Geekly articles weekly

تحليل الوثائق التنظيمية حول حماية المعلومات في الائتمان الروسي والقطاع المالي

في المنشورات السابقة ، درسنا أساسيات أمن المعلومات ، وناقشنا التشريعات في مجال حماية البيانات الشخصية والبنية التحتية الحيوية للمعلومات ، وتطرقنا أيضًا إلى موضوع أمن المعلومات في المؤسسات المالية باستخدام معيار GOST R 57580 .

لقد كان دورنا هو دراسة معايير التشريع الروسي الحالي في المجال المالي بمزيد من التفصيل. يعد البنك المركزي للاتحاد الروسي الجهة التنظيمية الرئيسية في هذه الصناعة ، والذي يصدر بانتظام مستندات حماية المعلومات المحدثة في المؤسسات المالية التي تواجه تحديات الإنترنت الحديثة. بالإضافة إلى ذلك ، يعمل البنك المركزي للاتحاد الروسي بنشاط مع المواطنين والمنظمات: تُعقد مؤتمرات بمشاركة ممثلي البنك المركزي ، ويتم نشر تقارير وتحذيرات من FinCERT ، ويتم تقديم توضيحات بشأن تنفيذ المتطلبات التنظيمية. سيتم تخصيص هذا المنشور لتحليل الوثائق ذات الصلة بشأن حماية المعلومات في المجال المالي والائتماني. لذلك دعونا نبدأ.

صورة

في المؤسسات الائتمانية والمالية ، تعتبر قضايا حماية البيانات وثيقة الصلة للغاية نظرًا لأنه في غالب الأحيان يمكنك وضع علامة هوية بين المعلومات والمال. تعد مشكلات سرية بيانات العميل وسلامة أوامر الدفع والوصول إلى الخدمات المصرفية أكثر حدة من أي وقت مضى في عصرنا الرقمي. نظرًا للمنافسة المثيرة للإعجاب وتنوع المنتجات المصرفية ، فإن ولاء العملاء (الأفراد والكيانات القانونية) يحظى بتقدير كبير ، وأمن المدفوعات وسرية المعلومات المقدمة إلى البنك من بين عوامل الاختيار الأكثر أهمية. بالإضافة إلى الغرض الواضح والمفهوم المتمثل في تسديد المدفوعات لمجموعة واسعة من الأشخاص ، فإن النظام المصرفي يعمل فعليًا باعتباره "النظام الدوري" لاقتصاد البلد بأكمله ، وهذا هو السبب في أن كيانات القطاع المصرفي (منظمات الائتمان المهمة من الناحية النظامية ، ومشغلي نظام الدفع ، بشكل منهجي ، ينتمون إلى مواضيع البنية التحتية للمعلومات الهامة في الاتحاد الروسي) مؤسسات البنية التحتية الهامة للسوق المالية).

وفقًا للبيانات التي قدمها مركز مراقبة والاستجابة للهجمات الحاسوبية في المجال الائتماني والمالي لبنك روسيا (FinCERT / FinCERT) ، في عام 2018 ، بلغ حجم معاملات البطاقات غير المصرح بها 1.4 مليار روبل ، وبلغ متوسط ​​مبلغ المعاملة غير المصرح بها 3 ، 32 الف روبل بالنسبة للعديد من البنوك ، أصبحت المخاطر السيبرانية واحدة من أهم العوامل التي تعيق التنمية ، وتجاوز الضرر الناجم عن جرائم الإنترنت ، بما في ذلك الضرر الذي لحق بالسمعة ، الضرر الذي لحق بالسرقة "الكلاسيكية". بالإضافة إلى ذلك ، تضمن البنك المركزي للاتحاد الروسي في مشروعه "أحكام بشأن متطلبات نظام إدارة المخاطر التشغيلية" مخاطر أمن المعلومات ونظم المعلومات في قائمة المخاطر التشغيلية التي ينبغي أن تؤخذ في الاعتبار عند إدارة رأس مال أي مؤسسة مالية.

كانت الاستجابة المنطقية للتحديات السيبرانية في عصرنا سلسلة من المبادرات التي اتخذتها قيادة البلاد ، والتي تم بموجبها تبني الإجراءات القانونية التنظيمية لتنظيم مجال أمن المعلومات في المؤسسات المالية للاتحاد الروسي. الجهة التنظيمية الرئيسية للقطاع المالي الروسي هي بنك روسيا. تتمثل أهداف البنك المركزي للاتحاد الروسي فيما يتعلق بأمن المعلومات في ضمان الاستقرار السيبراني (من خلال مراقبة مؤشرات المخاطر لتنفيذ تهديدات المعلومات ، وضمان استمرارية تقديم الخدمات المالية والمصرفية ، ومراقبة مستوى المعاملات الاحتيالية) ، وحماية المستهلكين من الخدمات المالية (من خلال مراقبة ومراقبة المؤشرات التي تحدد مستوى الخسائر المالية) ، وكذلك تشجيع تطوير التقنيات المالية المبتكرة (من خلال التحكم في مخاطر تنفيذ تهديدات المعلومات وتنفيذ المستوى المطلوب من أمن المعلومات).

القانون الاتحادي رقم 161 "بشأن نظام الدفع الوطني"


الوثيقة الرئيسية التي تنظم حماية المعلومات في البنوك الروسية هي القانون الاتحادي رقم 161 المؤرخ 27 يونيو 2011 بشأن نظام الدفع الوطني. يتم تحديث هذه الوثيقة وتغييرها باستمرار ، وتظل ذات صلة مع ظهور تهديدات وتحديات جديدة. المواد الرئيسية 161-FZ التي تكرس مباشرة لحماية المعلومات هي الفن. 27 "ضمان حماية المعلومات في نظام الدفع" ، وكذلك الفن. 28 "نظام إدارة المخاطر في نظام الدفع" (البند 3.11 الذي يتحدث مباشرة عن الحاجة إلى تحديد الإجراء لحماية المعلومات في نظام الدفع). بناء على الفن. 2 ، البند 3 من هذا القانون الاتحادي ، قام بنك روسيا بتطوير لوائح داخلية من أجل تنظيم العلاقات في نظام الدفع الوطني ، والتي سنناقشها في هذا المنشور والمزيد من المنشورات.

بادئ ذي بدء ، من الضروري أن تتعرف على المصطلحات والتعاريف الأساسية التي يستخدمها المنظم الذي يمثله بنك روسيا عند مناقشة قضايا IS في القطاع المالي. وهكذا،

  • نظام الدفع الوطني هو عبارة عن مجموعة من مشغلي تحويل الأموال (بما في ذلك مشغلي الأموال الإلكترونية) ووكلاء الدفع المصرفي (وكلاء فرعية) ووكلاء الدفع والمؤسسات البريدية الفيدرالية عندما يقدمون خدمات الدفع ومشغلي أنظمة الدفع ومشغلي خدمات البنية التحتية للدفع ومشغلي الخدمات تبادل المعلومات ، والموردين الأجانب لخدمات الدفع ، ومشغلي أنظمة الدفع الأجنبية ، وموردي طلبات الدفع (مواضيع الدفع الوطنية نظام نوح) ؛
  • مشغل تحويل الأموال هو منظمة ، وفقًا لتشريعات الاتحاد الروسي ، لها الحق في تحويل الأموال ؛
  • مشغل الأموال الإلكتروني هو مشغل تحويل الأموال الذي يقوم بتحويل الأموال الإلكترونية دون فتح حساب مصرفي (تحويل الأموال الإلكتروني) ؛
  • وكيل الدفع المصرفي - كيان قانوني ليس مؤسسة ائتمان أو رجل أعمال منفردًا ، يشارك في مؤسسة ائتمانية من أجل تنفيذ عمليات مصرفية معينة ؛
  • وكيل دفع مصرفي - كيان قانوني ليس مؤسسة ائتمان أو رجل أعمال منفرد ، يعمل به وكيل دفع مصرفي من أجل تنفيذ عمليات مصرفية معينة ؛
  • مشغل نظام الدفع هو المنظمة التي تحدد قواعد نظام الدفع ، وكذلك الوفاء بالالتزامات الأخرى المنصوص عليها في 161-؛
  • مشغل خدمات البنية التحتية للمدفوعات - مركز عمليات ، مركز مقاصة للدفع ومركز تسوية ؛
  • مركز العمليات - منظمة توفر الوصول إلى خدمات تحويل الأموال ، بما في ذلك استخدام وسائل الدفع الإلكترونية ، وكذلك الرسائل الإلكترونية ، ضمن نظام الدفع للمشاركين في نظام الدفع وعملائهم ؛
  • نظام الدفع هو عبارة عن مجموعة من المنظمات التي تتفاعل وفقًا لقواعد نظام الدفع بهدف تحويل الأموال ، بما في ذلك مشغل نظام الدفع ومقدمو خدمات البنية التحتية للدفع والمشاركون في نظام الدفع ، منهم ثلاث منظمات على الأقل من مشغلي تحويل الأموال ؛
  • مزود تطبيق الدفع - كيان قانوني ، بما في ذلك منظمة أجنبية ، يوفر ، على أساس اتفاق مع مشغل تحويل الأموال ، طلب دفع لاستخدامه من قبل عملاء مشغل تحويل الأموال.

وفقا للفن. 27 161 ، يتعين على مشغلي تحويل الأموال ووكلاء الدفع المصرفي (وكلاء من الباطن) ومقدمي خدمات تبادل المعلومات ومقدمي طلبات الدفع ومشغلي نظام الدفع ومقدمي خدمات البنية التحتية للدفع ضمان حماية المعلومات عند إجراء التحويلات المالية وفقًا للمتطلبات المحددة في اللائحة التنفيذية لبنك روسيا بتاريخ 09.06.2012 رقم 382-P "بشأن متطلبات ضمان حماية المعلومات عند إجراء التحويلات المالية وإجراءات إجراء بنك روسيا مراقبة الامتثال لمتطلبات حماية المعلومات عند إجراء التحويلات المالية. " بالإضافة إلى ذلك ، يتعين على مشغلي تحويل الأموال ومشغلي أنظمة الدفع ومشغلي خدمات البنية التحتية للمدفوعات إرسال معلومات إلى بنك روسيا بشأن جميع الحالات و (أو) محاولات إجراء تحويلات مالية دون موافقة العميل ، ويمكنهم تلقي معلومات من بنك روسيا الوارد في قاعدة البيانات حول الحالات ومحاولات إجراء تحويلات مالية دون موافقة العميل ، كما أنهم ملزمون بتنفيذ تدابير لمواجهة تنفيذ تحويلات الأموال دون موافقة العميل بالطريقة التي يحددها قانون بنك روسيا رقم 4926-U بتاريخ 08.10.2018 "في النموذج والإجراءات لإرسال المعلومات من قِبل مشغلي تحويل الأموال ومشغلي أنظمة الدفع ومقدمي خدمات البنية التحتية للمدفوعات إلى بنك روسيا بشأن جميع الحالات و (أو) محاولات إجراء تحويلات مالية أموال دون موافقة العميل وإيصالها من بنك روسيا للمعلومات الواردة في قاعدة بيانات الحالات ومحاولات إجراء تحويلات مالية دون موافقة العميل ، وكذلك على الإجراء الخاص بمشغلي التحويل لتنفيذ الأموال enezhnyh، ومشغلي أنظمة الدفع والبنى التحتية خدمات الدفع مشغلي تدابير لنقل لعد النقود دون موافقة العميل. " بمعنى آخر ، يحدد المرسوم رقم 4926-U شكل وإجراءات ومحتوى الرسائل المرسلة من قبل المؤسسات المالية إلى FinCERT في البنك المركزي للاتحاد الروسي. في الوقت نفسه ، يقوم البنك المركزي نفسه بإنشاء قاعدة بيانات للحالات والمحافظة عليها ومحاولات تحويل الأموال دون موافقة العميل.

لائحة بنك روسيا رقم 382-P "بشأن متطلبات ضمان حماية المعلومات عند إجراء التحويلات المالية ..."


وفقًا لمعايير حماية المعلومات المحددة في 161-FZ ، تم وضع لائحة بنك روسيا رقم 382-P بتاريخ 06/09/2012 حول متطلبات ضمان حماية المعلومات عند إجراء التحويلات المالية وإجراءات بنك روسيا لرصد الامتثال للمتطلبات لضمان حماية المعلومات عند إجراء التحويلات المالية ". وفقًا لهذه الوثيقة ، فإن موضوعات التنظيم والرقابة من جانب بنك روسيا هي مشغلي تحويل الأموال ووكلاء الدفع المصرفي (وكلاء الفرعيين) ومشغلي نظام الدفع ومشغلي خدمات البنية التحتية للدفع. أهداف الحماية هي الفئات التالية من المعلومات التي تمت معالجتها:

  • معلومات عن الأرصدة النقدية في الحسابات المصرفية ؛
  • معلومات عن الأرصدة النقدية الإلكترونية ؛
  • معلومات حول التحويلات المالية المكتملة ؛
  • المعلومات الواردة في الأوامر المنفذة من العملاء ، والمشاركين في نظام الدفع ، ومركز مقاصة الدفع ؛
  • معلومات عن مراكز المقاصة الدفع ؛
  • معلومات العملاء وبيانات حامل البطاقة ؛
  • المعلومات الرئيسية لوسائل حماية معلومات التشفير (CPSI) ؛
  • معلومات حول تكوين مرافق البنية التحتية للمعلومات ومعدات أمن المعلومات ؛
  • معلومات محدودة الوصول ، بما في ذلك البيانات الشخصية وغيرها من المعلومات الخاضعة للحماية الإلزامية وفقا لتشريعات الاتحاد الروسي.

المتطلبات الأساسية لحماية المعلومات عند تحويل الأموال إلى المؤسسات المالية ، على النحو المنصوص عليه في 382-P ، هي:

  • تعيين وتوزيع حقوق الوصول لموظفي المؤسسات المالية ؛
  • حماية المعلومات في جميع مراحل دورة حياة كائنات البنية التحتية للمعلومات (الإنشاء والتشغيل والتحديث وإيقاف التشغيل) ؛
  • حماية المعلومات عند الوصول إلى مرافق البنية التحتية للمعلومات ، بما في ذلك من الوصول غير المصرح به (NSD) ؛
  • الحماية ضد الشيفرات الخبيثة ؛
  • حماية المعلومات عند تحويل الأموال عبر الإنترنت ؛
  • حماية المعلومات عند استخدام أجهزة الصراف الآلي ومحطات الدفع ؛
  • حماية المعلومات عند استخدام بطاقات الدفع ؛
  • حماية المعلومات باستخدام حماية معلومات التشفير ؛
  • حماية تكنولوجيا معالجة المعلومات عند تحويل الأموال ؛
  • إنشاء خدمة لأمن المعلومات ، بما في ذلك في الفروع ؛
  • إجراء فصول لزيادة الوعي في مجال أمن المعلومات لموظفي المؤسسات المالية ؛
  • وضع وتنفيذ التدابير التنظيمية لضمان حماية المعلومات (ZI) ؛
  • تقييم الامتثال لمتطلبات ZI ؛
  • وفاء مشغل نظام الدفع بمتطلبات ZI التي يفرضها عليه مشغل تحويل الأموال أو مشغل خدمات البنية التحتية للمدفوعات ؛
  • تحسين نظام ZI عند تحويل الأموال ؛
  • تحديد وتحليل أسباب ظهور والاستجابة لحوادث IS المتعلقة بخرق متطلبات توفير ZI أثناء التحويلات المالية.

في الوقت نفسه ، يجب أن تتضمن هذه الحوادث أحداثًا قد تؤدي إلى تحويلات غير مصرح بها للأموال أو الفشل في تقديم خدمات تحويل الأموال. يمكن إدراج هذه الأحداث في قائمة أنواع الحوادث المتفق عليها مع FSB للاتحاد الروسي ونشرها على موقع البنك المركزي للاتحاد الروسي. في الوقت الحالي ، لم يتم نشر هذه المعلومات ، لكن يمكنك الاسترشاد بأنواع الحوادث المدرجة في معيار STO BR BFBO-1.5-2018 لبنك روسيا "أمان العمليات المالية (المصرفية)". إدارة حوادث أمن المعلومات "، وكذلك في" المبادئ التوجيهية للعمل مع نظام معالجة الحوادث الآلي (ASOI) من بنك FinCERT في روسيا "(فيما يلي ، يتم عرض أنواع الحوادث مع معرّفاتها المستخدمة في كلتا الوثيقتين):

  • استخدام البرامج الضارة [البرامج الضارة] ؛
  • باستخدام أساليب الهندسة الاجتماعية [الهندسة الاجتماعية] ؛
  • تغييرات IMSI على بطاقة SIM ، وتغيير هاتف IMEI [sim] ؛
  • استخدام موارد التصيد [phishingAttacks] ؛
  • وضع محتوى محظور على الإنترنت [محتويات محظورة] ؛
  • استضافة مورد ضار على الإنترنت [maliciousResources] ؛
  • تغيير معلومات التوجيه والعنوان [trafficHijackAttacks] ؛
  • استخدام البرامج الضارة [البرامج الضارة] ؛
  • رفض الخدمة [ddosAttacks] ؛
  • تنفيذ الوصول غير المصرح به إلى أجهزة الصراف الآلي ومحطات الدفع [atmAttacks] ؛
  • استغلال نقاط الضعف في البنية التحتية للمعلومات [نقاط الضعف] ؛
  • حل وسط للمصادقة / أوراق الاعتماد [bruteForces] ؛
  • تنفيذ البريد الإلكتروني العشوائي [البريد العشوائي] ؛
  • التفاعل مع مراكز الروبوتات [controlCenters] ؛
  • استخدام موارد التصيد [phishingAttacks] ؛
  • وضع محتوى محظور على الإنترنت [محتويات محظورة] ؛
  • استضافة مورد ضار على الإنترنت [maliciousResources] ؛
  • تنفيذ تغيير المحتوى [changeContent] ؛
  • إجراء فحص المنفذ [scanPorts] ؛
  • هجوم كمبيوتر آخر [الآخر].

يوفر النص 382-P تفاصيل المتطلبات المذكورة أعلاه لحماية المعلومات عند تحويل الأموال. تجدر الإشارة إلى معايير مثل تحديد وتوثيق وإذن الأشخاص الذين يعملون في البنية التحتية للمعلومات وتسجيل تصرفات الموظفين والعملاء (يتم تحديد حجم المعلومات المسجلة وفترة التخزين التي تبلغ مدتها خمس سنوات) ، وتنفيذ مبادئ التقليل إلى أدنى حد من السلطة (توفير الحد الأدنى فقط من حقوق الوصول اللازمة لأداء المسؤول واجبات) والتحكم المزدوج (حظر أداء الإجراءات الحرجة من قبل موظف واحد) ، إشراك موظفي خدمة أمن المعلومات عند إنشاء أو تحديث مرافق البنية التحتية للمعلومات. بالإضافة إلى ذلك ، فيما يتعلق بالتحويلات المالية ، برنامج التطبيق المعتمد من FSTEC في روسيا للامتثال لمتطلبات أمن المعلومات ، بما في ذلك متطلبات تحليل الثغرات الأمنية ورصد غياب NDV ، أو الخضوع لإجراء تحليل الثغرات الأمنية وفقًا لمتطلبات مستوى الثقة المقدر بما لا يقل عن OUD-4 في وفقًا لمتطلبات معيار GOST R ISO / IEC 15408-3-2013. لاحظ أنه يجب عدم الخلط بين مستويات الثقة المقدرة (OUD) لمعيار GOST R ISO / IEC 15408-3-2013 مع مستويات الثقة (UD) الخاصة بـ SIS المحددة وفقًا لطلب FSTEC الصادر عن الاتحاد الروسي رقم 131 بتاريخ 30 يوليو 2018 (تحدثنا عن هذه الوثيقة في وقت سابق ).

يحتوي 382-P أيضًا على شرط لإجراء اختبار الاختراق السنوي (اختبار القلم) وتحليل الثغرات في مرافق البنية التحتية لتكنولوجيا المعلومات ، والتي يجب أن تشارك فيها منظمة خارجية ، مرخص لها من FSTEC في روسيا.

تكرس الفقرات 382-P المنفصلة لمبادئ حماية النظم المصرفية عبر الإنترنت ، بما في ذلك الأنظمة المتنقلة: نشر تعليمات المستخدم لاستخدامها ، والتحقق من عدم وجود برامج ضارة ومراقبة النزاهة ، واستخدام أكواد تأكيد الوصول لمرة واحدة ، ووضعها في مستودعات موثوقة ، والبحث عن الثغرات الأمنية ، والتحديث في الوقت المناسب. يشار بشكل منفصل إلى طريقة للتعامل مع الهجمات مثل "تبديل بطاقة SIM": في حالة استبدال بطاقة SIM أو تغيير رقم هاتف من قبل عميل لمؤسسة مالية ، يوصى بتعليق إرسال معلومات حساسة إلى رقم المشترك هذا.

, № 378 10.07.2014 . « , ».

(.2.13) 382- . , , , . , , , :

  • , , ;
  • ;
  • ;
  • .

, № 4793- 07.05.2018 . ; .

, , .. . - 382-, . 30- 0403202 « , , », № 2831- ( № 3024-). , . , , .

0403203 « , », № 2831- 09.06.2012 . « , , » № 4753- 30.03.2018 . ( — /). , / / - ( .. ), /, /, . /, , : / 2- . 1 .

0409258 « , », № 4212- 24.11.2016 . « , » № 4927-, , , , /, , , . , / .

, 2018 0409258, – 0403203 , () , .

/, , . , 2018 CNP- (CNP, Card Not Present — , , ), 97% , 46% 39% — .

382- , , , , , 683- 684-, . , , (-) , 57580.1-2017, , 57580.2-2018 - .

№ 584, №№ 607-, 380-, 640-


№ 584 13.06.2012 « » 161- « » 01.07.2012. , , . :

  • ;
  • ;
  • (.. ) ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • 1 2 .

. , , — .

, , .

№ 379- 31.05.2012 « » 382-, №607- 03.10.2017 « , , ». 607- . , , 1 , - — 1 2 . , (.. , , ), . , / 31010-2011 « . ». 3 , № 3280- 11.06.2014 « , () ». , 607- , .

№ 607- — № 680- 27.03.2019 « ». , , 57580.2-2018 ( ) 4- 01.01.2021. , 680- - , № 607-.

№ 380- 31.05.2012 « » . , -, , ( .. ), . , . ( . 22 161-), .. /. , , .

№ 381- 09.06.2012 « , 27 2011 № 161- « », » № 640- 16.04.2018 « , 27 2011 № 161- « » ». № 640- 161-, ( № 184-), . /.

№№ 683, 684, 607


, . № 683- 17.04.2019 « » , , , . № 683- : , , , , (1-) , 57580.1-2017, — (2-) . , 3- 01.01.2021 4- — 01.01.2023. , 683- - . , , , , , -4 / 15408-3-2013 ( 382-, ). , , , . , . , 01.01.2020, , 01.07.2020 ( ).

№ 683- 5 /, :

  • ;
  • , :

    • , ;
    • , ;
    • / ( );
    • , ( , );
    • ;

  • , , , ;
  • , , , , , .

, 5- , /, , , .

«»: .

. , , / , , ( ). , ( , , ). , , , 5- , , .

1 2021 ( 57580.2-2018) , - , 5- .

, : № 684- 17.04.2019 « » , 683-, . , 1 2021 57580.1-2017, , — , , , , , , , , , ; - . — , 57580.1-2017 : (3-), (2-) (1-).

1 2021 57580.2-2018 - , 1 , , 1 3 — , , 3- 01.01.2022 4- — 01.01.2023. 5 .

1 2020 ( 01.01.2020, ) , , , , , , -4 / 15408-3-2013 ( 683- 382-). , (.. , ) . , , . , , — , .

, 684- 683-, .

, , № 607- 03.10.2017 « , , ». , . , , , (3 ). , , , , . . №3280-, .

Source: https://habr.com/ru/post/ar483844/

More articles:


All Articles