На какие ключевые моменты, на мой взгляд, стоит обратить внимание.

1. Во-первых, активное технологическое развитие Центрального банка в плане появления новых сервисов и новых платформ, что для финансовых организаций прибавит работы, а соответственно, для служб информационной безопасности прибавится задач, связанных с обеспечением безопасного и надежного подключения к новым платформам Центрального банка. Новые сервисы, которые были освещены в выступлении Ольги Скоробогатовой, – это финансовые маркетплейсы и технологии распределенных реестров. Понятно, что здесь вопросы безопасности очень актуальны.

2. С точки зрения стандартизации и направления регулирования информационной безопасности мы понимаем, что за всеми новыми сервисами Банка России будут новые положения, указания и стандарты ЦБ РФ, которые будут регулировать взаимодействие в данной сфере. Соответственно, с точки зрения стандартизации на ближайшие 5 лет до 2022 года запланирована выработка 15 новых стандартов, разработана в рамках Центрального банка и технического кабинета No 122 дорожная карта по развитию этих стандартов. Они разбиты на6ключевыхнаправлений. Это киберриски, информационная безопасность (и «первой ласточкой» здесь стал стандарт No 57580.1), аутсорсинг, стандарты по управлению инцидентами, документы, связанные с беспрерывностью. И последнее направление – это мониторинг. Все эти стандарты нам придется выполнять.

3. Один из популярных вопросов касается выполнения ГОСТов. Если ГОСТ вступает в силу с 1 января, это не значит, что вам надо прямо сейчас начинать его выполнять, к нему надо присматриваться, начинать совершать для соответствия ему определенные мероприятия, но обязательным он станет только тогда, когда ссылку на него включат в специальное положение Центрального банка.

4. Еще одна идея, которая была озвучена больше года назад, связана с тем, чтобы поднять безопасность на уровень правлений банков или исполнительных органов других финансовых организаций, потому что риски в сфере ИБ могут нанести существенный ущерб деятельности финансовой организации, и, соответственно, если эти риски организация не учитывает, значит, надо резервировать капитал. Если раньше, когда речь заходила об операционных рисках, про информационную безопасность никто не вспоминал, сейчас ИБ растет. Надо будет вести базу данных, надо будет по методике Центрального банка оценивать риски и, соответственно, резервировать капитал. Становится понятно, что, чем хуже управление рисками, тем больше денег резервируется, а значит, они не «работают», и финансовые показатели организации становятся чуть хуже.

5. Иные проекты нормативно-правовых актов, которые готовятся самим Центральным банком либо при его участии. Во-первых, это новая редакция Положения Банка России 382-П. Здесь две версии: новая и перспективная. Новая должна быть выпущена в ближайшее время. Новшества следующие: деление контуров безопасности, переход от самооценки к внешнему аудиту и изменения в оперативности подачи информации об инцидентах в «Финсерт». Это заставит вас пересмотреть свои процедуры по управлению инцидентами. Ключевое отличие перспективной редакции Положения 382-П – это ссылки на ГОСТ: с момента, когда они появятся в редакции 382-П, ГОСТ станет обязательным к выполнению.

6. Кроме этого, первое чтение прошел в январе законопроект о внесении изменений и дополнений в законодательные акты, в нем есть ряд ключевых положений. Это введение глобальной национальной антифродсистемы, которая будет регулироваться Банком России, а Банк России будет направлять индикаторы мошеннических операций. Также регулируется вопрос возврата несанкционированно перевденных денежных средств и обмен информацией о компьютерных атаках с использованием сервиса «Финсерт». И появляется необходимость уведомлять Центральный банк о мошеннических операциях, а не только об инцидентах ИБ.

7. Еще одно нововведение – это расширение полномочий Центрального банка на все финансовые организации. Если сейчас Центральный банк может устанавливать требования по ИБ только для кредитных организаций и для участников международных платежных систем, то с принятием этого закона его полномочия в этом отношении распространятся и на все остальные организации: страховые компании, негосударственные пенсионные фонды, брокеров, микрофинансовые организации и т.д.

8. С точки зрения отчетности нужно обратить внимание на следующее. Есть отчетность в рамках Положения 552- П, будет отчетность в рамках 382-П – более оперативная, чем сейчас. Останется 203-я отчетность, где вы сообщаете о суммах похищенных, готовящихся к хищению и возвращенных денежных средств раз в квартал или раз в полгода, в зависимости от количества операций. В рамках изменения законодательства планируется отчетность и о мошеннических операциях, которую надо будет отправлять в Центральный банк. И не забываем про предоставление отчетности в Гос-СОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. – Прим. ред.). В перспективе она будет осуществляться через «Финсерт», но пока надо отправлять эти данные напрямую в ГосСОПКА.

9. Из нового еще получение Центральным банком права блокировать сайты, рекламирующие незаконные финансовые услуги, а также проект закона, связанный с возможностью обмениваться информацией о мошенниках, о дропе без получения всяких согласий. Это классическая тема, которая поднималась последние 6-7 лет, когда возникала тема о действиях антидроп-клуба, члены которого обменивались информацией о дроперах. Это было немного в нарушение 152-ФЗ, по которому надо у мошенника спросить согласие для обмена информацией о нем. Разумеется, мошенники согласия на это не дают. Законопроект предполагает право обмениваться информацией без согласия субъекта.

10. Буквально на днях на сайте Центрального банка появился проект указания, связанный с перечнем угроз в области биометрических персональных данных в контексте удаленной идентификации.

11. По поводу критической информационной инфраструктуры: на основании этого закона все финансово-кредитные организации представляют собой субъекты, все ваши информационные системы – АБС, процессинг, бухгалтерия, CRM – являются объектами, но не все из них – значимые объекты, на которые распространяются требования по информационной безопасности. Но, независимо от наличия у вас объектов, вы, как субъект критической информационной инфраструктуры (КИИ), должны выполнить три шага: категорироваться, подключиться к ГосСОПКА и при присоединении выполнить требования по обеспечению безопасности. С точки зрения категорирования были названы критерии. На мой взгляд, вас касаются три пункта в разделе «Экономическая значимость», но не в полном объеме. Я посчитал, на кого распространяется данный критерий: 31 финансовая организация с участием государства, один банк, который является стратегическим предприятием, 11 системно значимых кредитных организаций, 4 системно значимые инфраструктурные организации финансового рынка и 9 операторов услуг платежной инфраструктуры в системно и социально значимых платежных системах. Собственно, есть несколько перечней организаций, которые подпадают под критерии. Вы как минимум должны оценить себя, понять, есть ли у вас значимые объекты и какой они категории. Кредитным организациям, которые не попадают в этот перечень, можно расслабиться с точки зрения выполнения требований по безопасности Федеральной службы по техническому и экспортному контролю (ФСТЭК), но нельзя расслабляться с точки зрения подключения к ГосСОПКА, так как этот закон распространяется на любого субъекта без исключения. Обратите внимание, что, даже если у вас нет значимых объектов, вы все равно обязаны выполнять требования по безопасности: помимо требований ФСТЭК для объектов КИИ, у вас есть еще 382-П, 21-й приказ, PCI DDS, 552-П и т.д.

12. Удаленная идентификация. Очень много говорилось о том, как это полезно и удобно с точки зрения клиента. У банков появляется новая возможность для зарабатывания денег, потому что увеличивается число клиентов, которые могут запрашивать идентификацию без физического присутствия в отделении банка. Это может стать очень востребованным в удаленных регионах. Но, на мой взгляд, совершенно неозвученной оказалась тема безопасности хранилища биометрических данных, применяемых для удаленной идентификации. Если сравнивать с хранилищем биометрических паспортов, эти данные хранятся в защищенном месте, и к ним имеет доступ ограниченное количество лиц. Как только к базе биометрических данных граждан Российской Федерации получат доступ все банки, Почта России и др., риски угроз сразу возрастут. Есть опасность хищения биометрических данных и их подмены.

13. Что касается деятельности «Финсерт», то на базе него будет создан центр компетенций финансовой сферы. Также я хочу обратить внимание на систему личных кабинетов, что позволит вам более оперативно отдавать данные. И что касается автоматизации вещей, связанных с рассылками: обратите внимание на те документы, которые рассылают «Финсерт» и Центральный банк. Не все являются публичными, есть те из них, которые вы можете получить только в рамках информационного обмена. Поэтому если вы еще не подключены к этому обмену, рекомендую вам это сделать.

14. Повышение квалификации. Центральный банк взял под свое крыло тему повышения квалификации в сфере ИБ и разрабатывает ряд типовых программ как для рядовых сотрудников, так и для руководителей служб информационной безопасности в финансовом секторе. Но самое интересное – это создание системы независимой аттестации и сертификации специалистов ИБ. Эта тема будет разработана в перспективе трех лет, но к этому стоит готовиться.

15. Тема цифровой экономики. Она, на мой взгляд, непроработанная, примерно как и документы по критической инфраструктуре. Я увидел несколько серьезных пунктов в программе цифровой экономики, на которые хотел бы обратить ваше внимание. Во-первых, это разработка дорожной карты перехода всего российского интернета на российскую криптографию. Второе – это процедура обязательной оценки соответствия компонентов платежной инфраструктуры. Третье – тема работы с персональными данными. Вводится интересная норма: все операторы персональных данных обязаны либо иметь финансовую гарантию ответственности, связанной с инцидентами персональных данных, либо страховать свои риски.

16. В заключение я хочу сказать то, что лично мне не удалось услышать в рамках Уральского форума. Это тема персональных данных. Также отсутствует позиция ФСТЭК в отношении тематики критической инфраструктуры. И последняя тема, которая не была озвучена, – это вещи, связанные с СКЗИ (система криптографической защиты информации. – Прим. ред.).