferior a OUD-4 en de acuerdo con los requisitos de la norma GOST R ISO / IEC 15408-3-2013. Tenga en cuenta que los niveles de confianza estimados (OUD) del estándar GOST R ISO / IEC 15408-3-2013 no deben confundirse con los niveles de confianza (UD) del SIS determinados de acuerdo con la Orden FSTEC de la Federación Rusa No. 131 del 30 de julio de 2018 (hablamos sobre este documento anteriormente ).

382-P también contiene un requisito para realizar pruebas de penetración anuales (pen-test) y análisis de vulnerabilidad de las instalaciones de infraestructura de TI, para lo cual debe participar una organización externa, un licenciatario del FSTEC de Rusia.

Los párrafos separados 382-P están dedicados a los principios de protección de los sistemas de banca por Internet, incluidos los móviles: publicar instrucciones de usuario para su uso, verificar la ausencia de malware y monitoreo de integridad, usar códigos de confirmación de acceso únicos, colocarlos en repositorios confiables, buscar vulnerabilidades y actualizaciones oportunas. Se indica por separado un método para tratar ataques como el "intercambio de SIM": en caso de reemplazar una tarjeta SIM o cambiar un número de teléfono por un cliente de una institución financiera, se recomienda suspender el envío de información confidencial a este número de suscriptor.

El Reglamento también enfatiza por separado que en el caso de la protección de datos personales por medio de una medida de protección de información criptográfica, una institución financiera debe cumplir con los requisitos de la Orden del Servicio Federal de Seguridad de la Federación Rusa No. 378 del 10 de julio de 2014 "Al aprobar la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales al procesarlos en la información sistemas de datos personales que utilizan los medios de protección criptográfica de la información necesarios para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada uno de los niveles de seguridad ".

Un párrafo separado (Cláusula 2.13) en 382-P está dedicado a los requisitos para identificar y responder a incidentes de protección de la información al realizar transferencias de dinero. En particular, se indica que el operador del sistema de pago determina el procedimiento para la interacción e intercambio de información sobre incidentes de SI con operadores de transferencia de dinero y proveedores de servicios de infraestructura de pago, así como registros y proporciona acceso a información sobre incidentes identificados y métodos para analizarlos y responder a ellos. Además, las instituciones financieras, con la excepción de los operadores de sistemas de pago, deben:

  • identificar y registrar incidentes relacionados con violaciones de los requisitos para garantizar la protección de la información durante la transferencia de fondos utilizando medios organizativos y técnicos;
  • informar a la unidad IS dedicada en caso de una identificación del incidente ZI;
  • para responder a incidentes identificados;
  • analizar las causas de los incidentes identificados y evaluar los resultados de su respuesta a ellos.

Además, el Decreto del Banco Central de la Federación de Rusia Nº 4793-U de fecha 05/07/2018 introdujo la obligación de los operadores de transferencia de dinero y los operadores de servicios de infraestructura de pago de informar al Banco de Rusia sobre los incidentes de protección de la información identificados y la divulgación pública planificada de los detalles del incidente; en este caso, el formulario y la fecha límite para el suministro de información es consistente con el FSB de la Federación de Rusia.

Un requisito importante para los operadores de transferencia de dinero, los operadores de sistemas de pago y los proveedores de servicios de infraestructura de pago es la evaluación obligatoria del cumplimiento, es decir. Análisis de la integridad de los requisitos para garantizar la protección de la información. Dicha evaluación se lleva a cabo al menos una vez cada dos años con la participación de las empresas que otorgan licencias del FSTEC de Rusia sobre la base de información sobre las medidas organizativas y técnicas implementadas de ZI y el análisis de su cumplimiento con las disposiciones de 382-P, así como sobre los resultados de monitorear la implementación del procedimiento para garantizar ZI al realizar transferencias de dinero. . Según los resultados de la evaluación de conformidad, estos operadores deben presentar informes dentro de los 30 días hábiles de acuerdo con el formulario 0403202 "Información sobre la implementación por parte de los operadores de sistemas de pago, proveedores de servicios de infraestructura de pago,operadores de transferencia de dinero de los requisitos para garantizar la protección de la información al realizar transferencias de dinero ", de acuerdo con las instrucciones del Banco Central de la Federación de Rusia Nº 2831-U (según lo modificado por la Orden Nº 3024-U). Por lo tanto, el Banco Central de la Federación de Rusia recibe de los operadores una evaluación cuantitativa de su cumplimiento de los requisitos organizativos y técnicos para ZI. Para analizar la integridad de las medidas de protección aplicadas, las declaraciones de los propios operadores del sistema de pago deben recibir informes de los operadores de transferencia de dinero y proveedores de servicios de infraestructura de pago, mientras establecen requisitos para el contenido, la forma y la frecuencia de dichos informes.El Banco Central de la Federación de Rusia recibe de los operadores una evaluación cuantitativa de su cumplimiento de los requisitos organizativos y técnicos para ZI. Para analizar la integridad de las medidas de protección aplicadas, las declaraciones de los propios operadores del sistema de pago deben recibir informes de los operadores de transferencia de dinero y proveedores de servicios de infraestructura de pago, mientras establecen requisitos para el contenido, la forma y la frecuencia de dichos informes.El Banco Central de la Federación de Rusia recibe de los operadores una evaluación cuantitativa de su cumplimiento de los requisitos organizativos y técnicos para ZI. Para analizar la integridad de las medidas de protección aplicadas, las declaraciones de los propios operadores del sistema de pago deben recibir informes de los operadores de transferencia de dinero y proveedores de servicios de infraestructura de pago, mientras establecen requisitos para el contenido, la forma y la frecuencia de dichos informes.

Otro tipo de informe de los operadores al Banco de Rusia es la provisión de información en el formulario 0403203 "Información sobre la identificación de incidentes relacionados con la violación de los requisitos para garantizar la protección de la información al realizar transferencias de dinero", establecida por la Ordenanza del Banco de Rusia Nº 2831-U con fecha 06/09/2012 " Sobre los informes para garantizar la protección de la información durante la transferencia de fondos de los operadores de sistemas de pago, proveedores de servicios de infraestructura de pago, operadores de transferencia de dinero ", tal como fue modificado por las Instrucciones Ba Código Tributario Ruso No. 4753-U con fecha 30/03/2018. La frecuencia de informar este formulario de informe varía según la categoría del operador y la cantidad de dinero transferido (en adelante, d / s).Este formulario de informe debe contener información sobre el uso no autorizado de medios electrónicos de pago por parte de los clientes, sobre transferencias y retiros de d / sy una disminución en el saldo de d / s electrónicos como resultado del acceso no autorizado a la infraestructura de TI del operador (incluidos los cajeros automáticos), sobre el rechazo Servicios de transferencia de d / s, al recibir notificaciones de clientes sobre los hechos de la transferencia no autorizada de d / s, así como sobre los hechos de débito no autorizado de las cuentas corresponsales de los participantes del sistema de pago. Se imponen requisitos especiales a los operadores de transferencia d / s, que son organizaciones de crédito reconocidas por el Banco de Rusia como importantes en el mercado de servicios de pago: todos los hechos de la no prestación de servicios de transferencia d / s deben informarse durante más de 2 horas.El Centro de liquidación de un sistema de pago significativo debe indicar en el informe información sobre eventos de no prestación de servicios de liquidación por un período de más de 1 día hábil.

Formulario de informe 0409258 "Información sobre transacciones no autorizadas comprometidas con tarjetas de pago", establecido por la Ordenanza del Banco de Rusia No. 4212-U del 24/11/2016 "En la lista, formularios y procedimiento para compilar y presentar formularios de informes de organizaciones de crédito al Banco Central de la Federación de Rusia" según enmendada por la Orden N ° 4927-U, debe contener información sobre el número de tarjetas de pago con las que se realizaron operaciones no autorizadas, desglosadas por el número y la cantidad de operaciones no autorizadas en la Federación de Rusia y y en el extranjero, comprometida con las organizaciones de servicios de comercio /, la conversión en efectivo, a través de los cajeros automáticos, el acceso a través de Internet o el uso de un teléfono inteligente. Este formulario de informe debe ser proporcionado por organizaciones de crédito y organizaciones de crédito no bancarias,tiene derecho a realizar transferencias d / s sin abrir cuentas bancarias.

Cabe señalar que hasta mediados de 2018, las organizaciones de crédito enviaron datos sobre transacciones no autorizadas al Banco de Rusia como parte del formulario de informe planificado 0409258, y se proporcionó información sobre sus razones en el formulario de informe 0403203 mensualmente, sin embargo, un sistema automatizado se está desarrollando y utilizando activamente procesamiento de incidentes (ASOI) FinCERT Bank of Russia, a través del cual se realiza el intercambio de información relevante en tiempo real.

La información de los informes presentados por los operadores se incluye en las revisiones oficiales anuales de las transferencias no autorizadas realizadas por FinCERT del Banco de Rusia, donde, en el formato de proporcionar información estadística, se muestran tendencias en las violaciones de ZI en el sector bancario. Por ejemplo, un informepara 2018 muestra un aumento constante en el número de transacciones CNP no autorizadas (CNP, Card Not Present - una operación realizada sin presentar una tarjeta de pago, solo sus detalles), y las causas de las operaciones no autorizadas utilizando tarjetas de pago de personas en el 97% de los casos son los métodos utilizados por los atacantes ingeniería social y violación del uso de tarjetas por parte de los titulares de tarjetas, mientras que las causas de transacciones no autorizadas de entidades legales en el 46% de los casos son el impacto de códigos maliciosos y solo 39% - métodos de ingeniería social y violación de las reglas de trabajo por parte de los propietarios.

Al final de la revisión 382-P, debe tenerse en cuenta que en este momento el CBR se está preparando para publicar una versión actualizada de este documento, que está armonizada con otros documentos recientes emitidos por el Banco Central, por ejemplo, con las Disposiciones 683-P y 684-P, que discutiremos a continuación. . Por lo tanto, en la nueva edición hay requisitos para el uso de software certificado, realizar pruebas de penetración anuales (prueba de lápiz) y análisis de vulnerabilidad, garantizar niveles de seguridad de acuerdo con GOST R 57580.1-2017, y también indica que la evaluación de conformidad de acuerdo con GOST R 57580.2-2018 y El análisis de vulnerabilidad en el software de aplicación debe ser realizado por la organización de licencias de la FSTEC de Rusia.

Decisión del Gobierno Nº 584, Reglamento del Banco Central de la Federación de Rusia Nº 607-P, 380-P, 640-P


La Decisión del Gobierno N ° 584 del 13 de junio de 2012, "Sobre la aprobación del Reglamento sobre la protección de la información en el sistema de pago", se firmó de conformidad con las normas 161- "Sobre el sistema de pago nacional" y entró en vigor el 1 de julio de 2012. Esta Resolución contiene requisitos para operadores y agentes de sistemas de pago para garantizar la seguridad de la información sujeta a protección obligatoria de conformidad con las leyes de la Federación de Rusia, incluida la DP. El documento describe los siguientes requisitos para ZI en el sistema de pago:

  • Nombramiento de un empleado o unidad responsable de ZI;
  • inclusión de los requisitos de ZI en las descripciones de trabajo de los empleados del sistema de pago;
  • Identificación de amenazas de seguridad (es decir, modelado de amenazas) y análisis de vulnerabilidad.
  • análisis y gestión de riesgos de violación de requisitos para ZI;
  • aplicación de SZI;
  • ;
  • ;
  • ;
  • 1 2 .

ZI funciona y la evaluación del cumplimiento de los requisitos de ZI puede ser realizada por operadores y agentes de sistemas de pago por cuenta propia o con la ayuda de los licenciatarios de FSTEC Rusia. Se indica por separado que los requisitos para ZI deben implementarse en todas las etapas de la creación y operación de sus propios sistemas de información, y en el caso de la adquisición de dichos sistemas, en las etapas de puesta en servicio y directamente durante la operación.

En general, la Decisión del Gobierno considerada es declarativa en comparación con los documentos del Banco Central de la Federación de Rusia, que contienen requisitos detallados para la ZI y recomendaciones para su implementación.

El Reglamento del Banco de Rusia No. 379-P con fecha 31/05/2012 "El Reglamento sobre la Operación Continua de los Sistemas de Pago y Análisis de Riesgos en los Sistemas de Pago" fue adoptado casi simultáneamente con 382-P, sin embargo, perdió fuerza en relación con la adopción del Reglamento del Banco de Rusia No. 607-Pde fecha 10.03.2017 "Sobre los requisitos para el procedimiento para garantizar el funcionamiento ininterrumpido del sistema de pago, los indicadores de funcionamiento ininterrumpido del sistema de pago y los métodos de análisis de riesgo en el sistema de pago, incluidos los perfiles de riesgo". El 607-P se ocupa de la gestión de riesgos y la continuidad de los servicios en el sistema de pago. Este documento, en particular, se refiere a la necesidad de realizar una evaluación de riesgos al menos 1 vez al año y de revisar el sistema de gestión de riesgos, al menos 1 vez en 2 años. Se proporciona una lista de indicadores cuantitativos de la disponibilidad de servicios de infraestructura de pago, la operación ininterrumpida del sistema de pago y la frecuencia de incidentes (es decir, eventos que llevaron a una interrupción en la prestación de servicios de pago que han surgido, incluso debido a violaciones de ZI), así como métodos para calcular estos indicadores.Los indicadores calculados se utilizan para evaluar el sistema de gestión de riesgos en el sistema de pago, mientras que la evaluación de riesgos debe aplicarseNorma GOST R ISO / IEC 31010-2011 “Gestión de riesgos. Métodos de evaluación de riesgos. El período de almacenamiento de información sobre incidentes es de 3 años, y el formulario de informe del operador del sistema de pago se define en el Decreto del Banco Central de la Federación de Rusia No. 3280-U con fecha 06/11/2014 "Sobre el procedimiento para informar al operador del sistema de pago del Banco de Rusia, los participantes del sistema de pago sobre los casos y las razones de la suspensión (terminación) de la provisión servicios de infraestructura de pago ". Además, 607-P enfatiza la importancia de desarrollar, probar y actualizar planes para la continuidad y recuperación del negocio.

Esencialmente similar al Reglamento No. 607-P, el documento fue adoptado para el Banco de Rusia en sí mismo; estamos hablando del Reglamento del Banco de Rusia No. 680-Pcon fecha 27/03/2019 "Sobre el procedimiento para garantizar el funcionamiento ininterrumpido del sistema de pago del Banco de Rusia en términos del servicio urgente de transferencia de dinero y el servicio no urgente de transferencia de dinero al enviar pedidos de transferencias electrónicas de dinero a través de canales de comunicación". Este documento indica indicadores cuantitativos y temporales específicos de la operación ininterrumpida del sistema de pago del Banco de Rusia, y también indica que el Banco Central estará obligado a cumplir con los estándares de GOST R 57580.2-2018 (hablamos de eso anteriormente ) al menos el nivel 4 de cumplimiento antes del 01/01/2021 . En general, el 680-P es un documento orientado al riesgo muy profundo que puede tomarse como modelo cuando se trabaja según las normas del Reglamento N ° 607-P mencionado anteriormente.

Reglamento del Banco Central de la Federación de Rusia No. 380-Pcon fecha 31 de mayo de 2012 “Sobre el Procedimiento de Monitoreo en el Sistema Nacional de Pagos” establece las reglas para el monitoreo por parte del Banco de Rusia de las actividades de las entidades NPS. El monitoreo se lleva a cabo enviando solicitudes del Banco Central a los sujetos de NPS sobre los servicios de pago y las tarifas que brindan, las características de la infraestructura de TI, la continuidad de la provisión de servicios de pago, el nivel de seguridad de la seguridad de la información (incluida la información sobre incidentes IS identificados), la introducción de nuevos servicios y las quejas de los clientes. Sobre la base de los datos obtenidos, el Banco Central de la Federación de Rusia analiza para formular indicadores del funcionamiento de las entidades NPS y ajustar los documentos reglamentarios, así como para aumentar la conciencia de las propias entidades NPS y hacerles recomendaciones.Se dedica un capítulo separado a la evaluación y el ajuste de la actividad de los sistemas de pago significativos (el sistema de pago se reconoce como significativo sobre la base de las disposiciones del Artículo 22 161-FZ), que incluye en el contexto de mejorar la provisión de ZI al realizar transferencias d / s. Con base en los resultados del monitoreo, el Banco de Rusia genera una revisión general de los resultados del monitoreo en el NPS, incluidos los sistemas de pago significativos, que se publicarán.

Reglamento del Banco Central de la Federación de Rusia No. 381-P de fecha 06/09/2012 “Sobre el Procedimiento para Supervisar el Cumplimiento con Instituciones No Crediticias de Operadores de Sistemas de Pago, Operadores de Servicios de Infraestructura de Pago de los Requisitos de la Ley Federal del 27 de junio de 2011 No. 161-“ Sobre el Sistema de Pago Nacional ”adoptado de conformidad con esto, las regulaciones del Banco de Rusia ”fueron reemplazadas por el Reglamento del Banco Central de la Federación de Rusia No. 640-Pcon fecha 16 de abril de 2018 "Sobre el procedimiento para que el Banco de Rusia supervise el cumplimiento con las organizaciones no crediticias de operadores de sistemas de pago, operadores de servicios de infraestructura de pago de los requisitos de la Ley Federal No. 161-FZ del 27 de junio de 2011" sobre el sistema nacional de pagos "y las normas normativas adoptadas de conformidad con él actos del Banco de Rusia ". El Reglamento No. 640-P establece los derechos del Banco de Rusia al supervisar el cumplimiento de los requisitos de 161-FZ, como analizar documentos e información y realizar controles de inspección (de acuerdo con el Banco Central de la Federación Rusa No. 184-I), y también establece formas de influir en los operadores para Eliminar las deficiencias identificadas. Al mismo tiempo, el Banco Central tiene el derecho de verificar el cumplimiento por parte de los operadores de los requisitos para proporcionar ZI al realizar transferencias d / s.

Reglamento CBR No. 683, 684, 607


Pasemos a los documentos más nuevos desarrollados por el Banco Central de la Federación de Rusia. Reglamento N ° 683-Pdel 04.17.2019 "Sobre el establecimiento de requisitos obligatorios para que las organizaciones de crédito protejan la información durante las actividades bancarias con el fin de contrarrestar la implementación de transferencias de dinero sin el consentimiento del cliente" establece los requisitos para la protección de los mensajes electrónicos de los bancos y sus clientes, información de autenticación del cliente, información sobre la banca operaciones, así como información clave utilizada por CIPF. La regulación del Banco Central de la Federación de Rusia No. 683-P requiere la implementación de diferentes niveles de protección de la información para las organizaciones de crédito dependiendo de su importancia: organizaciones de crédito sistémicamente importantes, organizaciones de crédito que desempeñan las funciones de un proveedor de servicios de infraestructura de pago de sistemas de pago sistémicamente importantes y organizaciones de crédito que son importantes en el mercado de servicios de pago,debe tomar medidas para proteger la información de acuerdo con el nivel de protección mejorado (1º) definido en el estándar GOST R 57580.1-2017, y otros, de acuerdo con el nivel de protección estándar (2º). Al mismo tiempo, las organizaciones de crédito deben cumplir con los estándares del tercer nivel de cumplimiento del 01/01/2021 y los estándares del 4to nivel, desde el 01/01/2023. Además, en virtud del 683-P, las instituciones de crédito deben realizar pruebas de pluma anuales y análisis de vulnerabilidades de infraestructura. Además, los bancos están obligados a utilizar el software utilizado para las operaciones bancarias, incluido el proporcionado a los clientes, que está certificado por el FSTEC de Rusia para cumplir con los requisitos de seguridad de la información, incluidos los requisitos para el análisis de vulnerabilidad y el monitoreo de la ausencia de NDV,o el procedimiento para analizar vulnerabilidades de acuerdo con los requisitos para un nivel estimado de confianza no es inferior a OUD-4 de acuerdo con los requisitos de la norma GOST R ISO / IEC 15408-3-2013 (esta norma repite completamente los requisitos de 382-P, sobre los que escribimos anteriormente). Al mismo tiempo, en términos de software no utilizado para operaciones bancarias, los bancos pueden decidir independientemente la necesidad de certificación, análisis de vulnerabilidad y control de la ausencia de NII. Por separado, se indica que para llevar a cabo un análisis de vulnerabilidad, las organizaciones de crédito deben atraer licenciatarios del FSTEC de Rusia. Tenga en cuenta que los requisitos para el uso de software de aplicación certificado no entran en vigor el 01.01.2020, como se planificó originalmente, sino el 01.07.2020 (de acuerdo conAl mismo tiempo, en términos de software no utilizado para operaciones bancarias, los bancos pueden decidir independientemente la necesidad de certificación, análisis de vulnerabilidad y control de la ausencia de NII. Por separado, se indica que para llevar a cabo un análisis de vulnerabilidad, las organizaciones de crédito deben atraer licenciatarios del FSTEC de Rusia. Tenga en cuenta que los requisitos para el uso de software de aplicación certificado no entran en vigor el 01.01.2020, como se planificó originalmente, sino el 01.07.2020 (de acuerdo conAl mismo tiempo, en términos de software no utilizado para operaciones bancarias, los bancos pueden decidir independientemente la necesidad de certificación, análisis de vulnerabilidad y control de la ausencia de NII. Por separado, se indica que para llevar a cabo un análisis de vulnerabilidad, las organizaciones de crédito deben atraer licenciatarios del FSTEC de Rusia. Tenga en cuenta que los requisitos para el uso de software de aplicación certificado no entran en vigor el 01.01.2020, como se planificó originalmente, sino el 01.07.2020 (de acuerdo conque los requisitos para el uso de software de aplicación certificado no entran en vigor el 01.01.2020, como se planificó originalmente, sino el 01.07.2020 (de acuerdo conque los requisitos para el uso de software de aplicación certificado no entran en vigor el 01.01.2020, como se planificó originalmente, sino el 01.07.2020 (de acuerdo conCarta informativa del Banco Central de la Federación de Rusia).

En el Reglamento N ° 683-P, el párrafo 5 está dedicado a la lista de requisitos para ZI cuando se realizan transferencias d / s, tales como:

  • uso de firma electrónica de mensajes;
  • regulación, implementación y control de procedimientos:

    • identificación, autenticación y autorización de clientes;
    • formación, transmisión y recepción de mensajes electrónicos;
    • credenciales del derecho de los clientes a deshacerse de d / s (en este caso, el uso de firmas electrónicas y la recepción de la confirmación del cliente sobre la transacción completada se garantiza adicionalmente);
    • , ( , );
    • ;

  • , , , ;
  • registro de acciones de empleados y clientes, incluidos datos sobre la fecha y hora de la transacción, el identificador único del sujeto, el código de la sección tecnológica, el resultado de la operación, el identificador de red del dispositivo utilizado.

Se indica que las organizaciones de crédito deben almacenar información relacionada con transferencias de d / s, hechos de acciones de empleados y empleados, así como incidentes de ZI durante al menos 5 años, y cuando se usa protección de información criptográfica, es necesario seguir el marco regulatorio relevante en el campo de la protección de información criptográfica.

Un punto importante en este documento es su "enfoque en el cliente": las organizaciones de crédito están obligadas a informar a los clientes sobre los posibles riesgos de utilizar medios técnicos al realizar pagos y sobre medidas para minimizar estos riesgos.

Un párrafo separado indica los requisitos para responder a incidentes ZI. Por lo tanto, se indica que las organizaciones de crédito deben incluir todos los eventos de operaciones no autorizadas con d / sy la no prestación de servicios bancarios como incidentes ZI, así como también guiarse por la lista de tipos de incidentes formados por el Banco Central de la Federación de Rusia (ya hablamos de ello anteriormente). Los incidentes ZI deben procesarse junto con el servicio de gestión de riesgos y deben registrarse los hechos relacionados con el incidente ZI (la información protegida a la que se realizó el NSD, así como los resultados de la respuesta al incidente). Además, las organizaciones deben mantener la información relacionada con los incidentes de ZI durante al menos 5 años, así como notificar a la CBR de los incidentes de ZI identificados y los planes para publicar información sobre los incidentes de ZI.

A partir del 1 de enero de 2021, el crédito debe garantizar que se realice una evaluación del cumplimiento del nivel de protección de la información (de acuerdo con GOST R 57580.2-2018) al menos una vez cada dos años, mientras que debe estar involucrado un licenciatario externo del FSTEC de Rusia, y se requiere un informe emitido basado en los resultados de la evaluación mantener al menos 5 años.

Pasamos a la revisión de otro documento emitido por el Banco Central de Rusia simultáneamente con el documento discutido anteriormente: Reglamento No. 684-Pdel 04.17.2019 “El establecimiento de requisitos obligatorios para que las instituciones financieras sin crédito garanticen la protección de la información al realizar actividades en el campo de los mercados financieros para contrarrestar la implementación de transacciones financieras ilegales” se aplica a un tipo diferente de compañía financiera que 683-P, pero tiene algo en común con ella normas Por lo tanto, a partir del 1 de enero de 2021, las instituciones financieras no crediticias deben proteger la información de acuerdo con GOST R 57580.1-2017, mientras que las contrapartes centrales y un depositario central deben observar un mayor nivel de ZI, y el nivel estándar debe ser depositario especializado de fondos de inversión, fondos mutuos y entidades no estatales. fondos de pensiones, organizaciones de compensación, organizadores comerciales, repositorios, así como grandes organizaciones de seguros, corredores, concesionarios,depositarios, registradores y gerentes; todas las organizaciones enumeradas también deben realizar pruebas de lápiz y análisis de vulnerabilidad. Otras instituciones financieras sin crédito seleccionan anualmente el nivel aplicable de ZI por su cuenta; recordamos que GOST R 57580.1-2017 establece tres niveles de ZI: mínimo (3 °), estándar (2 °) y mejorado (1 °).

A partir del 1 de enero de 2021, se lleva a cabo una evaluación del nivel de ZI determinado por las organizaciones sin crédito de acuerdo con GOST R 57580.2-2018 con la participación de terceros licenciatarios del FSTEC de Rusia, y dicha evaluación se lleva a cabo al menos una vez al año por organizaciones que cumplen los requisitos de un mayor nivel de ZI, y al menos 1 vez en 3 años, por organizaciones que cumplen con los requisitos del nivel estándar de ZI, mientras que las instituciones financieras sin crédito están obligadas a cumplir con los estándares del tercer nivel de cumplimiento antes del 01/01/2022 y los estándares del 4to nivel, antes del 01/01/2023. El informe de auditoría debe conservarse durante al menos 5 años.

Ya desde el 1 de julio de 2020 (originalmente se planeó introducir esta norma desde el 01.01.2020, pero el Banco Central de la Federación de Rusia emitió un mensaje sobre el aplazamiento de) las instituciones financieras no crediticias que implementen niveles de ZI mejorados y estándar deberán utilizar un software, incluidos los proporcionados a los clientes, que esté certificado por el FSTEC de Rusia para cumplir con los requisitos de seguridad de la información, incluidos los requisitos para el análisis de vulnerabilidad y el monitoreo de la ausencia de NDV, al realizar transacciones financieras o aprobó el procedimiento de análisis de vulnerabilidad de acuerdo con los requisitos para un nivel estimado de confianza no inferior a OUD-4 de acuerdo con los requisitos de la norma GOST R ISO / IEC 15408-3-2013 (esta norma es Fuertemente repite requisitos 683-P y 382-P). Se indica que otras instituciones financieras no crediticias (es decir, aquellas que no implementan niveles mejorados o estándares de ZI) están obligadas a determinar independientemente la necesidad de certificación o análisis de vulnerabilidad del software utilizado y proporcionado a los clientes. Además, en términos de software,no se utilizan para transacciones financieras, las organizaciones pueden decidir independientemente la necesidad de certificación o análisis de vulnerabilidad. Con respecto al análisis de vulnerabilidades en el software de aplicación de sistemas automatizados y aplicaciones para organizaciones sin crédito, en comparación con las organizaciones de crédito, se ha relajado: pueden llevar a cabo este procedimiento de forma independiente y con la participación de una organización de verificación.

Con respecto a la descripción de los requisitos para los instrumentos financieros durante las transacciones financieras, la respuesta a incidentes e instrumentos financieros y los requisitos para trabajar con la protección de la información criptográfica, las normas 684-P repiten completamente los requisitos 683-P descritos anteriormente.

Otro acto normativo relacionado con cuestiones de seguridad de la información en el sector bancario es el Reglamento Nº 607-PBanco de Rusia con fecha 03.10.2017 "Sobre los requisitos para el procedimiento para garantizar el funcionamiento ininterrumpido del sistema de pago, los indicadores de funcionamiento ininterrumpido del sistema de pago y los métodos de análisis de riesgo en el sistema de pago, incluidos los perfiles de riesgo". Este documento regula los procesos de gestión y evaluación de riesgos, así como presenta indicadores cuantitativos de la continuidad del sistema de pago, dependiendo del nivel de su importancia. Se describe el procedimiento para procesar incidentes de servicios de infraestructura de pago, incluida la cantidad de información almacenada con respecto a dichos incidentes y su período de almacenamiento (3 años). Los valores cuantitativos de los indicadores de continuidad para la prestación de servicios del sistema de pago se calculan de acuerdo con las fórmulas que figuran en el Apéndice de este documento y, según los valores cuantitativos recibidos,El sistema de gestión de riesgos en el sistema de pago puede ser revisado. Dependiendo de los valores umbral violados de los indicadores de continuidad, se puede reconocer que un incidente de los servicios de infraestructura de pago afecta o no afecta directamente la operación ininterrumpida del sistema de pago. El documento también se refiere a la aplicación del Decreto N ° 3280-U, que regula la notificación del Banco Central de la Federación de Rusia y otros participantes del sistema de pago sobre la suspensión de la prestación de servicios por parte del operador del sistema de pago.que regula la notificación del Banco Central de la Federación de Rusia y otros participantes del sistema de pago sobre la suspensión de la prestación de servicios por parte del operador del sistema de pago.que regula la notificación del Banco Central de la Federación de Rusia y otros participantes del sistema de pago sobre la suspensión de la prestación de servicios por parte del operador del sistema de pago.

Source: https://habr.com/ru/post/483844/

More articles:


All Articles