По итогам Третьей межбанковской конференции «Информационная безопасность банков» были приняты решения...

Конференция, участниками которой стали представители кредитных организаций, надзорных и регулирующих органов, специалистов служб информационной безопасности и внутреннего контроля, внутренних и внешних аудиторов информационной безопасности, средств массовой информации, отечественных и зарубежных фирм, предоставляющих услуги по обеспечению информационной безопасности в кредитно–финансовой сфере, отмечает, что в настоящее время вопросы обеспечения информационной безопасности организаций банковской системы Российской Федерации приобретают всё более важное значение и всё более ясное наполнение содержанием практических работ. Связано это с тем, что в кредитно–финансовой сфере России происходят значительные изменения. Совершенствуется законодательная база, интенсивно развиваются информационно–коммуникационные технологии, появляются новые платёжные инструменты и новые субъекты платежной системы. Наряду с положительными тенденциями этот процесс, к сожалению, сопряжен и с новыми рисками. Широкое внедрение безналичных платежей, электронных денег и дистанционных расчётов сопряжено с высокими рисками мошенничества и криминальных проявлений. В этих условиях первоочередное значение приобретает дальнейшее совершенствование комплекса мер (технологий и механизмов) обеспечения стабильности и бесперебойности функционирования платёжной инфраструктуры в Российской Федерации. Важным элементом данного комплекса является создание системы управления рисками и организация эффективной системы обеспечения информационной безопасности банковской системы Российской Федерации.

.

В ходе конференции проведен широкий обмен мнениями и опытом по следующим вопросам:

1. Реализация отраслевого подхода к обеспечению безопасности платёжных систем и персональных данных. Роль саморегулируемой организации в обеспечении информационной безопасности банковской системы РФ.

2. Совершенствование законодательной базы в области обеспечения ИБ. Национальные проекты.

3. Международные стандарты в области обеспечения банковской безопасности. Опыт и практика применения.

4. Обеспечение безопасности и совершенствования систем дистанционного банковского обслуживания (ДБО).

5. Практика внедрения в кредитных организациях стандартов Банка России по информационной безопасности.

По итогам широкого обсуждения включённых в программу конференции вопросов были сформулированы следующие предложения.

По Первому вопросу. Всецело одобрены предложения по реализации отраслевого подхода к решению вопросов обеспечения информационной безопасности на основе СТО БР ИББС. Признано целесообразным активизировать процесс реорганизации Сообщества ABISS в Некоммерческое партнерство с дальнейшей регистрацией саморегулируемой организации (СРО) для контроля качества, разработки и распространения профессиональных стандартов и развития деловой этики в области информационной безопасности.

По Второму вопросу. Участники конференции выразили озабоченность, обусловленную большим объемом работ по реализации требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и обращаются к Банку России, Роскомнадзору, ФСБ России и ФСТЭК России с просьбой ускорить процесс согласования требований ведомственных документов в области организации и контроля работ по приведению информационных систем персональных данных в соответствие с требованиями законодательства. Признана необходимой и крайне востребованной разработка типовых требований по применению ЭЦП в информационных системах кредитных организаций.

По Третьему вопросу. По результатам сравнительного анализа стандартов Банка России и международных стандартов отмечено отсутствие принципиальных противоречий в содержании их требованиями. Предложить Банку России рассмотреть вопрос более полного учета требований стандарта PCI DSS в содержании требований документов из состава Комплекса БР ИББС. Изучить положительный опыт PCI Security Standards Council в части реализации механизмов саморегулирования в области оценки соответствия требованиям стандартов безопасности. Рекомендовать ПК3/ТК362 изучить методологию обеспечения функциональной безопасности, определяемую комплексом национальных стандартов ГОСТ Р МЭК 61508, с точки зрения возможного учета и использования в положениях стандартов Банка России. Рекомендовать Банку России изучить опыт международных платежных систем по стандартизации требований по информационной безопасности в индустрии платёжных карт (PCI DSS) и методологии проверки соответствия банков указанным требованиям путем проведения консультаций с международными платежными системами, в частности с «VISA International». Учесть также другие решения, обеспечивающие подержание современного уровня безопасности операций с платёжными картами, такие как дактилоскопическая идентификация, микропроцессорные технологии и пр.

По Четвертому вопросу. По результатам обсуждения вопросов, связанных с обеспечением безопасности систем дистанционного банковского обслуживания, отмечается отсутствие четкой нормативной базы и, в частности, наличие проблем с лицензированием в этой области. Признать целесообразным проработку Банком России вопроса о внесении в нормативную базу, регулирующую систему расчетов, изменений в части регламентации условий (критериев), позволяющих приостановить исполнение операций по счетам клиентов кредитных организаций до особых указаний. В состав условий (критериев) приостановки операций по счетам клиентов должны быть включены события (по установленным признакам) покушения на хищение в системах ДБО. Признать целесообразным АРБ и Банку России совместно с правоохранительными органами проработать вопрос организации оперативного взаимодействия в части обмена информацией, включая техническую информацию, для случаев выявления фактов покушения на хищение в системах ДБО, а также механизмов межбанковского взаимодействия в случаях выявления хищений и списания денежных средств со счетов банков, задействованных в операциях хищения. Предложить подготовить типовые рекомендации по порядку проведения расследований попыток противоправного воздействия, в том числе для клиентов. Проработать вопрос по порядку направления в РОСФИНМОНИТОРИНГ сведений о лицах и организациях, участвующих в мошеннических действиях в ДБО (в рамках Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») включая:

• предложения по внесению изменений в федеральное законодательство;

• порядок направления собранных данных в правоохранительные органы (МВД, ФСБ);

• порядок обмена банками сведениями для их учета и использования в работе (аналогично спискам террористов и спискам утерянных паспортов).

АРБ и Банку России проработать совместно с Управлением «К» МВД вопрос внесения изменений в Уголовный кодекс РФ в части признаков классификации мошеннических действий в платежных технологиях, включая ДБО. До момента принятия соответствующих изменений в Уголовный кодекс РФ выпустить рекомендации для следственных органов МВД и СК РФ по признакам классификации преступлений в платежных технологиях, включая ДБО. Проработать вопрос создания механизма, позволяющего банкам приостанавливать, до выяснения, платежи, при наличии информации о мошенническом характере операции с использованием системы ДБО. АРБ и Банку России подготовить указания для банков с разъяснением порядка действий при выявлении участниками расчетов мошеннических платежей. Проработать вопрос формирования on-line взаимодействия между специалистами в области ИБ банков по инцидентам в ДБО. Рассмотреть возможность разработки образовательных стандартов на базе Комплекса БР ИББС и PCI DSS.

По Пятому вопросу. Отмечены положительные результаты внедрения в банковской системе Комплекса БР ИББС, разработанного Банком России. При внедрении Комплекса БР ИББС целесообразно учитывать международный опыт интеграции информационной безопасности в корпоративную среду управления рисками и контроля. Рекомендовать Банку России подготовить информационное письмо (рекомендации) для кредитных организаций о целесообразности включения требований Комплекса БР ИББС в документацию при организации договорных работ со сторонними организациями и клиентами. Совершенствовать работу Консультационного центра АРБ в области обработки и защиты персональных данных (для повышения информированности заказчиков и разработчиков прикладных (банковских) систем).