Geekly articles weekly

Analyse des documents réglementaires sur la protection des informations dans le secteur russe du crédit et des finances

Dans des publications précédentes, nous avons examiné les bases de la sécurité de l' information, discuté de la législation dans le domaine de la protection des données personnelles et des infrastructures d'informations critiques , et abordé également le sujet de la sécurité de l'information dans les institutions financières en utilisant la norme GOST R 57580 .

C'est au tour d'examiner plus en détail les normes de la législation russe actuelle dans le domaine financier. Un organisme de réglementation clé dans ce secteur est la Banque centrale de la Fédération de Russie, qui publie régulièrement des documents à jour sur la protection des informations dans les institutions financières qui répondent aux défis informatiques modernes. En outre, la Banque centrale de la Fédération de Russie travaille activement avec les citoyens et les organisations: des conférences sont organisées avec la participation de représentants de la Banque centrale, des rapports et des avertissements de FinCERT sont publiés , des explications sont données sur la mise en œuvre des exigences réglementaires. Cette publication sera consacrée à l'analyse de documents pertinents sur la protection de l'information dans le domaine du crédit et financier. Commençons donc.

image

Dans les institutions financières et de crédit, les problèmes de protection des données sont extrêmement pertinents car c'est en eux que l'on peut souvent mettre un signe d'identité entre l'information et l'argent. Les problèmes de confidentialité des données clients, d'intégrité des ordres de paiement, d'accès aux services bancaires sont plus aigus que jamais à l'ère numérique. Compte tenu de la concurrence impressionnante et de la diversité des produits bancaires, la fidélité des clients (particuliers et personnes morales) est très appréciée, et la sécurité des paiements et la confidentialité des informations fournies à la banque sont parmi les facteurs de sélection les plus importants. Outre l'objectif évident et compréhensible d'effectuer des paiements à un large éventail de personnes, le système bancaire sert en fait de «système circulatoire» de l'économie de l'ensemble du pays, et c'est pourquoi les entités du secteur bancaire (organismes de crédit d'importance systémique, gestionnaires de systèmes de paiement, sont systématiquement des sujets de l'infrastructure d'information critique de la Fédération de Russie) organisations d'infrastructures importantes du marché financier).

Selon les données fournies par le Bank of Russia Monitoring and Response Center for Computer Attacks in the Credit and Financial Sphere (FinCERT / FinCERT), en 2018, le volume des transactions par carte non autorisées s'élevait à 1,4 milliard de roubles et le montant moyen d'une transaction non autorisée était de 3. , 32 mille roubles Pour de nombreuses banques, les cyberrisques sont devenus l'un des facteurs les plus importants freinant le développement, et les dommages causés par les cybercrimes, y compris les atteintes à la réputation, dépassent depuis longtemps ceux des vols "classiques". En outre, la Banque centrale de la Fédération de Russie, dans son projet de «Dispositions sur les exigences relatives à un système de gestion des risques opérationnels», incluait les risques de sécurité de l'information et de systèmes d'information dans la liste des risques opérationnels à prendre en compte lors de la gestion du capital d'une organisation financière.

Une réponse logique aux cyber-défis de notre temps a été une série d'initiatives de la part des dirigeants du pays, conformément auxquelles des actes juridiques réglementaires ont été adoptés pour réglementer le domaine de la sécurité de l'information dans les institutions financières de la Fédération de Russie. Le principal régulateur du secteur financier russe est la Banque de Russie. Les objectifs de la Banque centrale de la Fédération de Russie en matière de sécurité de l'information sont d'assurer la cyber stabilité (en surveillant les indicateurs de risque de la mise en œuvre des menaces informatiques, en garantissant la continuité de la fourniture de services financiers et bancaires, en surveillant le niveau des transactions frauduleuses), en protégeant les consommateurs de services financiers (en surveillant et contrôlant les indicateurs caractérisant le niveau des pertes financières) , ainsi que la promotion du développement de technologies financières innovantes (en maîtrisant le risque de mise en œuvre de menaces informatiques et de mise en œuvre de niveau requis de sécurité de l'information).

Loi fédérale n ° 161 sur le système national de paiement


Le principal document régissant la protection des informations dans les banques russes est la loi fédérale n ° 161 du 27 juin 2011 sur le système national de paiement. Ce document est continuellement mis à jour et modifié, restant pertinent avec l'avènement de nouvelles menaces et de nouveaux défis. Les principaux articles 161-FZ qui sont directement consacrés à la protection de l'information sont l'art. 27 «Assurer la protection des informations dans le système de paiement», ainsi que l'art. 28 «Le système de gestion des risques dans le système de paiement» (dont la clause 3.11 parle directement de la nécessité de déterminer la procédure de protection des informations dans le système de paiement). Basé sur l'art. Dans la clause 2, paragraphe 3 de cette loi fédérale, la Banque de Russie a élaboré des règlements pour réglementer les relations dans le système de paiement national, dont nous discuterons dans cette publication et dans d'autres publications.

Tout d'abord, il est nécessaire de se familiariser avec les termes et définitions de base utilisés par le régulateur représenté par la Banque de Russie lors des discussions sur les questions de SI dans le secteur financier. Alors

  • Un système de paiement national est un ensemble d'opérateurs de transfert d'argent (y compris les opérateurs de monnaie électronique), d'agents de paiement bancaire (sous-agents), d'agents de paiement, d'organisations postales fédérales lorsqu'ils fournissent des services de paiement, d'opérateurs de système de paiement, d'opérateurs de services d'infrastructure de paiement, d'opérateurs de services échange d'informations, fournisseurs étrangers de services de paiement, opérateurs de systèmes de paiement étrangers, fournisseurs d'applications de paiement (sujets de paiement national Système Noah);
  • un opérateur de transfert d'argent est une organisation qui, conformément à la législation de la Fédération de Russie, a le droit de transférer de l'argent;
  • l'opérateur de monnaie électronique est un opérateur de transfert d'argent qui transfère de la monnaie électronique sans ouvrir de compte bancaire (transfert d'argent électronique);
  • Agent de paiement bancaire - une entité juridique qui n'est pas un établissement de crédit, ou un entrepreneur individuel, qui est impliqué dans un établissement de crédit afin d'effectuer certaines opérations bancaires;
  • Sous-agent de paiement bancaire - une entité juridique qui n'est pas un établissement de crédit ou un entrepreneur individuel, qui est engagé par un agent de paiement bancaire pour effectuer certaines opérations bancaires;
  • un opérateur de système de paiement est une organisation qui détermine les règles du système de paiement, ainsi que l'accomplissement d'autres obligations stipulées dans 161-;
  • opérateur de services d'infrastructure de paiement - un centre d'opérations, un centre de compensation des paiements et un centre de règlement;
  • Centre des opérations - une organisation qui fournit un accès aux services de transfert d'argent, y compris l'utilisation de moyens de paiement électroniques, ainsi que la messagerie électronique, dans le système de paiement pour les participants au système de paiement et leurs clients;
  • un système de paiement est un ensemble d'organisations interagissant selon les règles d'un système de paiement en vue de transférer des fonds, y compris un opérateur de système de paiement, des prestataires de services d'infrastructure de paiement et des participants au système de paiement, dont au moins trois organisations sont des opérateurs de transfert d'argent;
  • Fournisseur d'application de paiement - entité juridique, y compris une organisation étrangère, qui fournit, sur la base d'un accord avec un opérateur de transfert d'argent, une application de paiement à l'usage des clients d'un opérateur de transfert d'argent.

Conformément à l'art. 27 161-, les opérateurs de transfert d'argent, les agents de paiement bancaire (sous-agents), les prestataires de services d'échange d'informations, les fournisseurs d'applications de paiement, les gestionnaires de systèmes de paiement, les prestataires de services d'infrastructure de paiement sont tenus d'assurer la protection des informations lors des transferts d'argent conformément aux exigences établies dans le règlement de la Banque de Russie du 09.06.2012 n ° 382-P “sur les exigences pour assurer la protection des informations lors des transferts d'argent et sur la procédure à suivre par la Banque de Russie pour mener à bien contrôler le respect des exigences de protection des informations lors des transferts d'argent. » En outre, les opérateurs de transfert d'argent, les gestionnaires de systèmes de paiement, les opérateurs de services d'infrastructure de paiement sont tenus d'envoyer des informations à la Banque de Russie sur tous les cas et (ou) les tentatives de transfert d'argent sans le consentement du client, peuvent recevoir des informations de la Banque de Russie contenues dans la base de données sur les cas et les tentatives de transfert d'argent sans le consentement du client, et sont également tenus de prendre des mesures pour contrecarrer la mise en œuvre des transferts d'argent sans le consentement du client de la manière prescrite par l'ordonnance n ° 4926-U de la Banque de Russie du 08.10.2018 sur le formulaire et la procédure d'envoi d'informations à la Banque de Russie par les opérateurs de transfert d'argent, les gestionnaires de systèmes de paiement, les prestataires de services d'infrastructure de paiement sur tous les cas et (ou) les tentatives de transfert d'argent les fonds sans le consentement du client et leur réception par la Banque de Russie des informations contenues dans la base de données des cas et des tentatives de transfert d'argent sans le consentement du client, ainsi que sur la procédure à mettre en œuvre par les opérateurs de transfert fonds enezhnyh, opérateurs de systèmes de paiement, les mesures de services d'infrastructures de paiement des opérateurs à contre-transfert d'argent sans le consentement du client ". En d'autres termes, l'ordonnance n ° 4926-U définit la forme, la procédure et le contenu des messages envoyés par les organisations financières au FinCERT de la Banque centrale de la Fédération de Russie. Dans le même temps, la Banque centrale elle-même crée et tient à jour une base de données des cas et tente d'effectuer des transferts d'argent sans le consentement du client.

Règlement de la Banque de Russie n ° 382-P «sur les exigences pour assurer la protection des informations lors des transferts d'argent ...»


Conformément aux normes de protection des informations spécifiées dans 161-FZ, le règlement n ° 382-P du 06/09/2012 de la Banque de Russie a été élaboré sur les exigences pour assurer la protection des informations lors des transferts d'argent et sur la procédure à suivre par la Banque de Russie pour contrôler le respect des exigences. pour assurer la protection des informations lors des transferts d'argent. " Conformément à ce document, les sujets de réglementation et de contrôle de la part de la Banque de Russie sont les opérateurs de transfert d'argent, les agents de paiement bancaire (sous-agents), les gestionnaires de systèmes de paiement, les opérateurs de services d'infrastructure de paiement. Les objets de protection sont les catégories suivantes d'informations traitées:

  • informations sur les soldes de trésorerie dans les comptes bancaires;
  • informations sur les soldes de trésorerie électroniques;
  • des informations sur les transferts d'argent effectués;
  • informations contenues dans les ordres exécutés des clients, des participants au système de paiement, du centre de compensation des paiements;
  • des informations sur les positions de compensation des paiements;
  • informations client et données du titulaire de la carte;
  • les informations clés des moyens de protection des informations cryptographiques (CPSI);
  • des informations sur la configuration des infrastructures de l’information et des équipements de sécurité de l’information;
  • informations à accès limité, y compris les données personnelles et autres informations soumises à une protection obligatoire conformément à la législation de la Fédération de Russie.

Les principales exigences en matière de protection des informations lors du transfert de fonds vers des institutions financières, telles que définies dans 382-P, sont les suivantes:

  • nomination et répartition des droits d'accès pour les employés des institutions financières;
  • protection de l'information à toutes les étapes du cycle de vie des objets de l'infrastructure d'information (création, exploitation, modernisation, déclassement);
  • protection des informations lors de l'accès aux infrastructures de l'information, y compris d'un accès non autorisé (NSD);
  • protection contre le code malveillant;
  • protection des informations lors du transfert de fonds via Internet;
  • protection des informations lors de l'utilisation des distributeurs automatiques de billets et des terminaux de paiement;
  • protection des informations lors de l'utilisation des cartes de paiement;
  • protection des informations à l'aide de la protection des informations cryptographiques;
  • protection des technologies de traitement de l'information lors du transfert de fonds;
  • création d'un service de sécurité de l'information, y compris dans les succursales;
  • organisation de cours de sensibilisation dans le domaine de la sécurité de l'information pour les employés d'organisations financières;
  • élaboration et mise en œuvre de mesures organisationnelles pour assurer la protection de l'information (ZI);
  • évaluation de la conformité aux exigences de ZI;
  • le respect par le gestionnaire de système de paiement des exigences ZI qui lui sont dictées par le gestionnaire de transfert d'argent ou le gestionnaire de services d'infrastructure de paiement;
  • l'amélioration du système de ZI lors du transfert de fonds;
  • identification, analyse des causes d'émergence et réponse aux incidents SI liés aux violations des exigences de fourniture de ZI lors des transferts d'argent.

Dans le même temps, ces incidents devraient inclure des événements pouvant entraîner des transferts de fonds non autorisés ou la non-fourniture de services de transfert d'argent. Ces événements peuvent être inclus dans la liste des types d'incidents convenus avec le FSB de la Fédération de Russie et publiés sur le site Web de la Banque centrale de la Fédération de Russie. Pour le moment, ces informations n'ont pas été publiées, mais vous pouvez être guidé par les types d'incidents répertoriés dans la norme STO BR BFBO-1.5-2018 de la Banque de Russie «Sécurité des opérations financières (bancaires). Information Security Incident Management », ainsi que dans les« Lignes directrices pour travailler avec un système automatisé de traitement des incidents (ASOI) de FinCERT Bank of Russia »(ci-après, les types d'incidents sont indiqués avec leurs identifiants utilisés dans les deux documents):

  • Utilisation de logiciels malveillants [malware];
  • Utilisation de méthodes d'ingénierie sociale [ingénierie sociale];
  • IMSI change sur la carte SIM, changez le téléphone IMEI [sim];
  • Utilisation de ressources de phishing [phishingAttacks];
  • Placement de contenu interdit sur Internet [Contenu interdit];
  • Hébergement d'une ressource malveillante sur Internet [malveillantResources];
  • Modifier les informations de routage et d'adresse [trafficHijackAttacks];
  • Utilisation de logiciels malveillants [malware];
  • Déni de service [ddosAttacks];
  • Mise en place d'un accès non autorisé aux distributeurs automatiques de billets et aux terminaux de paiement [atmAttacks];
  • Exploitation des vulnérabilités des infrastructures d'information [vulnérabilités];
  • Compromis d'authentification / informations d'identification [bruteForces];
  • Mise en place du spam spaming [spams];
  • Interaction avec les centres de botnet [controlCenters];
  • Utilisation de ressources de phishing [phishingAttacks];
  • Placement de contenu interdit sur Internet [Contenu interdit];
  • Hébergement d'une ressource malveillante sur Internet [malveillantResources];
  • Exécution du changement de contenu [changeContent];
  • Exécution d'une analyse de port [scanPorts];
  • Une autre attaque informatique [autre].

Le texte 382-P fournit des détails sur les exigences ci-dessus pour la protection des informations lors du transfert de fonds. Il convient de noter des normes telles que l'identification, l'authentification et l'autorisation des personnes travaillant avec l'infrastructure d'information et l'enregistrement des actions des employés et des clients (le volume des informations enregistrées et la période de cinq ans de leur stockage sont déterminés), la mise en œuvre des principes de minimisation des pouvoirs (ne fournissant que les droits d'accès minimaux nécessaires pour exercer les fonctions officielles et double contrôle (interdiction de réalisation d'actions critiques par un seul employé), implication des employés du service de la sécurité de l'information Lors de la création ou de la modernisation des infrastructures d’information. En outre, pour les transferts d'argent, un logiciel d'application certifié par le FSTEC de Russie pour la conformité aux exigences de sécurité de l'information, y compris les exigences pour l'analyse de vulnérabilité et la surveillance de l'absence de NDV, ou subissant une procédure d'analyse de vulnérabilité selon les exigences pour un niveau de confiance estimé non inférieur à OUD-4 dans conformément aux exigences de la norme GOST R ISO / IEC 15408-3-2013. A noter que les niveaux de confiance estimés (OUD) de la norme GOST R ISO / IEC 15408-3-2013 ne doivent pas être confondus avec les niveaux de confiance (UD) du SIS déterminés conformément à l'arrêté FSTEC de la Fédération de Russie n ° 131 du 30 juillet 2018 (nous en avons parlé ce document plus tôt ).

382-P contient également une obligation d'effectuer des tests de pénétration annuels (pen-test) et une analyse de vulnérabilité des installations d'infrastructure informatique, pour lesquelles une organisation tierce, titulaire d'une licence du FSTEC de Russie, devrait être impliquée.

Des paragraphes distincts 382-P sont consacrés aux principes de protection des systèmes bancaires sur Internet, y compris les systèmes mobiles: publication des instructions d'utilisation pour leur utilisation, vérification des logiciels malveillants et contrôle de l'intégrité, utilisation de codes de confirmation d'accès uniques, placement dans des référentiels fiables, recherche de vulnérabilités et mise à jour en temps opportun. Une méthode pour faire face aux attaques telles que le «swap SIM» est indiquée séparément: en cas de remplacement d'une carte SIM ou de changement de numéro de téléphone par un client d'une institution financière, il est recommandé de suspendre l'envoi d'informations sensibles à ce numéro d'abonné.

, № 378 10.07.2014 . « , ».

(.2.13) 382- . , , , . , , , :

  • , , ;
  • ;
  • ;
  • .

, № 4793- 07.05.2018 . ; .

, , .. . - 382-, . 30- 0403202 « , , », № 2831- ( № 3024-). , . , , .

0403203 « , », № 2831- 09.06.2012 . « , , » № 4753- 30.03.2018 . ( — /). , / / - ( .. ), /, /, . /, , : / 2- . 1 .

0409258 « , », № 4212- 24.11.2016 . « , » № 4927-, , , , /, , , . , / .

, 2018 0409258, – 0403203 , () , .

/, , . , 2018 CNP- (CNP, Card Not Present — , , ), 97% , 46% 39% — .

382- , , , , , 683- 684-, . , , (-) , 57580.1-2017, , 57580.2-2018 - .

№ 584, №№ 607-, 380-, 640-


№ 584 13.06.2012 « » 161- « » 01.07.2012. , , . :

  • ;
  • ;
  • (.. ) ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • 1 2 .

. , , — .

, , .

№ 379- 31.05.2012 « » 382-, №607- 03.10.2017 « , , ». 607- . , , 1 , - — 1 2 . , (.. , , ), . , / 31010-2011 « . ». 3 , № 3280- 11.06.2014 « , () ». , 607- , .

№ 607- — № 680- 27.03.2019 « ». , , 57580.2-2018 ( ) 4- 01.01.2021. , 680- - , № 607-.

№ 380- 31.05.2012 « » . , -, , ( .. ), . , . ( . 22 161-), .. /. , , .

№ 381- 09.06.2012 « , 27 2011 № 161- « », » № 640- 16.04.2018 « , 27 2011 № 161- « » ». № 640- 161-, ( № 184-), . /.

№№ 683, 684, 607


, . № 683- 17.04.2019 « » , , , . № 683- : , , , , (1-) , 57580.1-2017, — (2-) . , 3- 01.01.2021 4- — 01.01.2023. , 683- - . , , , , , -4 / 15408-3-2013 ( 382-, ). , , , . , . , 01.01.2020, , 01.07.2020 ( ).

№ 683- 5 /, :

  • ;
  • , :

    • , ;
    • , ;
    • / ( );
    • , ( , );
    • ;

  • , , , ;
  • , , , , , .

, 5- , /, , , .

«»: .

. , , / , , ( ). , ( , , ). , , , 5- , , .

1 2021 ( 57580.2-2018) , - , 5- .

, : № 684- 17.04.2019 « » , 683-, . , 1 2021 57580.1-2017, , — , , , , , , , , , ; - . — , 57580.1-2017 : (3-), (2-) (1-).

1 2021 57580.2-2018 - , 1 , , 1 3 — , , 3- 01.01.2022 4- — 01.01.2023. 5 .

1 2020 ( 01.01.2020, ) , , , , , , -4 / 15408-3-2013 ( 683- 382-). , (.. , ) . , , . , , — , .

, 684- 683-, .

, , № 607- 03.10.2017 « , , ». , . , , , (3 ). , , , , . . №3280-, .

Source: https://habr.com/ru/post/fr483844/

More articles:


All Articles