Geekly articles weekly

Análise de documentos regulatórios sobre proteção de informações no setor financeiro e de crédito da Rússia

Em publicações anteriores, examinamos os conceitos básicos de segurança da informação, discutimos a legislação no campo da proteção de dados pessoais e infraestrutura crítica de informações e também abordamos o tópico segurança da informação em instituições financeiras usando o padrão GOST R 57580 .

Foi a vez de examinar com mais detalhes as normas da atual legislação russa na esfera financeira. Um regulador chave desse setor é o Banco Central da Federação Russa, que emite regularmente documentos atualizados de proteção de informações em instituições financeiras que atendem aos desafios cibernéticos modernos. Além disso, o Banco Central da Federação Russa está trabalhando ativamente com cidadãos e organizações: são realizadas conferências com a participação de representantes do Banco Central, publicados relatórios e avisos do FinCERT , explicações sobre a implementação de requisitos regulatórios. Esta publicação será dedicada à análise de documentos relevantes sobre proteção de informações na esfera financeira e de crédito. Então, vamos começar.

imagem

Nas instituições financeiras e de crédito, os problemas de proteção de dados são extremamente relevantes devido ao fato de que é neles que você pode colocar um sinal de identidade entre informações e dinheiro. Os problemas de confidencialidade dos dados do cliente, integridade das ordens de pagamento, acesso aos serviços bancários são mais agudos do que nunca na era digital. Dada a concorrência impressionante e a diversidade de produtos bancários, a lealdade do cliente (pessoas físicas e jurídicas) é altamente valorizada, e a segurança dos pagamentos e a confidencialidade das informações fornecidas ao banco estão entre os fatores mais importantes da escolha. Além do objetivo óbvio e compreensível de efetuar pagamentos para uma ampla gama de pessoas, o sistema bancário realmente serve como o "sistema circulatório" da economia de todo o país, e é por isso que as entidades do setor bancário (organizações de crédito sistemicamente importantes, operadores de sistemas de pagamento, sistemicamente, pertencem aos assuntos da infra-estrutura de informações críticas da Federação Russa) organizações de infraestrutura significativas do mercado financeiro).

De acordo com dados fornecidos pelo Centro de Monitoramento e Resposta do Banco da Rússia para Ataques de Computador na Esfera de Crédito e Financeiro (FinCERT / FinCERT), em 2018 o volume de transações com cartão não autorizado totalizou 1,4 bilhão de rublos e o valor médio de uma transação não autorizada foi de 3 32 mil rublos Para muitos bancos, os riscos cibernéticos tornaram-se um dos fatores mais importantes para restringir o desenvolvimento, e os danos dos crimes cibernéticos, incluindo danos à reputação, excederam muito os dos roubos "clássicos". Além disso, o Banco Central da Federação Russa em seu Projeto de “Disposições sobre os requisitos para um sistema de gerenciamento de riscos operacionais” incluiu riscos de segurança da informação e sistemas de informação na lista de riscos operacionais que devem ser levados em consideração ao gerenciar o capital de uma organização financeira.

Uma resposta lógica aos desafios cibernéticos de nosso tempo foi uma série de iniciativas da liderança do país, de acordo com a qual foram adotados atos legais regulamentares para regular a esfera da segurança da informação nas instituições financeiras da Federação Russa. O principal regulador do setor financeiro russo é o Banco da Rússia. Os objetivos do Banco Central da Federação Russa em termos de segurança da informação são garantir a estabilidade cibernética (monitorando os indicadores de risco da implementação de ameaças à informação, garantindo a continuidade da prestação de serviços financeiros e bancários, monitorando o nível de transações fraudulentas), protegendo os consumidores de serviços financeiros (monitorando e controlando indicadores que caracterizam o nível de perdas financeiras) , além de promover o desenvolvimento de tecnologias financeiras inovadoras (controlando o risco de implementar ameaças à informação e implementando n nível exigido de segurança da informação).

Lei Federal nº 161 “Sobre o sistema nacional de pagamentos”


O principal documento que rege a proteção das informações nos bancos russos é a Lei Federal nº 161, de 27 de junho de 2011, sobre o Sistema Nacional de Pagamentos. Este documento é atualizado e alterado continuamente, permanecendo relevante com o advento de novas ameaças e desafios. Os principais artigos 161-FZ dedicados diretamente à proteção da informação são o art. 27 “Garantir a proteção das informações no sistema de pagamentos”, bem como o art. 28 “O sistema de gerenciamento de riscos no sistema de pagamentos” (a seção 3.11 fala diretamente da necessidade de determinar o procedimento para proteger as informações no sistema de pagamentos). Baseado no art. 2, cláusula 3 desta lei federal, o Banco da Rússia elaborou estatutos para regular as relações no sistema nacional de pagamentos, as quais discutiremos nesta e em outras publicações.

Antes de tudo, é necessário familiarizar-se com os termos e definições básicos usados ​​pelo regulador representado pelo Banco da Rússia ao discutir questões de SI no setor financeiro. Então

  • Um sistema de pagamento nacional é uma coleção de operadores de transferência de dinheiro (incluindo operadores de dinheiro eletrônico), agentes de pagamento bancário (subagentes), agentes de pagamento, organizações postais federais quando prestam serviços de pagamento, operadores de sistema de pagamento, operadores de serviços de infraestrutura de pagamento, operadores de serviços intercâmbio de informações, fornecedores estrangeiros de serviços de pagamento, operadores de sistemas de pagamento estrangeiros, fornecedores de aplicativos de pagamento (sujeitos a pagamento nacional Sistema Noah);
  • um operador de transferência de dinheiro é uma organização que, de acordo com a legislação da Federação Russa, tem o direito de transferir dinheiro;
  • operador de dinheiro eletrônico é um operador de transferência de dinheiro que transfere dinheiro eletrônico sem abrir uma conta bancária (transferência eletrônica de dinheiro);
  • Agente de pagamento bancário - uma entidade legal que não é uma instituição de crédito ou um empresário individual que esteja envolvido em uma instituição de crédito para realizar determinadas operações bancárias;
  • Subagente de pagamento bancário - uma entidade legal que não é uma instituição de crédito ou um empresário individual, contratado por um agente de pagamento bancário para realizar determinadas operações bancárias;
  • um operador de sistema de pagamento é uma organização que determina as regras do sistema de pagamento, além de cumprir outras obrigações estipuladas no 161-;
  • operador de serviços de infraestrutura de pagamento - um centro de operações, um centro de compensação de pagamentos e um centro de liquidação;
  • Operations Center - uma organização que fornece acesso a serviços de transferência de dinheiro, incluindo o uso de meios de pagamento eletrônicos e mensagens eletrônicas, dentro do sistema de pagamento para participantes do sistema de pagamento e seus clientes;
  • um sistema de pagamento é um conjunto de organizações que interagem de acordo com as regras de um sistema de pagamento com vista à transferência de fundos, incluindo um operador de sistema de pagamento, provedores de serviços de infraestrutura de pagamento e participantes de sistemas de pagamento, dos quais pelo menos três organizações são operadores de transferência de dinheiro;
  • Fornecedor de aplicativos de pagamento - uma entidade legal, incluindo uma organização estrangeira, que fornece, com base em um contrato com um operador de transferência de dinheiro, um aplicativo de pagamento para uso dos clientes de um operador de transferência de dinheiro.

De acordo com o art. 27 161-, operadores de transferência de dinheiro, agentes de pagamento bancário (subagentes), provedores de serviços de troca de informações, provedores de aplicativos de pagamento, operadores de sistemas de pagamento, provedores de serviços de infraestrutura de pagamento para garantir a proteção das informações ao realizar transferências de dinheiro de acordo com os requisitos estabelecidos no Regulamento do Banco da Rússia de 06.06.2012 nº 382-P “Sobre os requisitos para garantir a proteção da informação ao realizar transferências de dinheiro e sobre o procedimento para a realização do Banco da Rússia monitorar a conformidade com os requisitos para a proteção de informações ao realizar transferências de dinheiro. ” Além disso, operadores de transferência de dinheiro, operadores de sistemas de pagamento, operadores de serviços de infraestrutura de pagamento são obrigados a enviar informações ao Banco da Rússia sobre todos os casos e (ou) tentativas de fazer transferências de dinheiro sem o consentimento do cliente, podem receber informações do Banco da Rússia contidas no banco de dados sobre casos e tentativas de fazer transferências de dinheiro sem o consentimento do cliente e também são obrigados a implementar medidas para neutralizar a implementação de transferências de dinheiro sem o consentimento do cliente da maneira prescrita pela Portaria do Banco da Rússia nº 4926-U de 10.10.2018 “No Formulário e Procedimento para envio de informações pelos operadores de transferência de dinheiro, operadores de sistemas de pagamento, prestadores de serviços de infraestrutura de pagamento ao Banco da Rússia sobre todos os casos e (ou) tentativas de transferência de dinheiro fundos sem o consentimento do cliente e seu recebimento pelo Banco da Rússia de informações contidas no banco de dados de casos e tentativas de transferência de dinheiro sem o consentimento do cliente, bem como sobre o procedimento para os operadores de transferência implementarem fundos enezhnyh, operadores de sistemas de pagamentos, infraestruturas de pagamento operadores de serviços de medidas para a transferência de contador de dinheiro sem o consentimento do cliente. " Em outras palavras, a Portaria nº 4926-U define a forma, o procedimento e o conteúdo das mensagens enviadas pelas organizações financeiras ao FinCERT do Banco Central da Federação Russa. Ao mesmo tempo, o próprio Banco Central está criando e mantendo um banco de dados de casos e tenta fazer transferências de dinheiro sem o consentimento do cliente.

Regulamento No. 382-P do Banco da Rússia “Sobre requisitos para garantir a proteção de informações ao realizar transferências de dinheiro ...”


De acordo com as normas de proteção de informações especificadas em 161-FZ, o Regulamento Nº 382-P do Banco da Rússia, de 06/09/2012, foi desenvolvido com base nos requisitos para garantir a proteção das informações ao realizar transferências de dinheiro e no procedimento para o Banco da Rússia monitorar o cumprimento dos requisitos para garantir a proteção das informações ao fazer transferências de dinheiro ". De acordo com este documento, os assuntos de regulamentação e controle por parte do Banco da Rússia são operadores de transferência de dinheiro, agentes de pagamento bancário (subagentes), operadores de sistemas de pagamento, operadores de serviços de infraestrutura de pagamento. Os objetos de proteção são as seguintes categorias de informações processadas:

  • informações sobre saldos de caixa em contas bancárias;
  • informações sobre saldos de caixa eletrônicos;
  • informações sobre transferências de dinheiro concluídas;
  • informações contidas em ordens executadas de clientes, participantes do sistema de pagamento, centro de compensação de pagamento;
  • informações sobre posições de compensação de pagamentos;
  • informações do cliente e dados do titular do cartão;
  • principais informações dos meios de proteção de informações criptográficas (CPSI);
  • informações sobre a configuração de instalações de infraestrutura de informações e equipamentos de segurança da informação;
  • informações de acesso limitado, incluindo dados pessoais e outras informações sujeitas a proteção obrigatória de acordo com a legislação da Federação Russa.

Os principais requisitos para a proteção de informações ao transferir fundos para instituições financeiras, conforme estabelecido em 382-P, são:

  • nomeação e distribuição de direitos de acesso para funcionários de instituições financeiras;
  • proteção de informações em todas as etapas do ciclo de vida dos objetos de infraestrutura de informações (criação, operação, modernização, desativação);
  • proteção de informações ao acessar instalações de infraestrutura de informações, incluindo de acesso não autorizado (NSD);
  • proteção contra código malicioso;
  • proteção de informações ao transferir fundos via Internet;
  • proteção de informações ao usar caixas eletrônicos e terminais de pagamento;
  • proteção de informações ao usar cartões de pagamento;
  • proteção de informações usando proteção de informações criptográficas;
  • proteção da tecnologia de processamento de informações na transferência de fundos;
  • criação de um serviço de segurança da informação, inclusive em agências;
  • realização de aulas de conscientização no campo da segurança da informação para funcionários de organizações financeiras;
  • desenvolvimento e implementação de medidas organizacionais para garantir a proteção da informação (ZI);
  • avaliação do cumprimento dos requisitos para ZI;
  • Cumprimento, pelo operador do sistema de pagamento, dos requisitos de ZI exigidos pelo operador de transferência de dinheiro ou pelo operador de serviços de infraestrutura de pagamento;
  • melhorar o sistema de ZI na transferência de fundos;
  • identificar, analisar as causas da ocorrência e responder a incidentes de SI relacionados a violações dos requisitos para fornecer ZI ao transferir fundos.

Ao mesmo tempo, esses incidentes devem incluir eventos que possam levar a transferências não autorizadas de fundos ou a falha no fornecimento de serviços de transferência de dinheiro. Tais eventos podem ser incluídos na lista de tipos de incidentes acordados com o FSB da Federação Russa e publicados no site do Banco Central da Federação Russa. No momento, essas informações não foram publicadas, mas você pode ser guiado pelos tipos de incidentes listados na norma do Banco da Rússia STO BR BFBO-1.5-2018 “Segurança das operações financeiras (bancárias). Gerenciamento de incidentes de segurança da informação ”, bem como nas“ Diretrizes para trabalhar com um sistema automatizado de processamento de incidentes (ASOI) do FinCERT Bank da Rússia ”(a seguir, os tipos de incidentes são mostrados com seus identificadores usados ​​nos dois documentos):

  • Uso de malware [malware];
  • Usando métodos de engenharia social [engenharia social];
  • IMSI muda no cartão SIM, muda o telefone IMEI [sim];
  • Usando recursos de phishing [phishingAttacks];
  • Colocação de conteúdo proibido na Internet [Conteúdo proibido];
  • Hospedar um recurso malicioso na Internet [fontes maliciosas];
  • Alterar as informações de roteamento e endereço [trafficHijackAttacks];
  • Uso de malware [malware];
  • Negação de serviço [ddosAttacks];
  • Implementação de acesso não autorizado a caixas eletrônicos e terminais de pagamento [atmAttacks];
  • Exploração de vulnerabilidades da infraestrutura de informação [vulnerabilidades];
  • Compromisso de autenticação / credenciais [bruteForces];
  • Implementação de envio de spam [spams];
  • Interação com centros de botnet [controlCenters];
  • Usando recursos de phishing [phishingAttacks];
  • Colocação de conteúdo proibido na Internet [Conteúdo proibido];
  • Hospedar um recurso malicioso na Internet [fontes maliciosas];
  • Execução de alteração de conteúdo [changeContent];
  • Executando verificação de porta [scanPorts];
  • Outro ataque de computador [outro].

O texto 382-P fornece detalhes dos requisitos acima para proteger as informações ao transferir fundos. Devem ser observadas normas como identificação, autenticação e autorização de pessoas que trabalham com a infraestrutura de informações e registro das ações de funcionários e clientes (são determinados o volume de informações registradas e o período de cinco anos de armazenamento), a implementação dos princípios de minimização de autoridade (fornecendo apenas os direitos de acesso mínimos necessários para a realização oficial). funções) e duplo controle (proibição de execução de ações críticas por um funcionário), envolvimento dos funcionários do serviço de segurança da informação Ao criar ou modernizar instalações de infraestrutura de informações. Além disso, para transferências de dinheiro, software aplicativo certificado pelo FSTEC da Rússia para conformidade com os requisitos de segurança da informação, incluindo os requisitos para análise de vulnerabilidade e monitoramento da ausência de NDV, ou passando por um procedimento de análise de vulnerabilidade de acordo com os requisitos para um nível estimado de confiança não inferior a OUD-4 em de acordo com os requisitos da norma GOST R ISO / IEC 15408-3-2013. Observe que os níveis estimados de confiança (OUD) da norma GOST R ISO / IEC 15408-3-2013 não devem ser confundidos com os níveis de confiança (UD) do SIS determinados de acordo com a Ordem FSTEC da Federação Russa No. 131 de 30 de julho de 2018 (falamos sobre este documento anteriormente ).

O 382-P também contém um requisito para realizar testes anuais de penetração (teste da caneta) e análise de vulnerabilidade das instalações de infraestrutura de TI, para as quais uma organização de terceiros, licenciada do FSTEC da Rússia, deve estar envolvida.

Os parágrafos separados 382-P são dedicados aos princípios de proteção dos sistemas bancários da Internet, incluindo os móveis: publicar instruções do usuário para seu uso, verificar a ausência de malware e monitoramento de integridade, usar códigos de confirmação de acesso únicos, colocá-los em repositórios confiáveis, procurar vulnerabilidades e atualizar em tempo hábil. Um método para lidar com ataques como “troca de SIM” é indicado separadamente: no caso de substituição de um cartão SIM ou alteração de um número de telefone por um cliente de uma instituição financeira, é recomendável suspender o envio de informações confidenciais para esse número de assinante.

O regulamento também enfatiza separadamente que, no caso de proteção de dados pessoais por meio de uma medida de proteção de informações criptográficas, uma instituição financeira deve cumprir os requisitos da Ordem do Serviço Federal de Segurança da Federação Russa no 378, de 10 de julho de 2014 “Ao aprovar a composição e o conteúdo de medidas organizacionais e técnicas para garantir a segurança dos dados pessoais ao processá-los em sistemas de dados pessoais que utilizam os meios de proteção criptográfica das informações necessárias para atender aos requisitos estabelecidos pelo governo da Federação da Rússia para a proteção de dados pessoais de cada dos níveis de segurança ".

Um parágrafo separado (Cláusula 2.13) em 382-P é dedicado aos requisitos para identificar e responder a incidentes de proteção de informações ao fazer transferências de dinheiro. Em particular, é indicado que o operador do sistema de pagamento determina o procedimento para interação e troca de informações sobre incidentes de SI com operadores de transferência de dinheiro e provedores de serviços de infraestrutura de pagamento, bem como registra e fornece acesso a informações sobre incidentes identificados e métodos para analisar e responder a eles. Além disso, as instituições financeiras, com exceção dos operadores de sistemas de pagamento, devem:

  • identificar e registrar incidentes relacionados a violações dos requisitos para garantir a proteção das informações durante a transferência de fundos usando meios organizacionais e técnicos;
  • informar a unidade SI dedicada no caso de uma identificação do incidente ZI;
  • responder a incidentes identificados;
  • analisar as causas dos incidentes identificados e avaliar os resultados de sua resposta a eles.

Além disso, o Decreto No. 4793-U do Banco Central da Federação Russa, datado de 07/05/2018, introduziu a obrigação de operadores de transferência de dinheiro e operadores de serviços de infraestrutura de pagamento informarem o Banco da Rússia sobre incidentes identificados de proteção de informações e a divulgação pública planejada de detalhes de incidentes; neste caso, a forma e o prazo para o fornecimento de informações são consistentes com o FSB da Federação Russa.

Um requisito importante para operadores de transferência de dinheiro, operadores de sistemas de pagamento e provedores de serviços de infraestrutura de pagamento é a avaliação obrigatória da conformidade, ou seja, análise da integralidade dos requisitos para garantir a proteção das informações. Essa avaliação é realizada pelo menos uma vez a cada dois anos, com o envolvimento das empresas de licenciamento do FSTEC da Rússia com base em informações sobre medidas organizacionais e técnicas implementadas da ZI e na análise de sua conformidade com as disposições do 382-P, bem como nos resultados do monitoramento da implementação do procedimento para garantir a ZI ao efetuar transferências de dinheiro . De acordo com os resultados da avaliação de conformidade, esses operadores devem enviar relatórios dentro de 30 dias úteis, de acordo com o formulário 0403202 “Informações sobre a implementação por operadores de sistemas de pagamento, provedores de serviços de infraestrutura de pagamento,operadores de transferência de dinheiro de requisitos para garantir a proteção das informações ao fazer transferências de dinheiro ”, de acordo com as instruções do Banco Central da Federação Russa nº 2831-U (conforme emendado pelo Pedido nº 3024-U). Assim, o Banco Central da Federação Russa recebe dos operadores uma avaliação quantitativa do cumprimento de requisitos organizacionais e técnicos para a ZI. Para analisar a integridade das medidas de proteção aplicadas, as declarações dos próprios operadores do sistema de pagamento devem receber relatórios de operadores de transferência de dinheiro e provedores de serviços de infraestrutura de pagamento, enquanto estabelecem requisitos para o conteúdo, a forma e a frequência de tais relatórios.O Banco Central da Federação Russa recebe dos operadores uma avaliação quantitativa do cumprimento de requisitos organizacionais e técnicos para a ZI. Para analisar a integridade das medidas de proteção aplicadas, as declarações dos próprios operadores do sistema de pagamento devem receber relatórios dos operadores de transferência de dinheiro e dos provedores de serviços de infraestrutura de pagamento, enquanto estabelecem requisitos para o conteúdo, a forma e a frequência de tais relatórios.O Banco Central da Federação Russa recebe dos operadores uma avaliação quantitativa do cumprimento de requisitos organizacionais e técnicos para a ZI. Para analisar a integridade das medidas de proteção aplicadas, as declarações dos próprios operadores do sistema de pagamento devem receber relatórios dos operadores de transferência de dinheiro e dos provedores de serviços de infraestrutura de pagamento, enquanto estabelecem requisitos para o conteúdo, a forma e a frequência de tais relatórios.

Outro tipo de relato dos operadores ao Banco da Rússia é o fornecimento de informações no formato 0403203 “Informações sobre a identificação de incidentes relacionados à violação dos requisitos para garantir a proteção das informações ao realizar transferências de dinheiro”, estabelecido pela Portaria do Banco da Rússia nº 2831-U de 09/06/2012 “ Nos relatórios sobre a garantia da proteção das informações durante a transferência de fundos de operadores de sistemas de pagamento, provedores de serviços de infraestrutura de pagamento, operadores de transferência de dinheiro ”, conforme alterada pelas Instruções Código Tributário Russo No. 4753-U, de 30 de março de 2018. A frequência do envio deste formulário de relatório varia de acordo com a categoria do operador e a quantidade de dinheiro transferida (a seguir - d / s).Este formulário de relatório deve conter informações sobre o uso não autorizado de meios de pagamento eletrônicos pelos clientes, sobre transferências e retiradas de d / se uma diminuição no saldo de d / s eletrônicos como resultado do acesso não autorizado à infraestrutura de TI do operador (incluindo caixas eletrônicos), sobre recusa serviços de transferência d / s, ao receber notificações de clientes sobre fatos de transferência não autorizada de d / s, bem como sobre fatos de débito não autorizado de contas correspondentes de participantes do sistema de pagamento. Requisitos especiais são impostos aos operadores de transferência de d / s, que são organizações de crédito reconhecidas pelo Banco da Rússia como significativas no mercado de serviços de pagamento: todos os fatos da não prestação de serviços de transferência de d / s devem ser relatados por mais de 2 horas.O Centro de Liquidação de um sistema significativo de pagamentos deve indicar no relatório informações sobre eventos de não prestação de serviços de liquidação por um período superior a 1 dia útil.

Formulário de relatório 0409258 “Informações sobre transações não autorizadas comprometidas usando cartões de pagamento”, estabelecido pela Portaria no 4212-U do Banco da Rússia de 24.11.2016 “Na lista, formulários e procedimentos para compilar e enviar formulários de relatórios de organizações de crédito ao Banco Central da Federação Russa” com a redação dada pelo Despacho nº 4927-U, deve conter informações sobre o número de cartões de pagamento com os quais foram realizadas operações não autorizadas, desagregadas pelo número e quantidade de operações não autorizadas na Federação Russa e e no exterior, o compromisso de comércio / organizações de serviços, cobrança, através de caixas eletrônicos, o acesso através da Internet ou usando um smartphone. Este formulário de relatório deve ser fornecido por organizações de crédito e organizações de crédito não bancárias,tem o direito de fazer transferências d / s sem abrir contas bancárias.

Observe que, até meados de 2018, as instituições de crédito forneceram ao Banco da Rússia dados sobre transações não autorizadas no âmbito do formulário de relatório planejado 0409258 e informações sobre suas causas no formulário de relatório 0403203 mensalmente; no entanto, um sistema automatizado está sendo desenvolvido e usado ativamente Banco FinCERT da Rússia para processamento de incidentes (ASOI), através do qual a troca de informações relevantes é realizada em tempo real.

As informações dos relatórios enviados pelos operadores são incluídas nas análises oficiais anuais de transferências não autorizadas feitas pelo FinCERT do Banco da Rússia, onde, no formato de fornecimento de informações estatísticas, são mostradas tendências de violações de ZI no setor bancário. Por exemplo, um relatóriopara 2018 mostra um aumento constante no número de transações não autorizadas do CNP (CNP, cartão não presente - uma operação realizada sem apresentar um cartão de pagamento, apenas seus detalhes) e as causas de operações não autorizadas usando cartões de pagamento de indivíduos em 97% dos casos são os métodos usados ​​pelos atacantes engenharia social e violação do uso de cartões pelos titulares, enquanto as causas de transações não autorizadas de pessoas jurídicas em 46% dos casos são o impacto de códigos maliciosos e apenas 39% - métodos de engenharia social e violação das regras de trabalho pelos proprietários.

No final da revisão 382-P, deve-se observar que, no momento, a RBC está se preparando para lançar uma versão atualizada deste documento, que está harmonizada com outros documentos recentes emitidos pelo Banco Central, por exemplo, com as disposições 683-P e 684-P, que discutiremos abaixo . Portanto, na nova edição, existem requisitos para o uso de software certificado, realização de teste anual de penetração (teste da caneta) e análise de vulnerabilidade, garantindo níveis de segurança de acordo com o GOST R 57580.1-2017, e também indica que a avaliação da conformidade de acordo com o GOST R 57580.2-2018 e a análise de vulnerabilidade no software aplicativo deve ser realizada pela organização de licenciamento do FSTEC da Rússia.

Decisão do Governo nº 584, Regulamento do Banco Central da Federação Russa nº 607-P, 380-P, 640-P


A Decisão Governamental nº 584, de 13 de junho de 2012, “Sobre a aprovação do regulamento de proteção de informações no sistema de pagamentos” foi assinada em conformidade com as normas 161- “Sobre o sistema nacional de pagamentos” e entrou em vigor em 1º de julho de 2012. Esta resolução contém requisitos para operadores e agentes de sistemas de pagamento para garantir a segurança das informações sujeitas a proteção obrigatória de acordo com as leis da Federação Russa, incluindo a PD. O documento descreve os seguintes requisitos para ZI no sistema de pagamento:

  • Nomeação de um funcionário ou unidade responsável pela ZI;
  • inclusão de requisitos de ZI nas descrições de cargo dos funcionários do sistema de pagamento;
  • Identificação de ameaças à segurança (ou seja, modelagem de ameaças) e análise de vulnerabilidades
  • análise e gerenciamento de riscos de violação de requisitos para ZI;
  • o uso de SZI;
  • ;
  • ;
  • ;
  • 1 2 .

Os trabalhos da ZI e a avaliação do cumprimento dos requisitos da ZI podem ser realizados pelos operadores e agentes do sistema de pagamento por conta própria ou com a assistência dos licenciados da FSTEC Rússia. É indicado separadamente que os requisitos para ZI devem ser implementados em todas as etapas da criação e operação de seus próprios sistemas de informação e, no caso da aquisição de tais sistemas - nas etapas de comissionamento e diretamente durante a operação.

Em geral, a decisão governamental considerada é declarativa em comparação com os documentos do Banco Central da Federação Russa, que contêm requisitos detalhados para o ZI e recomendações para sua implementação.

O Regulamento nº 379-P do Banco da Rússia, de 31/05/2012 "O regulamento relativo à operação ininterrupta de sistemas de pagamento e análise de risco em sistemas de pagamento" foi adotado quase simultaneamente com o 382-P, mas perdeu força com a adoção do Regulamento nº 607-P do Banco da Rússiade 10.03.2017 “Sobre os requisitos do procedimento para garantir a operação ininterrupta do sistema de pagamento, indicadores de operação ininterrupta do sistema de pagamento e métodos de análise de risco no sistema de pagamento, incluindo perfis de risco”. O 607-P lida com o gerenciamento de riscos e a continuidade dos serviços no sistema de pagamento. Este documento, em particular, refere-se à necessidade de realizar uma avaliação de riscos pelo menos 1 vez por ano e revisar o sistema de gerenciamento de riscos - pelo menos 1 vez em 2 anos. Uma lista de indicadores quantitativos da disponibilidade dos serviços de infraestrutura de pagamento, a operação ininterrupta do sistema de pagamento e a frequência de incidentes (ou seja, eventos que levaram a uma interrupção na prestação de serviços de pagamento que surgiu como resultado de violações da ZI), bem como métodos para calcular esses indicadores, são fornecidos.Os indicadores calculados são então utilizados na avaliação do sistema de gerenciamento de riscos no sistema de pagamento, enquanto a avaliação de riscos deve ser aplicadaNorma GOST R ISO / IEC 31010-2011 “Gerenciamento de Riscos. Métodos de avaliação de risco. ” O período de armazenamento de informações sobre incidentes é de 3 anos e a forma de relatório do operador do sistema de pagamento é definida no Decreto do Banco Central da Federação Russa nº 3280-U de 11/06/2014 “Sobre o procedimento para informar o operador do sistema de pagamento do Banco da Rússia, os participantes do sistema de pagamento sobre os casos e os motivos da suspensão (rescisão) da provisão serviços de infraestrutura de pagamento ". Além disso, o 607-P enfatiza a importância de desenvolver, testar e atualizar planos de continuidade e recuperação de negócios.

Essencialmente semelhante ao Regulamento nº 607-P, o documento foi adotado para o próprio Banco da Rússia - estamos falando do Regulamento nº 680-P do Banco da Rússia 27.03.2019 « ». , , 57580.2-2018 ( ) 4- 01.01.2021. , 680- - , № 607-.

№ 380-de 31 de maio de 2012, “Sobre o procedimento de monitoramento no sistema nacional de pagamentos”, estabelece as regras de monitoramento pelo Banco da Rússia das atividades das entidades do NPS. O monitoramento é realizado enviando pelo Banco Central solicitações às entidades NPS sobre os serviços e tarifas de pagamento que eles fornecem, as características da infraestrutura de TI, a continuidade da prestação de serviços de pagamento, o nível de segurança da segurança da informação (incluindo informações sobre incidentes de SI identificados), a introdução de novos serviços e reclamações de clientes. Com base nos dados obtidos, o Banco Central da Federação Russa analisa para formular indicadores do funcionamento das entidades do NPS e ajustar documentos regulatórios, além de aumentar o conhecimento das próprias entidades do NPS e fazer recomendações a elas.Um capítulo separado é dedicado à avaliação e ajuste da atividade de sistemas de pagamento significativos (o sistema de pagamento é reconhecido como significativo com base nas disposições do artigo 22 161-FZ), incluindo no contexto de melhorar a provisão de ZI ao fazer transferências d / s. Com base nos resultados do monitoramento, o Banco da Rússia gera uma revisão generalizada dos resultados do monitoramento no NPS, incluindo sistemas de pagamento significativos, que serão publicados.

Regulamento do Banco Central da Federação Russa nº 381-P de 06/06/2012 “Sobre o procedimento para supervisionar a conformidade de organizações sem crédito com operadores de sistemas de pagamento, operadores de serviços de infraestrutura de pagamento e requisitos da lei federal de 27 de junho de 2011 nº 161-“ Sobre o sistema nacional de pagamentos ” de acordo com ele, os regulamentos do Banco da Rússia ”foram substituídos pelo Regulamento da CBR nº 640-Pde 16 de abril de 2018 “Sobre o procedimento para o Banco da Rússia de supervisionar a conformidade com organizações sem crédito de operadores de sistemas de pagamento, operadores de serviços de infraestrutura de pagamento dos requisitos da Lei Federal nº 161-FZ de 27 de junho de 2011“ Sobre o sistema nacional de pagamentos ”e os padrões normativos adotados de acordo com ele atos do Banco da Rússia ". O Regulamento nº 640-P estabelece os direitos do Banco da Rússia ao supervisionar o cumprimento dos requisitos do 161-FZ, como analisar documentos e informações e realizar verificações de inspeção (de acordo com o Banco Central da Federação Russa nº 184-I), além de estabelecer maneiras de influenciar os operadores para eliminar deficiências identificadas. Ao mesmo tempo, o Banco Central tem o direito de verificar a conformidade das operadoras com os requisitos para fornecer ZI ao fazer transferências d / s.

Regulamento CBR No. 683, 684, 607


Vamos para os documentos mais recentes desenvolvidos pelo Banco Central da Federação Russa. Regulamento nº 683-Pde 17.04.2019 “Estabelece requisitos obrigatórios para as organizações de crédito protegerem informações durante as atividades bancárias, a fim de combater a implementação de transferências de dinheiro sem o consentimento do cliente” exige requisitos para a proteção de mensagens eletrônicas dos bancos e seus clientes, informações de autenticação de clientes e informações bancárias operações, bem como as principais informações usadas pelo CIPF. A regulamentação do Banco Central da Federação Russa nº 683-P exige a implementação de diferentes níveis de proteção de informações para organizações de crédito, dependendo de sua importância: organizações de crédito com importância sistêmica, organizações de crédito que desempenham as funções de provedor de serviços de infraestrutura de pagamento de sistemas de pagamento com importância sistêmica e organizações de crédito significativas no mercado de serviços de pagamento,deve tomar medidas para proteger as informações de acordo com o nível de proteção aprimorado (1º) definido na norma GOST R 57580.1-2017 e outros - de acordo com o nível de proteção padrão (2º). Ao mesmo tempo, as organizações de crédito devem cumprir os padrões do 3º nível de conformidade com 01/01/2021 e os padrões do 4º nível - a partir de 01/01/2023. Além disso, segundo o 683-P, as instituições de empréstimo são obrigadas a realizar testes anuais com caneta e análise das vulnerabilidades da infraestrutura. Além disso, os bancos são obrigados a usar o software usado para operações bancárias, incluindo o fornecido aos clientes, que é certificado pelo FSTEC da Rússia para conformidade com os requisitos de segurança da informação, incluindo requisitos para análise de vulnerabilidades e monitoramento da ausência de NDV,ou o procedimento para analisar vulnerabilidades de acordo com os requisitos para um nível estimado de confiança não seja menor que OUD-4, de acordo com os requisitos da norma GOST R ISO / IEC 15408-3-2013 (esta norma repete completamente os requisitos de 382-P, sobre os quais escrevemos acima). Ao mesmo tempo, em termos de software não usado para operações bancárias, os bancos podem decidir independentemente sobre a necessidade de certificação, análise de vulnerabilidades e controle da ausência de NII. Separadamente, é indicado que, para realizar uma análise de vulnerabilidade, as organizações de crédito devem atrair licenciados do FSTEC da Rússia. Observe que os requisitos para o uso de software aplicativo certificado não entram em vigor em 01.01.2020, conforme planejado originalmente, mas em 01.07.2020 (de acordo comAo mesmo tempo, em termos de software não utilizado para operações bancárias, os bancos podem decidir independentemente sobre a necessidade de certificação, análise de vulnerabilidades e controle da ausência de NII. Separadamente, é indicado que, para realizar uma análise de vulnerabilidade, as organizações de crédito devem atrair licenciados do FSTEC da Rússia. Observe que os requisitos para o uso de software aplicativo certificado não entram em vigor em 01.01.2020, conforme planejado originalmente, mas em 01.07.2020 (de acordo comAo mesmo tempo, em termos de software não utilizado para operações bancárias, os bancos podem decidir independentemente sobre a necessidade de certificação, análise de vulnerabilidades e controle da ausência de NII. Separadamente, é indicado que, para realizar uma análise de vulnerabilidade, as organizações de crédito devem atrair licenciados do FSTEC da Rússia. Observe que os requisitos para o uso de aplicativos certificados não entram em vigor em 01.01.2020, conforme planejado originalmente, mas em 01.07.2020 (de acordo comque os requisitos para o uso de software aplicativo certificado não entram em vigor em 01.01.2020, conforme planejado originalmente, mas em 01.07.2020 (de acordo comque os requisitos para o uso de software aplicativo certificado não entram em vigor em 01.01.2020, conforme planejado originalmente, mas em 01.07.2020 (de acordo comCarta de informações do Banco Central da Federação Russa).

No Regulamento nº 683-P, o parágrafo 5 é dedicado à listagem de requisitos para ZI ao efetuar transferências d / s, como:

  • uso de assinatura eletrônica de mensagens;
  • regulação, implementação e controle de procedimentos:

    • identificação, autenticação e autorização de clientes;
    • formação, transmissão e recepção de mensagens eletrônicas;
    • credenciais do direito do cliente de dispor de d / s (nesse caso, o uso de assinaturas eletrônicas e o recebimento de confirmação do cliente sobre a transação concluída também são garantidos);
    • , ( , );
    • ;

  • , , , ;
  • registro de ações de funcionários e clientes, incluindo dados sobre a data e hora da transação, o identificador exclusivo do sujeito, o código da seção tecnológica, o resultado da operação, o identificador de rede do dispositivo utilizado.

É indicado que as organizações de crédito devem armazenar informações relacionadas a transferências de d / s, fatos de ações de funcionários e funcionários, bem como incidentes de ZI por pelo menos 5 anos e, ao usar a proteção de informações criptográficas, é necessário seguir a estrutura regulatória relevante no campo da proteção de informações criptográficas.

Um ponto importante neste documento é o seu "foco no cliente": as organizações de crédito são obrigadas a informar os clientes sobre os possíveis riscos do uso de meios técnicos ao efetuar pagamentos e sobre medidas para minimizar esses riscos.

Um parágrafo separado indica os requisitos para responder a incidentes de ZI. Portanto, indica-se que as organizações de crédito devem incluir todos os eventos de operações não autorizadas com d / se não prestar serviços bancários como incidentes de ZI, além de serem guiados pela lista de tipos de incidentes formados pelo Banco Central da Federação Russa (falamos sobre isso acima). Os incidentes de ZI devem ser processados ​​em conjunto com o serviço de gerenciamento de riscos e os fatos relacionados ao incidente de ZI devem ser registrados (as informações protegidas para as quais o NSD foi realizado, bem como os resultados da resposta a incidentes). Além disso, as organizações devem manter as informações relacionadas aos incidentes de ZI por pelo menos 5 anos, além de notificar o CBR dos incidentes de ZI identificados e planeja publicar informações sobre os incidentes de ZI.

A partir de 1º de janeiro de 2021, o crédito deve garantir que uma avaliação da conformidade com o nível de proteção de informações (de acordo com GOST R 57580.2-2018) seja realizada pelo menos uma vez a cada dois anos, enquanto um licenciado externo do FSTEC da Rússia deve estar envolvido e um relatório emitido com base nos resultados da avaliação é necessário mantenha pelo menos 5 anos.

Passamos à revisão de outro documento emitido pelo Banco Central da Rússia simultaneamente com o documento discutido acima: Regulamento nº 684-Pde 17.4.2019 “O estabelecimento de requisitos obrigatórios para instituições financeiras que não são de crédito para garantir a proteção de informações ao realizar atividades no campo de mercados financeiros para combater a implementação de transações financeiras ilegais” se aplica a um tipo diferente de empresa financeira que 683-P, mas tem algo em comum com ela normas. Portanto, a partir de 1º de janeiro de 2021, as instituições financeiras que não são de crédito devem proteger as informações de acordo com o GOST R 57580.1-2017, enquanto um nível aumentado de ZI deve ser observado pelas contrapartes centrais e por um depositário central, e o nível padrão deve ser depositários especializados de fundos de investimento, fundos mútuos e não estatais. fundos de pensão, organizações de compensação, organizadores de negócios, repositórios, bem como grandes organizações de seguros, corretores, revendedores,depositários, registradores e gerentes; todas as organizações listadas também são obrigadas a realizar testes com caneta e análise de vulnerabilidade. Outras instituições financeiras sem crédito selecionam anualmente o nível de ZI aplicável por conta própria - lembramos que o GOST R 57580.1-2017 define três níveis de ZI: mínimo (3), padrão (2) e aprimorado (1).

A partir de 1º de janeiro de 2021, é realizada uma avaliação do nível de ZI determinado por organizações sem crédito, de acordo com o GOST R 57580.2-2018, com o envolvimento de licenciados de terceiros do FSTEC da Rússia, e essa avaliação é realizada pelo menos uma vez por ano por organizações que atendem aos requisitos de um nível aumentado de ZI, e pelo menos 1 vez em 3 anos - pelas organizações que atendem aos requisitos do nível padrão de ZI, enquanto as instituições financeiras sem crédito são obrigadas a cumprir os padrões do terceiro nível de conformidade até 01/01/2022 e os padrões do 4º nível - até 01/01/2023. O relatório de auditoria deve ser mantido por pelo menos 5 anos.

Já a partir de 1º de julho de 2020 (foi originalmente planejado introduzir essa norma a partir de 01.01.2020, mas o Banco Central da Federação Russa emitiu uma mensagem sobre o adiamento de) as instituições financeiras sem crédito que implementarem níveis de ZI aprimorados e padrão precisarão usar o software, incluindo os fornecidos aos clientes, certificado pelo FSTEC da Rússia para conformidade com os requisitos de segurança da informação, incluindo requisitos para análise de vulnerabilidades e monitoramento da ausência de NDV ao realizar transações financeiras ou passou no procedimento de análise de vulnerabilidade de acordo com os requisitos para um nível estimado de confiança não inferior a OUD-4, de acordo com os requisitos da norma GOST R ISO / IEC 15408-3-2013 (esta norma é Fortemente repete requisitos 683-P e 382-P). É indicado que outras instituições financeiras que não sejam de crédito (ou seja, aquelas que não implementam níveis avançados ou padrão de ZI) são obrigadas a determinar independentemente a necessidade de certificação ou análise de vulnerabilidade do software usado e fornecido aos clientes. Além disso, em termos de software,não usada para transações financeiras, as organizações podem decidir independentemente sobre a necessidade de certificação ou análise de vulnerabilidade. Em relação à análise de vulnerabilidades no software aplicativo de sistemas automatizados e aplicativos para organizações sem crédito, em comparação com organizações de crédito, foi feito um relaxamento - elas podem executar esse procedimento de forma independente e com o envolvimento de uma organização de verificação.

Com relação à descrição dos requisitos para instrumentos financeiros durante transações financeiras, a resposta a incidentes e instrumentos financeiros e requisitos para trabalhar com proteção de informações criptográficas, as normas 684-P repetem completamente os requisitos 683-P descritos acima.

Outro ato normativo relacionado a questões de segurança da informação no setor bancário é o Regulamento nº 607-PBanco da Rússia de 10.03.2017 “Sobre requisitos para o procedimento para garantir a operação ininterrupta do sistema de pagamento, indicadores de operação ininterrupta do sistema de pagamento e métodos de análise de risco no sistema de pagamento, incluindo perfis de risco”. Este documento regula os processos de gestão e avaliação de riscos, além de introduzir indicadores quantitativos da continuidade do sistema de pagamentos, dependendo do nível de sua significância. O procedimento para processar incidentes de serviços de infraestrutura de pagamento é descrito, incluindo a quantidade de informações armazenadas sobre esses incidentes e seu período de armazenamento (3 anos). Os valores quantitativos dos indicadores de continuidade para a prestação de serviços do sistema de pagamento são calculados de acordo com as fórmulas fornecidas no apêndice deste documento e, dependendo dos valores quantitativos recebidos,o sistema de gerenciamento de riscos no sistema de pagamento pode ser revisado. Dependendo dos valores-limite violados dos indicadores de continuidade, um incidente de serviços de infraestrutura de pagamento pode ser reconhecido como afetando ou não afetando diretamente a operação ininterrupta do sistema de pagamento. O documento também se refere à aplicação do Decreto nº 3280-U, que regulamenta a notificação do Banco Central da Federação Russa e de outros participantes do sistema de pagamento sobre a suspensão da prestação de serviços pelo operador do sistema de pagamento.que regula a notificação do Banco Central da Federação da Rússia e de outros participantes do sistema de pagamento sobre a suspensão da prestação de serviços pelo operador do sistema de pagamento.que regula a notificação do Banco Central da Federação da Rússia e de outros participantes do sistema de pagamento sobre a suspensão da prestação de serviços pelo operador do sistema de pagamento.

Source: https://habr.com/ru/post/pt483844/

More articles:


All Articles