В марте 2020 г. Банк России разработал государственный стандарт защиты информации финансовых организаций. На новый институциональный механизм информационного управления. обозначенный в этом документе, макрорегулятор будет опираться в своих нормативных актах, обеспечивающих управления рисками в системе обеспечения информационной безопасности. В новом документе утверждено положение об обязательной сертификации средств защиты информации для операторов отечественного финансового рынка. С учетом всех официальных процедур разработанный ГОСТ вступит в силу в 2019 г., поэтому соответствие требованиям по сертификации необходимо обеспечить до конца 2020 г., в том числе, по сертификацим ИСО 14000
Институциональные правила обеспечивают дифференцированный подход при определении уровня защиты информации, которые Банк России будет присваивать для каждой поднадзорной организации. Таких уровней будет три (минимальный, стандартный и усиленный). Определяться эти уровни будут на основе вида деятельности финансовой организации, структуры и состава реализуемых бизнес-процессов и технологических методов управления, объема финансовых операций и других факторов.
Планируемая сертификация необходима с точки зрения обеспечения доверия к инструментам защиты. Основные требования ГОСТа затронут системы информационного управления безопасностью всех российских финансовых компаний вне зависимости от присвоенного им уровня защиты информации. В приложении к разработанному документу, описывающему базовый состав мер по реализации процесса системы защиты информации, содержится требование, чтобы технические меры защиты информации имели сертификат соответствия стандартам Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Финансовые организации, которым присвоен третий уровень защиты информации, (минимальный), должны применять информационные методы управления, сертифицированные не ниже 6-го класса (показатель защищенности от несанкционированного доступа к информации), финансовые компании второго уровня должны обеспечить наличие информационных методов управления не ниже 5-го класса, а организации первого уровня должны применять адаптивные методы не ниже 4-го класса.
По заключению экспертов, для проведения сертификации программного обеспечение на 5-й и 4-й классы, финансовым организациям необходимо предоставить исходный код средств защиты; провести такую операцию для большинства иностранных разработчиков средств защиты сложно. Это связано с ограниченным числом тестовых лабораторий на рынке, способных качественно организовать исследование программного обеспечения по вопросу соответствия требованиям безопасности. Отметим, что сертифицируется только определенная сборка программного обеспечения, поэтому при каждом обновлении системы потребуется проводить сертификацию заново. На современном российском финансовом рынке достаточно сложно постоянно обновлять сертифицированные продукты, что является рисковым фактором для сетевых экранов и антивирусов. В связи с этим, в целях качественного обеспечения информационной безопасности финансовых организаций необходимо разработать сертифицированные системы, устраняющие недочеты программного обеспечения и возникающие риски в оперативном порядке.
Вместе с тем, ограничивающим фактором внедрения таких информационных систем, безусловно, является высокая стоимость этих разработок. Если банк не считает важным для себя заниматься регулированием операционного риска, частью которого является риск ухудшения информационной безопасности, тогда банк должен за это платить. По оценкам экспертов, цена сертификации одного программного продукта составляет около 4 млн руб., при этом в кредитных организациях, которые провели консолидацию активов, число программ информационного управления безопасностью может составлять до 50 наименований [1].
Проблема обеспечения информационной безопасности актуализировалась с развитием систем мобильного банкинга и интернет-банкинга, при которых клиенты банков стремятся дистанционно управлять средствами на текущих и карточных счетах. Информационные системы управления становятся сложнее, требуют дополнительных опций и более надежной защиты от мошенников. Клиенты банков используют смартфоны и планшеты в качестве основной точки выхода в Интернет для серфинга, общения с близкими и проведения денежных операций.
Информационные технологии онлайн-банкинга позволяют клиентам банка чувствовать себя в большей безопасности. Это связано с тем, что при оплате из личного кабинета при операциях интернет-банкинга не требуется вводить данные карты в отличие от страницы интернет-магазина. Риски, связанные с угрозой безопасности хранения денежных средств, выступают ключевым ограничением для расширения использования каналов дистанционного банковского обслуживания.
Риски информационной безопасности в системе электронного обслуживания клиентов связаны также с тем, что современные интернет-банки в большинстве случаев применяют для работы западное иностранное программное обеспечение с закрытым кодом, которое может представлять большую опасность для персональных данных пользователей. Эти риски связаны с возможностью доступа в банковскую систему третьих лиц. В связи с этим, проблема информационной безопасности для развития интернет-банка является приоритетной для регулирования. Подключение критичной инфраструктуры к сети с неограниченным числом пользователей с практически неограниченными возможностями создает риски. Для обеспечения экономической безопасности следует либо отказываться от таких технологий, либо применять максимально надежные меры защиты. полученные на основе инновационных разработок.
Достаточно успешным в области разработки инновационных продуктов является АО «Газпромбанк». Разработка информационно-технологической службы банка по внедрению оплаты проезда бесконтактными картами по маршрутам ГУП «Пассажиравтотранс» подтверждает стремительный рост спроса на информационно-сетевые продукты и технологии. Информационные службы банка займутся созданием валидаторов в автобусах на прием бесконтактных банковских карт. «Газпромбанк» победил в открытом тендере на оказание услуг эквайринга, предложив отчислять комиссионные в размере 2% от стоимости каждой операции, и выиграл у ПАО «Сбербанк», который объявил за услуги цену в 2,1% от транзакции. В результате внедрения проекта проезд в автобусах компании можно будет оплачивать, используя технологию Pay-Pass и PayWave [2].
При проектировании технологии оператора были нацелены на прием всех видов карт, но статистическое исследование показало, что более 60% оплативших использовали именно бесконтактные банковские карты, оборот которых постоянно растет. Согласно техническому заданию, после модернизации валидаторы автобусов смогут принимать к оплате следующие инструменты: карты Visa PayWave, MasterCard PayPass, Maestro PayPass, ПРО100, «Мир»№, а также NFC-устройства ApplePay и Samsung Pay.
В последнее время все большую популярность в системах информа-ционного управления получают облачные ресурсы, значительно вырос парк мобильных устройств, что способствовало вектору развития угроз в данном направлении. Актуализировались вопросы, связанные с отражением таргетированных атак, направленных на конкретные инфраструктурные сегменты. Комплексный подход при атаках на банковский бизнес может привести к отказам по всем направлениям, поэтому и система защиты должна быть комплексной. Сегодня информационными службами банков прорабатываются подходы к построению единой защищенной инфраструктуры. Такая инфраструктура позволит минимизировать риски, возникающие в процессе информационного управления.
Литература
- Сарычева М. Финансовая защита по ГОСТу: ЦБ разработал стандарт в сфере информационной безопасности // Коммерсантъ. 2017. № 58 С. 10. от 5 апреля http://kommersant.ru/doc/3261725.
- Горборукова Л. Газпромбанк внедрит бесконтактную оплату // Коммерсантъ С-Петербург. 2 марта 2017. №36. С. 11.
Смирнов Н.С., старший специалист сектора по техническому обслуживанию банкоматов pos-терминалов отдела информационных технологий Филиал банка АО «Газпромбанк» в г. Ростов-на-Дону