Geekly articles weekly

Analyse von Regulierungsdokumenten zum Informationsschutz im russischen Kredit- und Finanzsektor

In früheren Veröffentlichungen haben wir die Grundlagen der Informationssicherheit untersucht, Gesetze im Bereich des Schutzes personenbezogener Daten und der kritischen Informationsinfrastruktur erörtert und das Thema Informationssicherheit in Finanzinstituten unter Verwendung des Standards GOST R 57580 angesprochen .

Es war an der Reihe, die Normen der gegenwärtigen russischen Gesetzgebung im Finanzbereich genauer zu untersuchen. Die Zentralbank der Russischen Föderation ist die wichtigste Regulierungsbehörde in dieser Branche. Sie stellt regelmäßig aktualisierte Dokumente zur Informationssicherheit in Finanzinstituten aus, die den Herausforderungen des modernen Cybers gerecht werden. Darüber hinaus arbeitet die Zentralbank der Russischen Föderation aktiv mit Bürgern und Organisationen zusammen: Unter Beteiligung von Vertretern der Zentralbank werden Konferenzen abgehalten, Berichte und Warnungen von FinCERT veröffentlicht und Erläuterungen zur Umsetzung regulatorischer Anforderungen gegeben. Diese Veröffentlichung widmet sich der Analyse relevanter Dokumente zum Schutz von Informationen im Kredit- und Finanzbereich. Also fangen wir an.

Bild

In Finanzinstituten sind Datenschutzfragen äußerst relevant, da Sie darin häufig ein Identitätszeichen zwischen Informationen und Geld platzieren können. Die Probleme der Vertraulichkeit von Kundendaten, der Integrität von Zahlungsaufträgen und des Zugangs zu Bankdienstleistungen sind in unserem digitalen Zeitalter akuter denn je. Angesichts des eindrucksvollen Wettbewerbs und der Vielfalt der Bankprodukte wird die Kundenbindung (sowohl natürliche als auch juristische Personen) hoch geschätzt, und die Sicherheit der Zahlungen und die Vertraulichkeit der der Bank zur Verfügung gestellten Informationen gehören zu den wichtigsten Auswahlfaktoren. Neben dem offensichtlichen und verständlichen Zweck, Zahlungen an ein breites Spektrum von Menschen zu leisten, dient das Bankensystem tatsächlich als „Kreislaufsystem“ der Wirtschaft des ganzen Landes, und deshalb gehören die Einheiten des Bankensektors (systemrelevante Kreditorganisationen, Zahlungssystembetreiber systembedingt zu den Themen der kritischen Informationsinfrastruktur der Russischen Föderation). bedeutende Infrastrukturorganisationen des Finanzmarktes).

Nach Angaben des Zentrums für die Überwachung und Reaktion auf Computerangriffe im Kredit- und Finanzbereich der Bank von Russland (FinCERT / FinCERT) belief sich das Volumen nicht autorisierter Kartentransaktionen im Jahr 2018 auf 1,4 Milliarden Rubel und der durchschnittliche Betrag einer nicht autorisierten Transaktion auf 3 32 Tausend Rubel Für viele Banken sind Cyberrisiken zu einem der wichtigsten Faktoren geworden, die die Entwicklung bremsen, und die Schäden durch Cyberkriminalität, einschließlich Reputationsschäden, haben die von „klassischen“ Raubüberfällen bei weitem übertroffen. Darüber hinaus hat die Zentralbank der Russischen Föderation in ihrem Entwurf „Bestimmungen zu den Anforderungen an das Managementsystem für operationelle Risiken“ die Risiken der Informationssicherheit und der Informationssysteme in die Liste der operationellen Risiken aufgenommen, die bei der Verwaltung des Kapitals einer Finanzorganisation zu berücksichtigen sind.

Eine logische Antwort auf die Cyber-Herausforderungen unserer Zeit war eine Reihe von Initiativen der Führung des Landes, gemäß denen Rechtsakte zur Regulierung des Bereichs der Informationssicherheit in Finanzinstituten der Russischen Föderation verabschiedet wurden. Die Hauptregulierungsbehörde des russischen Finanzsektors ist die Bank von Russland. Die Ziele der Zentralbank der Russischen Föderation in Bezug auf die Informationssicherheit sind die Gewährleistung der Cyberstabilität (durch Überwachung der Risikoindikatoren für die Umsetzung von Informationsbedrohungen, Sicherstellung der Kontinuität der Bereitstellung von Finanz- und Bankdienstleistungen, Überwachung der Höhe betrügerischer Transaktionen), Schutz der Verbraucher von Finanzdienstleistungen (durch Überwachung und Kontrolle von Indikatoren, die die Höhe finanzieller Verluste kennzeichnen). sowie Förderung der Entwicklung innovativer Finanztechnologien (durch Kontrolle des Risikos der Umsetzung von Informationsbedrohungen und der Umsetzung von erforderliche Informationssicherheit).

Bundesgesetz Nr. 161 „Über das nationale Zahlungssystem“


Das wichtigste Dokument zum Schutz von Informationen in russischen Banken ist das Bundesgesetz Nr. 161 vom 27. Juni 2011 über das nationale Zahlungssystem. Dieses Dokument wird fortlaufend aktualisiert und geändert, um mit den neuen Bedrohungen und Herausforderungen Schritt zu halten. Die wichtigsten Artikel 161-FZ, die sich direkt mit dem Schutz von Informationen befassen, sind Kunst. 27 „Gewährleistung des Informationsschutzes im Zahlungssystem“ sowie Art. 28 „Das Risikomanagementsystem im Zahlungssystem“ (Ziffer 3.11 spricht direkt von der Notwendigkeit, das Verfahren zum Schutz von Informationen im Zahlungssystem festzulegen). Basierend auf Kunst. 2, Absatz 3 dieses Bundesgesetzes hat die Bank von Russland eine Geschäftsordnung zur Regelung der Beziehungen im nationalen Zahlungssystem erlassen, auf die wir in dieser und in weiteren Veröffentlichungen eingehen werden.

Zunächst müssen Sie sich mit den grundlegenden Begriffen und Definitionen vertraut machen, die von der Aufsichtsbehörde der Bank von Russland bei der Erörterung von IS-Fragen im Finanzsektor verwendet werden. Also

  • Ein nationales Zahlungssystem ist eine Sammlung von Geldtransferbetreibern (einschließlich E-Geld-Betreibern), Bankzahlungsagenten (Subagenten), Zahlungsagenten, Bundespostorganisationen, die Zahlungsdienste erbringen, Zahlungssystembetreibern, Zahlungsinfrastrukturdienstleistern und Dienstleistern Informationsaustausch, ausländische Anbieter von Zahlungsdiensten, Betreiber ausländischer Zahlungssysteme, Anbieter von Zahlungsanträgen (Zahlungsgegenstände im Inland) Noah-System);
  • Ein Geldtransfer-Betreiber ist eine Organisation, die gemäß der Gesetzgebung der Russischen Föderation das Recht hat, Geld zu transferieren.
  • Betreiber von elektronischem Geld ist ein Geldtransfer-Betreiber, der elektronisches Geld überträgt, ohne ein Bankkonto zu eröffnen (elektronischer Geldtransfer);
  • Bankzahlungsstelle - eine juristische Person, die kein Kreditinstitut ist, oder ein einzelner Unternehmer, der an einem Kreditinstitut beteiligt ist, um bestimmte Bankgeschäfte auszuführen;
  • Bankzahlungs-Subagent - eine juristische Person, die kein Kreditinstitut oder ein einzelner Unternehmer ist und von einem Bankzahlungsagenten beauftragt wird, bestimmte Bankgeschäfte auszuführen;
  • Ein Zahlungssystembetreiber ist eine Organisation, die die Regeln des Zahlungssystems festlegt und andere in 161- festgelegte Verpflichtungen erfüllt.
  • Betreiber von Zahlungsinfrastrukturdiensten - ein Operationszentrum, ein Zahlungsabwicklungszentrum und ein Abwicklungszentrum;
  • Operations Center - eine Organisation, die den Teilnehmern des Zahlungssystems und ihren Kunden Zugang zu Geldtransferdiensten, einschließlich elektronischer Zahlungsmittel sowie elektronischer Nachrichtenübermittlung, innerhalb des Zahlungssystems bietet;
  • Ein Zahlungssystem ist eine Gruppe von Organisationen, die nach den Regeln eines Zahlungssystems zusammenarbeiten, um Geld zu überweisen, darunter ein Zahlungssystembetreiber, Zahlungsinfrastrukturdienstleister und Zahlungssystemteilnehmer, von denen mindestens drei Organisationen Geldtransferbetreiber sind.
  • Zahlungsanwendungsanbieter - eine juristische Person, einschließlich einer ausländischen Organisation, die auf der Grundlage einer Vereinbarung mit einem Geldtransferbetreiber einen Zahlungsantrag zur Verwendung durch Kunden eines Geldtransferbetreibers stellt.

In Übereinstimmung mit Art. 27 161-, Geldtransferbetreiber, Bankzahlungsagenten (Subagenten), Informationsaustauschdienstleister, Zahlungsanwendungsanbieter, Zahlungssystembetreiber und Zahlungsinfrastrukturdienstleister sind verpflichtet, den Informationsschutz bei Geldtransfers gemäß den festgelegten Anforderungen zu gewährleisten in der Verordnung der Bank von Russland vom 09.06.2012 Nr. 382-P „Über Anforderungen zur Gewährleistung des Informationsschutzes bei Geldüberweisungen und über das Verfahren für die Bank von Russland Überwachung der Einhaltung der Anforderungen zum Schutz von Informationen bei Geldüberweisungen. “ Darüber hinaus sind Geldtransferbetreiber, Zahlungssystembetreiber und Betreiber von Zahlungsinfrastrukturdiensten verpflichtet, der Bank von Russland Informationen über alle Fälle zu übermitteln, und (oder) Versuche, Geldtransfers ohne Zustimmung des Kunden durchzuführen, können Informationen von der Bank von Russland erhalten, die in der Datenbank enthalten sind über Fälle und Versuche, Geldüberweisungen ohne Zustimmung des Kunden vorzunehmen, und sind auch verpflichtet, Maßnahmen zu ergreifen, um der Durchführung von Geldüberweisungen ohne Zustimmung des Kunden entgegenzuwirken in der durch die Bank of Russia-Verordnung Nr. 4926-U vom 08.10.2018 festgelegten Weise „Zum Formular und Verfahren für die Übermittlung von Informationen der Geldtransferbetreiber, Zahlungssystembetreiber, Zahlungsinfrastrukturdienstleister an die Bank of Russia über alle Fälle und (oder) Versuche, Geldtransfers durchzuführen Gelder ohne die Zustimmung des Kunden und deren Empfang von Informationen aus der Datenbank von Fällen und Versuchen, Geldtransfers ohne die Zustimmung des Kunden durchzuführen, von der Bank von Russland sowie über das Verfahren, das die Transferbetreiber durchführen müssen enezhnyh Fonds, Betreiber von Zahlungssystemen, Zahlungsinfrastrukturen Betreiber Dienstleistungen Maßnahmen zur Gegengeldtransfer ohne Zustimmung des Kunden. " Mit anderen Worten, die Verordnung Nr. 4926-U legt Form, Verfahren und Inhalt von Nachrichten fest, die von Finanzorganisationen an das FinCERT der Zentralbank der Russischen Föderation gesendet werden. Gleichzeitig erstellt und pflegt die Zentralbank selbst eine Datenbank mit Fällen und Versuchen, ohne Zustimmung des Kunden Überweisungen vorzunehmen.

Bank of Russia-Verordnung Nr. 382-P „Über Anforderungen zur Gewährleistung des Informationsschutzes bei Geldüberweisungen ...“


Gemäß den in 161-FZ festgelegten Standards für den Schutz von Informationen wurde die Verordnung Nr. 382-P der Bank von Russland vom 06.09.2012 über die Anforderungen zur Gewährleistung des Schutzes von Informationen bei Überweisungen und über das Verfahren zur Überwachung der Einhaltung der Anforderungen durch die Bank von Russland entwickelt den Schutz von Informationen bei Überweisungen zu gewährleisten. " Gemäß diesem Dokument unterliegt die Regulierung und Kontrolle durch die Bank von Russland den Betreibern von Geldtransfers, Bankzahlungsagenten (Subagenten), Zahlungssystembetreibern und Zahlungsinfrastrukturdienstleistern. Die Schutzobjekte sind die folgenden Kategorien von verarbeiteten Informationen:

  • Informationen zu Guthaben auf Bankkonten;
  • Informationen zu elektronischen Barguthaben;
  • Informationen zu abgeschlossenen Überweisungen;
  • Informationen, die in ausgeführten Aufträgen von Kunden, Teilnehmern des Zahlungssystems, Zahlungsabwicklungszentrale enthalten sind;
  • Informationen zu Zahlungsabwicklungspositionen;
  • Kundeninformationen und Karteninhaberdaten;
  • Schlüsselinformationen von kryptografischen Informationsschutzmitteln (CPSI);
  • Informationen zur Konfiguration von Einrichtungen der Informationsinfrastruktur und Ausrüstungen für die Informationssicherheit;
  • Informationen mit eingeschränktem Zugang, einschließlich personenbezogener Daten und anderer Informationen, die gemäß den Rechtsvorschriften der Russischen Föderation dem obligatorischen Schutz unterliegen.

Die Hauptanforderungen an den Schutz von Informationen bei der Überweisung von Geldern an Finanzinstitute gemäß Artikel 382-P lauten wie folgt:

  • Ernennung und Verteilung von Zugriffsrechten für Mitarbeiter von Finanzinstituten;
  • Informationsschutz in allen Phasen des Lebenszyklus von Objekten der Informationsinfrastruktur (Erstellung, Betrieb, Modernisierung, Stilllegung);
  • Informationsschutz beim Zugriff auf Einrichtungen der Informationsinfrastruktur, einschließlich vor unbefugtem Zugriff (NSD);
  • Schutz vor böswilligem Code;
  • Informationsschutz bei Geldtransfers über das Internet;
  • Informationsschutz bei der Nutzung von Geldautomaten und Zahlungsterminals;
  • Informationsschutz bei der Verwendung von Zahlungskarten;
  • Schutz von Informationen durch Schutz kryptografischer Informationen;
  • Schutz der Informationsverarbeitungstechnologie bei Geldtransfers;
  • Schaffung eines Informationssicherheitsdienstes, auch in Zweigniederlassungen;
  • Durchführung von Sensibilisierungskursen im Bereich Informationssicherheit für Mitarbeiter von Finanzorganisationen;
  • Entwicklung und Umsetzung von organisatorischen Maßnahmen zum Schutz von Informationen (ZI);
  • Einschätzung der Einhaltung der Anforderungen an das ZI;
  • Erfüllung der ihm vom Geldtransferbetreiber oder vom Betreiber der Zahlungsinfrastruktur vorgeschriebenen ZI-Anforderungen durch den Zahlungssystembetreiber;
  • Verbesserung des ZI-Systems bei Geldtransfers;
  • Identifizieren, Analysieren der Ursachen des Auftretens und Reagieren auf IS-Vorfälle im Zusammenhang mit Verstößen gegen die Anforderungen zur Bereitstellung von ZI bei Geldtransfers.

Gleichzeitig sollten solche Vorfälle Ereignisse umfassen, die zu unbefugten Geldtransfers oder zur Nichterbringung von Geldtransferdiensten führen können. Solche Ereignisse können in die Liste der mit dem FSB der Russischen Föderation vereinbarten Arten von Vorfällen aufgenommen und auf der Website der Zentralbank der Russischen Föderation veröffentlicht werden. Diese Informationen wurden derzeit noch nicht veröffentlicht, Sie können sich jedoch von den Vorfällen leiten lassen, die im Standard der Bank von Russland STO BR BFBO-1.5-2018 „Sicherheit von Finanzgeschäften (Bankgeschäften)“ aufgeführt sind. Informationssicherheit Incident Management “sowie in den„ Richtlinien für die Arbeit mit einem automatisierten Incident Processing System (ASOI) der FinCERT Bank of Russia “(im Folgenden werden die Arten von Incidents mit ihren in beiden Dokumenten verwendeten Kennungen angegeben):

  • Verwendung von Malware [Malware];
  • Methoden des Social Engineering anwenden [socialEngineering];
  • IMSI-Änderungen auf der SIM-Karte, ändern Sie das IMEI-Telefon [sim];
  • Phishing-Ressourcen verwenden [phishingAttacks];
  • Platzierung von verbotenen Inhalten im Internet [Verbotene Inhalte];
  • Hosting einer schädlichen Ressource im Internet [maliciousResources];
  • Ändern Sie die Routing- und Adressinformationen [trafficHijackAttacks];
  • Verwendung von Malware [Malware];
  • Denial of Service [ddosAttacks];
  • Implementierung eines nicht autorisierten Zugriffs auf Geldautomaten und Zahlungsterminals [atmAttacks];
  • Ausnutzung von Schwachstellen der Informationsinfrastruktur [Schwachstellen];
  • Kompromittierung von Authentifizierung / Anmeldeinformationen [bruteForces];
  • Implementierung von Spam-Mailing [Spam];
  • Interaktion mit Botnet-Zentren [controlCenters];
  • Phishing-Ressourcen verwenden [phishingAttacks];
  • Platzierung von verbotenen Inhalten im Internet [Verbotene Inhalte];
  • Hosting einer schädlichen Ressource im Internet [maliciousResources];
  • Ausführung der Inhaltsänderung [changeContent];
  • Port-Scan durchführen [scanPorts];
  • Ein weiterer Computerangriff [andere].

Der Text 382-P enthält Einzelheiten zu den oben genannten Anforderungen zum Schutz von Informationen bei der Überweisung von Geldern. Es sollten Normen wie die Identifizierung, Authentifizierung und Autorisierung von Personen, die mit der Informationsinfrastruktur arbeiten, und die Registrierung der Handlungen von Mitarbeitern und Kunden (das Volumen der aufgezeichneten Informationen und der Fünfjahreszeitraum ihrer Speicherung werden bestimmt), die Umsetzung der Grundsätze der Minimierung der Autorität (Bereitstellung nur der für die Ausübung des Amtes erforderlichen Mindestzugriffsrechte) beachtet werden Pflichten) und Doppelkontrolle (Verbot der Durchführung kritischer Handlungen durch einen Mitarbeiter), Einbeziehung der Mitarbeiter des Informationssicherheitsdienstes Beim Erstellen oder Modernisieren von Informationsinfrastruktureinrichtungen. Darüber hinaus muss für Geldtransfers eine vom FSTEC Russlands zertifizierte Anwendungssoftware zur Einhaltung der Informationssicherheitsanforderungen, einschließlich der Anforderungen für die Schwachstellenanalyse und die Überwachung des Fehlens von NDV, oder zur Durchführung eines Schwachstellenanalyseverfahrens gemäß den Anforderungen für ein geschätztes Vertrauensniveau von mindestens OUD-4 in verwendet werden in Übereinstimmung mit den Anforderungen der Norm GOST R ISO / IEC 15408-3-2013. Beachten Sie, dass die geschätzten Konfidenzniveaus (OUD) der Norm GOST R ISO / IEC 15408-3-2013 nicht mit den Konfidenzniveaus (UD) des SIS verwechselt werden dürfen, die gemäß der FSTEC-Verordnung der Russischen Föderation Nr. 131 vom 30. Juli 2018 (über die wir gesprochen haben) ermittelt wurden dieses Dokument früher ).

382-P enthält auch die Anforderung, jährliche Penetrationstests (Pen-Tests) und Schwachstellenanalysen von IT-Infrastruktureinrichtungen durchzuführen, an denen eine Drittorganisation, ein Lizenznehmer des russischen FSTEC, beteiligt sein sollte.

Separate Absätze 382-P widmen sich den Grundsätzen zum Schutz von Internetbanking-Systemen, einschließlich mobiler Systeme: Veröffentlichung von Benutzeranweisungen für deren Verwendung, Überprüfung der Abwesenheit von Malware und Integritätsüberwachung, Verwendung von Bestätigungscodes für den einmaligen Zugriff, Platzierung in zuverlässigen Repositorys, Suche nach Sicherheitslücken und rechtzeitige Aktualisierung. Eine Methode zur Behandlung von Angriffen wie „SIM-Tausch“ wird separat angegeben: Im Fall des Austauschs einer SIM-Karte oder der Änderung einer Telefonnummer durch einen Kunden eines Finanzinstituts wird empfohlen, das Senden vertraulicher Informationen an diese Teilnehmernummer auszusetzen.

, № 378 10.07.2014 . « , ».

(.2.13) 382- . , , , . , , , :

  • , , ;
  • ;
  • ;
  • .

, № 4793- 07.05.2018 . ; .

, , .. . - 382-, . 30- 0403202 « , , », № 2831- ( № 3024-). , . , , .

0403203 « , », № 2831- 09.06.2012 . « , , » № 4753- 30.03.2018 . ( — /). , / / - ( .. ), /, /, . /, , : / 2- . 1 .

0409258 « , », № 4212- 24.11.2016 . « , » № 4927-, , , , /, , , . , / .

, 2018 0409258, – 0403203 , () , .

/, , . , 2018 CNP- (CNP, Card Not Present — , , ), 97% , 46% 39% — .

382- , , , , , 683- 684-, . , , (-) , 57580.1-2017, , 57580.2-2018 - .

№ 584, №№ 607-, 380-, 640-


№ 584 13.06.2012 « » 161- « » 01.07.2012. , , . :

  • ;
  • ;
  • (.. ) ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • 1 2 .

. , , — .

, , .

№ 379- 31.05.2012 « » 382-, №607- 03.10.2017 « , , ». 607- . , , 1 , - — 1 2 . , (.. , , ), . , / 31010-2011 « . ». 3 , № 3280- 11.06.2014 « , () ». , 607- , .

№ 607- — № 680- 27.03.2019 « ». , , 57580.2-2018 ( ) 4- 01.01.2021. , 680- - , № 607-.

№ 380- 31.05.2012 « » . , -, , ( .. ), . , . ( . 22 161-), .. /. , , .

№ 381- 09.06.2012 « , 27 2011 № 161- « », » № 640- 16.04.2018 « , 27 2011 № 161- « » ». № 640- 161-, ( № 184-), . /.

№№ 683, 684, 607


, . № 683- 17.04.2019 « » , , , . № 683- : , , , , (1-) , 57580.1-2017, — (2-) . , 3- 01.01.2021 4- — 01.01.2023. , 683- - . , , , , , -4 / 15408-3-2013 ( 382-, ). , , , . , . , 01.01.2020, , 01.07.2020 ( ).

№ 683- 5 /, :

  • ;
  • , :

    • , ;
    • , ;
    • / ( );
    • , ( , );
    • ;

  • , , , ;
  • , , , , , .

, 5- , /, , , .

«»: .

. , , / , , ( ). , ( , , ). , , , 5- , , .

1 2021 ( 57580.2-2018) , - , 5- .

, : № 684- 17.04.2019 « » , 683-, . , 1 2021 57580.1-2017, , — , , , , , , , , , ; - . — , 57580.1-2017 : (3-), (2-) (1-).

1 2021 57580.2-2018 - , 1 , , 1 3 — , , 3- 01.01.2022 4- — 01.01.2023. 5 .

1 2020 ( 01.01.2020, ) , , , , , , -4 / 15408-3-2013 ( 683- 382-). , (.. , ) . , , . , , — , .

, 684- 683-, .

, , № 607- 03.10.2017 « , , ». , . , , , (3 ). , , , , . . №3280-, .

Source: https://habr.com/ru/post/de483844/

More articles:


All Articles