Аналитика и комментарии

03 февраля 2025

Игорь ДУША, НОТА КУПОЛ: Шпаргалка для финансиста – законодательные инициативы в киберпространстве и ИБ

В ответ на рост кибератак на КИИ и утечек персональных данных ФСТЭК России и ЦБ РФ активно выпускают стандарты и регламенты, которые повышают уровень защищенности банковского сектора и ИТ-решений для него. Об актуальных законодательных инициативах и мерах в области информационной безопасности (ИБ), которые следует учитывать участникам финансового рынка, в авторском материале специально для Национального банковского журнала (NBJ) рассказывает Игорь ДУША, директор портфеля решений НОТА КУПОЛ, экосистемы в области информационной безопасности.

Другие правила

ЦБ РФ формирует жесткие требования к защищенности ИТ-систем и регулярно актуализирует нормативные документы. В последние годы регулятор сосредоточился на безопасности разрабатываемого ПО и защите пользователей банков от мошеннических операций.  Например, с 1 июля 2024 года вступил в силу новый стандарт ЦБ, который определяет меры защиты информации при дистанционной верификации клиентов и предписывает банкам обезличивать персональные данные, предотвращая таким образом их использование для кражи денежных средств.

В июне прошлого года Центробанк обновил документ об «Основных направлениях развития информационной безопасности кредитно-финансовой сферы», ‎который будет действовать до конца 2025 года. Регулятор планирует усовершенствовать, например, механизм контроля за операциями, которые совершаются без согласия клиентов. Это упростит возврат похищенных денег и увеличит количество сведений о платежных реквизитах злоумышленников, передаваемых между банками.

В связи с участившимися случаями телефонных вымогательств, ЦБ намерен привлечь к борьбе с мошенничеством операторов связи. Согласно новым требованиям, они должны будут обеспечить взаимную интеграцию собственных антифрод-систем с системами банков, наладив таким образом прямой обмен абонентскими данными между регулятором, финансовыми организациями и сотовыми компаниями. При этом жертвы злоумышленников смогут подавать заявления в полицию через «Госуслуги».

Другая ожидаемая инициатива регулятора, рассчитанная непосредственно на клиентов банков, возможность установить самозапрет на выдачу онлайн-кредитов. Закон уже подписал Президент РФ, он вступит в силу с 1 марта 2025 года.

Регуляторные меры ФСТЭК России

Финсектор оперативнее других исполняет требования закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Чтобы обеспечить безопасность финансовых данных, с прошлого года ФСТЭК России ужесточила контроль и ввела в действие несколько новых стандартов по безопасности финансовых и банковских операций, в частности, по использованию сервисов с применением цифровых отпечатков и управления инцидентами. При нарушении законодательных норм организации могут понести административную или уголовную ответственность, конкретные меры определяются, например, статьей 274 УК РФ.

Кроме того, ФСТЭК России обеспечивает изменения политики, связанные с сертификацией, защитой информации и процессом безопасного создания продуктов у своих лицензиатов. Так, в начале 2024 года был введен новый регламент самостоятельного продления сертификатов при обновлении продуктов. Это нововведение существенно снизит расходы компаний-разработчиков: раньше любое изменение требовало проходить оценку соответствия заново, что обходилось бизнесу в миллионы рублей. Более того, теперь корректировки в ПО будут быстрее доходить до клиентов, что повысит безопасность и улучшит пользовательский опыт.

Ранее, в 2020 году регулятор внес пункт 29.3 в приказ №239, который отражает дополнительные требования к ПО и обеспечению безопасной разработки на объектах КИИ. Изменения начнут применяться с 1 января 2023 года.

С 1 июня 2024 года вступил в силу «Порядок сертификации процессов разработки безопасного программного обеспечения средств защиты информации» ФСТЭК РФ, который предоставляет разработчику право самостоятельно проводить испытания в случае внесения в сертифицированное СЗИ изменений.

Также в 2024 году вышел стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Безопасные облака 

Чтобы справиться с объемами нагрузок и сэкономить средства на закупку и поддержку систем, банки размещают инфраструктуру в облаках. Однако такие технологии требуют дополнительных мер безопасности, в том числе и со стороны регуляторов.

Среди законодательных норм, направленных на защиту облачной инфраструктуры, основной документ — государственный стандарт о безопасности финансовых операций (ГОСТ Р 57580.4-2022). Благодаря принятым ЦБ инициативам клиенты банков смогут не беспокоиться о защищенности хранения и обработки данных при совершении любых денежных операций.

Кроме ГОСТа, один из основных актов, который направлен на сохранность данных в облаках — Федеральный закон РФ №152-ФЗ «О персональных данных». Он регулирует работу с персональными данными, вводит требования по их защите от несанкционированного использования третьими лицами. Согласно закону, каждый банк обязан организовать систему обработки, учета и хранения персданных, внедрить регламенты работы с ними и своевременно отчитаться Роскомнадзору, к примеру, об уничтожении сведений. В конце июля группа сенаторов и депутатов направила в Правительство законопроект о введении оборотных штрафов за несоблюдение требований №152-ФЗ, его принятие подстегнет банки активнее внедрять изменения и тщательнее следить за чувствительными данными клиентов.

К глобальным стандартам, которые защищают облачную инфраструктуру финансовых организаций от утечек также относятся PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт). Российским компаниям все сложнее проходить по ним сертификацию, так как процедуры закупки услуг у иностранных компаний и продление квалификации у российских организаций затруднены. Однако банки продолжают вести свою деятельность в соответствии со всеми требованиями регламентов — это в том числе необходимо для проведения операций на международных рынках.

А вы застраховали киберриски?

О важности предварительной протекции от уязвимостей и утечек законодатели говорили всегда, но юридически оформить такое страхование в обязательном порядке предложили только в 2023 году. Результаты опроса страховых организаций показывают, что сейчас от киберрисков себя ограждают менее 5% компаний. Однако банки и профессиональные участники рынка ценных бумаг больше других готовы превентивно защищать своих клиентов от возможных утечек.

Совет Федерации, который курирует проект по киберрискам, должен четко следить за механизмом взаимодействия страхователя и страхуемого лица, сформулировать единые параметры и требования для заградительных ставок.

Многие эксперты по информационной безопасности не поддерживают идею о страховании абсолютно всех операторов персональных данных: единая процедура, структура и ставки могут повлечь дополнительные риски для самих страхующих организаций. Поэтому специалисты сходятся во мнении, что риски необходимо оценивать индивидуально, исходя из конкретной ситуации в компании. Важно учитывать результаты аудита по информационной безопасности, особенности компаний-операторов персданных, сегмент рынка и виды киберрисков.

Хакеры в белом

Банки зачастую прибегают к помощи этичных, или «белых», хакеров в поиске уязвимостей в ПО. Программы bug bounty, предусматривающие вознаграждение за обнаружение угроз, позволяют финансовым организациям быстро найти слабые места и скрытые угрозы в собственной инфраструктуре и сохранить конфиденциальную информацию миллионов клиентов. В ближайшие месяцы государство намерено перенести деятельность «этичных»‎ хакеров в правовое поле. Новый законопроект предполагает внесение поправок, которые легализуют действия энтузиастов по созданию и использованию вредоносного софта по заданию банка. Инициатива защитит специалистов от всевозможных юридических рисков, поможет банкам сэкономить на масштабных тестированиях инфраструктуры и повысить доступность проверок софта на уязвимости.

Однако нормативные изменения вызывают обеспокоенность у правоохранительных органов. Они опасаются, что поправки помешают наказывать киберпреступников, и выступают против изменений. Пока этичные хакеры, которые во благо взламывают ПО банков без предварительного согласования, продолжают оставаться в серой зоне.

Дополнительные меры регулятора по защите бизнеса финансовых организаций отражаются на их выборе технологий, а значит, вендорам следует учитывать инициативы для большей защищенности создаваемых ИТ-решений. Видение ЦБ, ФСТЭК России и других регуляторов в области безопасной разработки поможет рынку быстрее выпускать необходимое ПО, значительно сократит риски уязвимостей и повысит отказоустойчивость ИТ-продуктов для банков.

Законодательные инициативы в сфере информационной безопасности отражают стремление надзорных органов усилить защиту критической информационной инфраструктуры, банковских операций и пользовательских данных. При этом дополнительные меры регулятора по защите бизнеса финансовых организаций отражаются на их выборе технологий, а, значит, вендорам следует учитывать инициативы для большей защищенности создаваемых ИТ-решений. Комплексная оценка и видение ЦБ, ФСТЭК и других государственных структур поможет рынку быстрее выпускать необходимое ПО, значительно сократит риски уязвимостей и повысит отказоустойчивость ИТ-продуктов для банков.

Читайте NBJ в Telegram
Поделиться: