Geekly articles weekly

分析俄罗斯信贷和金融部门信息保护的监管文件

在以前的出版物中,我们研究了信息安全的基础知识 ,讨论了个人数据保护和关键信息基础架构领域的立法,还涉及使用GOST R 57580标准的金融机构中的信息安全主题。

到了该轮到更详细地研究当前俄罗斯在金融领域立法的规范了。 该行业的主要监管者是俄罗斯联邦中央银行,该银行定期在金融机构中发布更新的信息安全文档,以应对现代网络挑战。 此外,俄罗斯联邦中央银行正在与公民和组织积极合作:在中央银行代表的参与下举行了会议, 发布FinCERT的报告和警告,并解释了监管要求的执行情况。 该出版物将致力于分析有关信用和金融领域信息保护的相关文件。 因此,让我们开始吧。

图片

在金融机构中,数据保护问题极为重要,因为事实是您经常可以在信息和金钱之间放置一个身份标志。 在我们的数字时代,客户数据机密性,付款订单的完整性,获得银行服务的问题比以往任何时候都更加严重。 鉴于激烈的竞争和银行产品的多样性,客户忠诚度(个人和法人实体)受到高度重视,付款安全性和提供给银行的信息的机密性是最重要的选择因素。 除了向广泛的人群进行付款的显而易见且可以理解的目的之外,银行系统实际上还充当着整个国家经济的“循环系统”,这就是为什么银行部门实体(具有系统重要性的信贷机构,支付系统运营商,金融市场的重要基础设施组织)。

根据俄罗斯银行信贷和金融领域计算机攻击监控和响应中心(FinCERT / FinCERT)提供的数据,2018年,未经授权的卡交易量达到14亿卢布,平均每笔未经授权的交易量为3 ,3.2万卢布 对于许多银行而言,网络风险已成为限制发展的最重要因素之一,而网络犯罪所造成的损害(包括声誉损失)早已超过了“经典”抢劫案。 此外,俄罗斯联邦中央银行在其“操作风险管理系统要求规定”草案中,将信息安全和信息系统的风险列入了管理金融机构资本时应考虑的操作风险清单。

该国领导人采取了一系列举措来对当今时代的网络挑战做出合乎逻辑的响应,并根据这些举措采取了监管法律法规,以规范俄罗斯联邦金融机构的信息安全。 俄罗斯金融部门的主要监管者是俄罗斯银行。 俄罗斯联邦中央银行在信息安全方面的目标是确保网络稳定(通过监视实施信息威胁的风险指标,确保提供金融和银行服务的连续性,监视欺诈交易的水平),保护金融服务的消费者(通过监视和控制表征金融损失水平的指标)以及促进创新金融技术的发展(通过控制实施信息威胁和实施风险的风险) 所需的信息安全级别)。

第161号联邦法,关于国家支付系统


关于俄罗斯银行信息保护的主要文件是2011年6月27日关于国家支付系统的第161号联邦法律 。 本文档会不断更新和更改,与新威胁和新挑战的出现息息相关。 直接致力于信息保护的主要条款161-FZ是艺术。 27“确保对支付系统中的信息进行保护”,以及第16条。 28“支付系统中的风险管理系统”(其第3.11节直接谈到需要确定保护支付系统中信息的程序)。 基于艺术。 在本联邦法律第2条第3款中,俄罗斯银行制定了一些法规,以规范国家支付系统中的关系,我们将在本出版物和其他出版物中进行讨论。

首先,有必要熟悉由俄罗斯银行代表的监管机构在讨论金融部门的IS问题时所使用的基本术语和定义。 所以

  • 全国支付系统是汇款运营商(包括电子货币运营商),银行支付代理商(子代理商),支付代理商,提供邮政服务的联邦邮政组织,支付系统运营商,支付基础设施服务提供商,服务提供商的集合信息交流,外国支付服务提供商,外国支付系统运营商,支付应用程序提供商(国家支付的对象) 诺亚系统);
  • 汇款经营者是根据俄罗斯联邦法律有权转移资金的组织;
  • 电子货币操作员是指在不开设银行账户的情况下转移电子货币的电子转移操作员(电子货币转移);
  • 银行付款代理人-不是信贷机构的法人实体,也不是参与信贷机构以进行某些银行业务的个人企业家;
  • 银行付款子代理人-并非是信贷机构的法人实体,也不是由银行付款代理人从事某些银行业务的个人企业家;
  • 支付系统运营商是确定支付系统规则并履行161-中规定的其他义务的组织;
  • 支付基础设施服务运营商-运营中心,支付清算中心和结算中心;
  • 运营中心(Operation Center)-一个组织,可以在付款系统内为付款系统的参与者及其客户提供转帐服务,包括使用电子付款方式以及电子消息传递;
  • 支付系统是一组根据支付系统的规则进行交互以转移资金的组织,包括支付系统运营商,支付基础设施服务提供商和支付系统参与者,其中至少三个组织为汇款运营商;
  • 付款应用程序提供商-包括外国组织在内的法人实体,根据与汇款运营商的协议提供付款申请,供汇款运营商的客户使用。

按照艺术。 27161-,汇款运营商,银行付款代理(子代理),信息交换服务提供商,付款应用程序提供商,付款系统运营商,付款基础设施服务提供商必须按照既定要求在进行转账时确保信息保护俄罗斯银行于2012年9月9日发布的法规第382-P号“关于在进行转账时确保信息保护的要求以及俄罗斯银行的执行程序 在进行汇款时监视对信息保护要求的遵守情况。” 此外,汇款运营商,支付系统运营商,支付基础设施服务运营商必须将所有情况和(或)未经客户同意进行汇款的信息发送给俄罗斯银行,他们可以从数据库中包含的俄罗斯银行接收信息关于未经客户同意进行汇款的案例和尝试,并且还必须采取措施以抵消未经客户同意进行汇款的实施 按照俄罗斯银行条​​例2018年8月10日第4926-U号的规定,“关于转帐经营者,支付系统经营者,支付基础设施服务提供商向俄罗斯银行发送有关所有情况和(或)试图进行转账的信息的形式和程序未经客户同意的资金,以及从俄罗斯银行收到未经客户同意的案例和试图进行汇款的数据库中包含的信息,以及有关转账运营商执行程序的信息 enezhnyh资金,支付系统的运营商,支付基础设施运营商的服务措施,柜台式汇款未经客户的同意。“ 换句话说,第4926-U号法令定义了金融组织发送给俄罗斯联邦中央银行FinCERT的消息的形式,程序和内容。 同时,中央银行本身正在建立和维护案件数据库,并尝试在未经客户同意的情况下进行汇款。

俄罗斯银行第382-P号条例“关于在进行转帐时确保信息保护的要求...”


根据161-FZ中规定的信息保护标准,俄罗斯银行制定了2012年9月9日第382-P号法规,以确保进行转账时的信息保护要求以及俄罗斯银行监控合规性的程序确保在进行汇款时保护信息。” 根据该文件,俄罗斯银行的监管对象是汇款运营商,银行支付代理(子代理),支付系统运营商,支付基础设施服务运营商。 保护的对象是已处理信息的以下类别:

  • 有关银行账户现金余额的信息;
  • 电子现金余额信息;
  • 有关完成的转账的信息;
  • 客户执行订单,支付系统参与者,支付清算中心中包含的信息;
  • 有关付款清算头寸的信息;
  • 客户信息和持卡人数据;
  • 密码信息保护装置(CPSI)的关键信息;
  • 有关信息基础设施和信息安全设备配置的信息;
  • 有限的访问信息,包括个人数据和其他根据俄罗斯联邦法规受到强制保护的信息。

382-P中规定,在向金融机构转移资金时保护信息的主要要求是:

  • 任命和分配金融机构雇员的使用权;
  • 在信息基础架构对象生命周期的各个阶段(创建,运营,现代化,退役)提供信息保护;
  • 访问信息基础设施时的信息保护,包括 未经授权的访问(NSD);
  • 防止恶意代码;
  • 通过互联网转移资金时的信息保护;
  • 使用自动柜员机和支付终端时的信息保护;
  • 使用支付卡时的信息保护;
  • 使用密码信息保护来保护信息;
  • 转移资金时保护信息处理技术;
  • 创建包括分支机构在内的信息安全服务;
  • 为金融机构的雇员举办信息安全领域的提高认识的课程;
  • 制定和实施组织措施以确保信息保护(ZI);
  • 评估符合ZI要求的情况;
  • 支付系统运营商满足汇款运营商或支付基础设施服务运营商指示的ZI要求;
  • 完善资金转移时的零排放制度;
  • 识别,分析发生原因并应对与资金转移时违反提供ZI要求有关的IS事件。

同时,此类事件应包括可能导致未经授权转移资金或无法提供汇款服务的事件。 此类事件可以包含在与俄罗斯联邦金融稳定委员会商定并在俄罗斯联邦中央银行网站上发布的事件类型列表中。 目前,此信息尚未发布,但是您可以以俄罗斯银行标准 STO BR BFBO-1.5-2018“金融(银行)运营的安全性”中列出的事件类型为指导。 信息安全事件管理”,以及“俄罗斯FinCERT银行自动事件处理系统(ASOI)的使用指南”(以下列出了事件类型,并在两个文档中都使用了它们的标识符):

  • 使用恶意软件[malware];
  • 使用社会工程学的方法[socialEngineering];
  • 在SIM卡上更改IMSI,更改IMEI手机[sim];
  • 使用网络钓鱼资源[phishingAttacks];
  • 在互联网上放置违禁内容[prohibitedContents];
  • 在Internet上托管恶意资源[maliciousResources];
  • 更改路由和地址信息[trafficHijackAttacks];
  • 使用恶意软件[malware];
  • 拒绝服务[ddosAttacks];
  • 实施对ATM和支付终端的未经授权的访问[atmAttacks];
  • 利用信息基础设施的漏洞[漏洞];
  • 破坏身份验证/凭据[bruteForces];
  • 实施垃圾邮件[垃圾邮件];
  • 与僵尸网络中心[控制中心]的交互;
  • 使用网络钓鱼资源[phishingAttacks];
  • 在互联网上放置违禁内容[prohibitedContents];
  • 在Internet上托管恶意资源[maliciousResources];
  • 执行内容更改[changeContent];
  • 执行端口扫描[scanPorts];
  • 另一台计算机攻击[other]。

文本382-P提供了上述要求的细节,这些要求在转移资金时保护信息。 应该注意的是,诸如信息基础设施工作人员的识别,认证和授权以及员工和客户行为的注册(确定记录的信息量及其存储的五年期限),最小化权限原则的实施(仅提供执行正式职务所需的最小必要访问权)的规范。职责)和双重控制(禁止一名员工执行关键操作),让员工参与信息安全服务 在创建或现代化信息基础设施时。 此外,对于资金转帐,经俄罗斯FSTEC认证的应用软件符合信息安全要求,包括对漏洞分析和不存在NDV进行监控的要求,或根据估计的可信度进行不低于OUD-4的要求的漏洞分析程序。符合GOST R ISO / IEC 15408-3-2013 标准的要求。 请注意,不应将GOST R ISO / IEC 15408-3-2013标准的估计置信度(OUD)与根据2018年7月30日俄罗斯联邦FSTEC 131号的FSTEC命令确定的SIS的置信度(UD)混淆(我们讨论过之前的文档)。

382-P还包含对IT基础设施进行年度渗透测试(笔测试)和漏洞分析的要求,第三方组织(俄罗斯FSTEC的被许可方)应参与其中。

单独的第382-P段致力于保护互联网银行系统(包括移动系统)的原理:发布用户使用说明,检查恶意软件和完整性控制,使用一次性访问确认代码,将其放置在可靠的存储库中,搜索漏洞并及时更新。 分别指出了一种处理诸如“ SIM交换”之类的攻击的方法:在由金融机构的客户更换SIM卡或更改电话号码的情况下,建议暂停向该用户号码发送敏感信息。

该法规还单独强调,在通过密码信息保护措施保护个人数据的情况下,金融机构必须遵守俄罗斯联邦联邦安全局2014年7月10日第378号命令的要求,“批准组织和技术措施的组成和内容,以确保在信息中处理个人数据时确保其安全性个人信息系统,使用必要的信息进行密码保护,以满足俄罗斯联邦政府为保护每个人的个人数据而建立的要求安全级别。”

382-P中有一个单独的段落(第2.13节)专门针对在进行汇款时识别和响应信息保护事件的要求。特别要指出的是,支付系统运营商确定与汇款运营商和支付基础设施服务提供商进行交互和交换有关IS事件的信息的过程,并保留记录并提供有关已识别事件的信息以及对事件进行分析和响应的方法。此外,除支付系统运营商外,金融机构还必须:

  • 识别并记录与违反使用组织和技术手段确保在资金转移期间保护信息的要求有关的事件;
  • 如果识别出事件ZI,则通知专用的IS部门;
  • 响应已识别的事件;
  • 分析已识别事件的原因并评估其响应结果。

此外,俄罗斯联邦中央银行于2018年7月5日发布的第4793-U号法令规定,汇款运营商和支付基础设施服务运营商有义务将已识别的信息保护事件以及计划的事件详细信息公开通知俄罗斯银行; 在这种情况下,提供信息的形式和截止日期与俄罗斯联邦的FSB一致。

汇款运营商,支付系统运营商和支付基础设施服务提供商的重要要求是对合规性的义务评估,即分析需求的完整性,以确保对信息的保护。此项评估至少每两年在俄罗斯FSTEC的许可公司的参与下进行,其依据是有关ZI的已实施组织和技术措施的信息以及对它们遵守382-P规定的分析的结果,以及监测在进行汇款时确保ZI程序执行情况的结果。根据合格性评估的结果,这些运营商必须在30个工作日内按照表格0403202“支付系统运营商,支付基础设施服务提供商,根据俄罗斯联邦中央银行第2831-U号的指示(经第3024-U号命令修订),“确保汇款运营商在进行汇款时确保信息保护的要求”。因此,俄罗斯联邦中央银行从运营商那里收到了其对ZI的组织和技术要求的满足情况的定量评估。为了分析所应用保护措施的完整性,支付系统运营商本身的对账单应从汇款运营商和支付基础设施服务提供商处接收报告,同时他们对此类报告的内容,形式和频率提出要求。俄罗斯联邦中央银行从运营商那里收到对他们满足ZI组织和技术要求的定量评估。为了分析所应用保护措施的完整性,支付系统运营商本身的对账单必须从汇款运营商和支付基础设施服务提供商处获得报告,同时他们对此类报告的内容,形式和频率提出要求。CBR从运营商那里收到对其ZI的组织和技术要求的实现情况的定量评估。为了分析所应用保护措施的完整性,支付系统运营商本身的对账单应从汇款运营商和支付基础设施服务提供商处接收报告,同时他们对此类报告的内容,形式和频率提出要求。

运营商向俄罗斯银行报告的另一种类型是根据俄罗斯银行于2012年9月9日颁布的第2831-U号条例建立的形式,以信息形式提供信息“ 0403203“关于与在确保进行转账时确保信息保护的要求有关的事件的识别”关于根据《指令Ba》修订的关于在支付系统运营商,支付基础设施服务提供商,汇款运营商的资金转移过程中确保信息保护的报告2018年3月30日的俄罗斯税法第4753-U号。此报告表格的提交频率取决于运营商的类别和转账的金额(以下简称-d / s)。此报告表应包含有关客户未经授权使用电子支付方式,d / s的转移和取款以及由于未经授权访问运营商的IT基础设施(包括ATM)而导致的电子d / s余额减少的信息。 d / s转移服务,在收到客户关于d / s未经授权转移事实以及从支付系统参与者的对应帐户中未经授权借记的事实的通知之后。对d / s传输运营商有特殊要求,这些运营商是俄罗斯银行认可的在支付服务市场上具有重要意义的信贷机构:所有未提供d / s传输服务的事实都应报告2小时以上。重要付款系统的结算中心应在报告中指出有关超过1个工作日不提供结算服务的事件的信息。

报告表格0409258“有关使用支付卡进行的未经授权交易的信息”,由俄罗斯银行2016年11月24日第4212-U号条例“在向俄罗斯联邦中央银行汇编和提交信贷组织的报告表格的清单,表格和程序上”根据第4927-U号命令修订的内容,其中应包含有关执行未经授权操作的支付卡数量的信息,并按俄罗斯联邦和和国外,致力于贸易/服务机构,兑现,通过自动取款机,通过上网或使用智能手机。此报告表必须由信贷机构和非银行信贷机构提供,有权在不开设银行帐户的情况下进行d / s转帐。

应当指出的是,直到2018年中,信贷机构已将未授权交易的数据作为计划报告表格0409258的一部分提交给俄罗斯银行,并且每月在报告表格0403203中提供有关其原因的信息,但是,正在积极开发和使用自动化系统事件处理(ASOI)俄罗斯FinCERT银行,通过该银行实时交换相关信息。

来自运营商提交的报告的信息包含在俄罗斯银行FinCERT对未经授权的转账的年度官方审查中,其中以提供统计信息的形式显示了银行部门ZI违规的趋势。例如,报告2018年的情况表明,未经授权的CNP交易数量(CNP,不存在卡-在不出示支付卡,仅显示其详细信息的情况下执行的操作)的数量稳步增长,并且在97%的情况下使用个人支付卡进行未经授权操作的原因是攻击者使用的方法社会工程和持卡人违反使用卡的行为,而在46%的情况下来自法人的未经授权交易的原因是恶意代码和只有39%-社会工程方法和业主违反工作规则。

要结束对382-P的审查,应注意的是,CBR当前正在准备发布本文档的更新版本,该版本与中央银行最近发布的其他其他文件(例如,我们将在下面讨论的683-P和684-P条款)保持一致。 。因此,在新版本中,要求使用经过认证的软件,进行年度渗透测试(笔测试)和漏洞分析,确保符合GOST R 57580.1-2017的安全级别,并且还指示符合GOST R 57580.2-2018和应用软件中的漏洞分析应由俄罗斯FSTEC的许可组织进行。

第584号政府决定,俄罗斯联邦中央银行条例607-P,380-P,640-P


2012年6月13日第584号政府决定 “关于批准支付系统中的信息保护条例”已根据161-“关于国家支付系统”的规范签署,并于2012年7月1日生效。该决议包含对支付系统的运营商和代理商的要求,以确保根据俄罗斯联邦法律(包括PD)受强制保护的信息安全。该文档描述了支付系统中对ZI的以下要求:

  • 任命负责ZI的员工或单位;
  • 在付款系统员工的职位描述中包含ZI要求;
  • 识别安全威胁(即威胁建模)和漏洞分析
  • 违反ZI要求的分析和风险管理;
  • 使用SZI;
  • ;
  • ;
  • ;
  • 1 2 .

ZI工作和对ZI要求合规性的评估可以由支付系统运营商和代理商自行进行,也可以在FSTEC俄罗斯许可证持有人的协助下进行。分别指出,对ZI的要求应在其自己的信息系统的创建和运行的所有阶段,以及在购置此类系统的情况下,在调试阶段以及直接在运行期间实施。

一般而言,经过审议的政府决定与俄罗斯联邦中央银行的文件相比具有声明性,其中包含对ZI的详细要求及其实施建议。

俄罗斯银行于2012年5月31日发布的第379-P号法规,与382-P几乎同时通过了“关于支付系统的不间断运行和支付系统中的风险分析的法规”,但是,由于采用了俄罗斯银行第607-P号法规,它失去了效力2017年3月3日,“关于确保支付系统不间断运行的程序要求,支付系统不间断运行的指标以及支付系统中的风险分析方法(包括风险概况)”。 607-P涉及风险管理和支付系统中服务的连续性。尤其是,本文档指出,需要每年至少进行1次风险评估,并复查风险管理系统-两年内至少进行1次。提供了一系列有关支付基础设施服务的可用性,支付系统的不间断运行以及事件发生频率(即,由于违反ZI而导致支付服务中断的事件)的量化指标以及计算这些指标的方法的列表。然后将计算出的指标用于评估支付系统中的风险管理系统,同时应进行风险评估标准 GOST R ISO / IEC 31010-2011“风险管理。风险评估方法。”事件信息存储期为3年,支付系统运营商的报告形式在俄罗斯联邦中央银行2014年6月11日第3280-U号法令中进行了定义,“关于通知俄罗斯银行支付系统运营商的程序,支付系统的参与者应了解中止(终止)准备金的情况和原因。付款基础设施服务。”此外,607-P强调了为业务连续性和恢复制定,测试和更新计划的重要性。

该文件与第607-P号条例基本相似,是为俄罗斯银行本身采用的文件-我们所说的是第680-P号俄罗斯银行条​​例日期为2019年3月27日,“关于在通过通信渠道提交电子转账订单时,确保俄罗斯银行付款系统在紧急转账服务和非紧急转账服务方面不中断运行的程序。”该文件指出了俄罗斯银行支付系统不间断运行的具体定量和临时指标,并指出中央银行将必须在01年1月2日之前遵守GOST R 57580.2-2018(我们之前提到过)的至少4级遵守标准。 。通常,680-P是一个非常深入的面向风险的文档,可以通过前面提到的607-P法规的规范来作为模型。

俄罗斯联邦中央银行条例380-P日期为2012年5月31日的“关于国家支付系统中的监督程序”规定了俄罗斯银行对NPS实体的活动进行监督的规则。监控是通过中央银行向NPS发送有关其提供的支付服务和收费的请求,IT基础设施的特征,支付服务的连续性,信息安全的安全级别(包括有关已识别的IS事件的信息),引入新服务和客户投诉来进行的。然后,根据获得的数据,俄罗斯联邦中央银行进行分析,以制定有关NPS实体运作的指标并调整监管文件,以提高对NPS实体本身的认识并向其提出建议。单独的一章专门用于评估和调整重大付款系统的活动(根据第22 161-FZ条的规定,付款系统被认为是重要的),包括在进行d / s传输时改善ZI的提供。根据监测结果,俄罗斯银行对NPS的监测结果进行全面审查,包括将要发布的重要付款系统。

俄罗斯联邦中央银行条例,日期:2012年9月9日第381-P号,“关于监督支付系统运营商,支付基础设施服务运营商的非信用机构遵守法规的程序,2011年6月27日第161-号联邦法律的要求”,关于“通过国家支付系统”根据该规定,“俄罗斯银行的规定”已由俄罗斯联邦中央银行条例640-P代替日期为2011年4月16日的“关于俄罗斯银行监督支付系统运营商,支付基础设施服务运营商遵守非信贷组织的程序的规定,2011年6月27日第161-FZ号联邦法“关于国家支付系统”的要求以及根据该准则采用的规范性标准俄罗斯银行的行为”。第640-P号条例规定了俄罗斯银行在监督对161-FZ要求的遵守情况时的权利,例如分析文件和信息以及进行检查检查(根据俄罗斯联邦中央银行第184-I号要求),还规定了影响运营商进行交易的方式消除已发现的缺陷。同时,中央银行有权在进行d / s转移时核实运营商是否遵守提供ZI的要求。

CBR第683、684、607号法规


让我们继续看一下俄罗斯联邦中央银行开发的新文档。第683-P条日期为2019年4月17日,“关于为信贷机构建立强制性要求,以在银行活动期间保护信息,以便在未经客户同意的情况下抵制汇款的实施”,对保护银行及其客户的电子消息,客户身份验证信息,有关银行的信息提出了要求操作以及CIPF使用的关键信息。俄罗斯联邦中央银行第683-P号法规要求根据其重要性对信贷机构实施不同级别的信息保护:具有系统重要性的信贷机构,履行具有系统重要性的支付系统的支付基础设施服务提供商的职能的信贷机构以及在支付服务市场中具有重要意义的信贷机构,必须按照GOST R 57580.1-2017标准中定义的增强(第一)保护级别以及其他措施(根据标准(第二)保护级别)采取措施来保护信息。同时,要求信贷机构遵守01/01/2021的第3等级标准和2023年1月1日的第4等级标准。此外,根据683-P,要求贷款机构进行年度笔测试和基础设施漏洞分析。此外,银行必须使用银行业务所使用的软件,包括提供给客户的软件,该软件或已通过俄罗斯FSTEC认证,符合信息安全要求,包括漏洞分析和缺乏NDV监控的要求,或根据估计的信任级别的要求分析漏洞的过程不低于根据GOST R ISO / IEC 15408-3-2013标准的要求进行的OUD-4(此规范完全重复了我们上文所述的382-P的要求)。同时,就不用于银行业务的软件而言,银行可以独立决定是否需要认证,漏洞分析和控制是否需要NII。另外,有迹象表明,为了进行漏洞分析,信贷组织应吸引俄罗斯FSTEC的被许可人。请注意,使用经认证的应用程序软件的要求并未按照最初计划于01.01.2020生效,而是于01.07.2020生效(根据同时,就不用于银行业务的软件而言,银行可以独立地决定是否需要认证,漏洞分析和控制是否需要NII。另外,有迹象表明,为了分析漏洞,信贷组织应吸引俄罗斯FSTEC的被许可人。请注意,使用经认证的应用程序软件的要求并未在最初计划的01.01.2020生效,而是在01.07.2020生效(根据同时,就不用于银行业务的软件而言,银行可以独立地决定是否需要认证,漏洞分析和控制是否需要NII。另外,有迹象表明,为了进行漏洞分析,信贷组织应吸引俄罗斯FSTEC的被许可人。请注意,使用经认证的应用程序软件的要求并未在最初计划的01.01.2020生效,而是在01.07.2020生效(根据使用认证的应用程序软件的要求并未按原计划于01.01.2020生效,而是于01.07.2020生效(根据使用认证的应用程序软件的要求并未按原计划于01.01.2020生效,而是于01.07.2020生效(根据信息信俄罗斯联邦中央银行)。

在第683-P号法规中,第5段专门列出了进行d / s转移时ZI的要求,例如:

  • 使用消息的电子签名;
  • 规章,执行和控制程序:

    • 客户的识别,认证和授权;
    • 电子信息的形成,传输和接收;
    • 客户处置d / s权利的凭证(在这种情况下,还要确保使用电子签名并从客户那里收到有关已完成交易的确认书);
    • , ( , );
    • ;

  • , , , ;
  • 注册员工和客户的行为,包括有关交易日期和时间的数据,主题的唯一标识符,技术部分的代码,操作结果以及所用设备的网络标识符。

据指出,信用机构应将与d / s的转移,雇员和雇员的行为事实以及ZI事件有关的信息存储至少5年,并且在使用密码信息保护时,必须遵循密码信息保护领域的相关监管框架。

本文档的重点是“以客户为中心”:信贷机构有义务告知客户使用付款时使用技术手段的潜在风险以及将这些风险降至最低的措施。

单独的段落指出了响应ZI事件的要求。因此,表明信用组织应将所有带有d / s的未授权操作事件和不提供银行服务的所有事件都列为ZI事件,并应以俄罗斯联邦中央银行形成的事件类型清单为指导(我们在上面已经讨论过)。 ZI事件应与风险管理服务一起处理,并应记录有关ZI事件的事实(执行NSD的受保护信息以及事件响应的结果)。此外,组织必须将与ZI事件有关的信息保留至少5年,并且将识别出的ZI事件通知CBR并计划发布有关ZI事件的信息。

从2021年1月1日起,信贷应确保至少每两年进行一次对信息保护水平的符合性评估(根据GOST R 57580.2-2018),而俄罗斯FSTEC的外部被许可方应参与其中,并需要根据评估结果发布报告保持至少5年。

我们将同时审议由俄罗斯中央银行发布的另一文件和上述文件:第684-P号条例日期为2019年4月17日的“关于为非信贷金融机构建立强制性要求,以确保在金融市场领域开展活动时的信息保护以打击非法金融交易的实施”适用于不同于683-P的另一种类型的金融公司,但它有一些共同点规范。因此,从2021年1月1日起,非信用金融机构必须按照GOST R 57580.1-2017的要求保护信息,而中央交易对手和中央托管人必须遵守更高的ZI水平,标准级别应为投资基金,共同基金和非国有专业存款人养老基金,清算组织,贸易组织者,存储库以及大型保险组织,经纪人,交易商,托管人,注册商和经理;还要求所有列出的组织进行笔测试和漏洞分析。其他非信用金融机构每年自行选择ZI的适用级别-我们记得,GOST R 57580.1-2017设置了三个ZI级别:最低(第三),标准(第二)和增强(第一)。

从2021年1月1日开始,由非信贷组织确定的ZI等级评估是根据GOST R 57580.2-2018在俄罗斯FSTEC的第三方许可证持有人的参与下进行的,并且这种评估至少由满足ZI等级提高要求的组织每年进行一次,并且三年内至少有1次-符合ZI标准级别要求的组织,而非信贷金融机构则必须在01/01/2022之前遵守第三级遵守标准,在2023年01月01日之前遵守第四级规范。审核报告必须保存至少5年。

从2020年7月1日开始(原计划从2020年1月1日开始引入此规范,但是俄罗斯联邦中央银行发布了关于推迟)实施增强的ZI标准水平的非信贷金融机构将需要在进行金融交易时使用由俄罗斯FSTEC认证的软件,包括提供给客户的软件,以符合信息安全要求,包括对漏洞分析的要求以及对NDV缺失的监控根据标准GOST R ISO / IEC 15408-3-2013的要求,根据估计的信任级别不低于OUD-4的要求通过了漏洞分析程序。强烈要求重复683-P和382-P)。指出其他非信用金融机构(即那些未实施ZI增强或标准级别的金融机构)有义务独立确定对所使用和提供给客户的软件进行认证或漏洞分析的需要。而且,在软件方面由于不用于金融交易,组织可以独立决定是否需要认证或漏洞分析。关于对非信贷组织的自动化系统和应用程序中的应用程序中的漏洞的分析,与信贷组织相比,已经放宽了-他们可以独立执行此过程,也可以在验证组织的参与下进行。

关于金融交易期间对金融工具的要求,对事件和金融工具的响应以及使用密码信息保护的要求的描述,准则684-P完全重复了上述要求683-P。

与银行部门信息安全问题相关的另一项规范性法规第607-P号法规俄罗斯银行于2017年10月3日发布“关于确保支付系统不间断运行的程序要求,支付系统不间断运行的指标以及支付系统中的风险分析方法(包括风险概况)”。该文件规范了管理和风险评估流程,并根据其重要性级别介绍了支付系统连续性的定量指标。描述了处理支付基础设施服务事件的过程,包括存储的有关此类事件的信息量及其存储期限(3年)。用于提供支付系统服务的连续性指标的量化值是根据本文档附录中给出的公式计算的,并且根据收到的量化值,支付系统中的风险管理系统可能会被修改。根据违反的连续性指标阈值,支付基础设施服务事件可能会被视为影响或不直接影响支付系统的不间断运行。该文件还涉及第3280-U号法令的应用,该法令规范了俄罗斯联邦中央银行和支付系统其他参与者有关支付系统运营商中止提供服务的通知。它规范了俄罗斯联邦中央银行和支付系统其他参与者有关支付系统运营商中止提供服务的通知。它规范了俄罗斯联邦中央银行和支付系统其他参与者有关支付系统运营商中止提供服务的通知。

Source: https://habr.com/ru/post/zh-CN483844/

More articles:


All Articles