Проблематику ИБ нужно рассматривать в комплексе

Иван Янсон
заместитель руководителя
службы информационной безопасности
ОАО "Промсвязьбанк"

- Иван Андреевич, расскажите, пожалуйста, какая проблема с точки зрения ИБ стоит перед банковской отраслью, и конкретно перед ОАО "Промсвязьбанк" наиболее остро?
- Если говорить о проблемах ИБ, то нужно остановить свое внимание на разных аспектах . обеспечения ИБ, так как проблематику информационной безопасности важно рассматривать в комплексе.

В целом проблемы можно разделить на следующие два больших класса: с одной стороны, существуют проблемы соответствия требованиям законодательства либо требованиям тех или иных регуляторов, а с другой - есть проблемы, связанные с высокими рисками реализации тех или иных современных актуальных угроз.

В первом случае банк обязан выполнить определенные действия, так как в противном случае он может столкнуться с риском применения к нему санкций со стороны уполномоченных регуляторов. Кстати, невыполнение требований законодательства, помимо санкций, несет, как правило, и репутационные риски, так как информация об их применении снижает доверие со стороны клиентов к кредитной организации, а также и риски использования этих несоответствий (как своего рода брешей) в правовом поле недобросовестными клиентами и мошенниками.

Во втором случае вопросы ставит сама жизнь, ведь развитие тех или иных технологий, их внедрение в процесс обслуживания клиентов или во внутренние процессы в банке приводят к появлению новых уязвимостей, которые требуют новых процедур и средств защиты.

- Какие же технологии и разработки предлагаются на рынке для решения этих проблем?
- Здесь речь, скорее, должна идти не о технологиях и разработках, а о способах их решения.

Если говорить о проблемах первого типа, то в настоящее время наиболее животрепещущими являются вопросы соответствия законам "Об электронной подписи", "О национальной платежной системе" и новой редакции закона "О персональных данных".

Практически каждая кредитная организация использует для обслуживания клиентов системы типа "клиент-банк", которые не обходятся без применения тех или иных видов электронной подписи, поэтому очевидно, что приведение в соответствие новому закону "Об электронной подписи" этих систем является насущной задачей каждого банка.

- Что необходимо сделать для выполнения данной задачи?
- В первую очередь необходимо привести в соответствие понятийный аппарат, определив, к какому типу электронной подписи относятся уже используемые в системах подписи. Во-вторых, важно проверить, все ли свойства, установленные для выбранного типа электронной подписи, выполняются в конкретном случае, и запланировать мероприятия для обеспечения этих свойств.

В-третьих, с учетом первых двух моментов необходимо изменить договорные документы и обеспечить их подписание со всеми клиентами.

С учетом того, что согласно первой редакции закона 63-ФЗ "Об электронной подписи" старый закон № 1-ФЗ "Об электронной цифровой подписи" должен был утратить силу с 1 июля 2012 г., задача обеспечения соответствия закону "Об электронной подписи" была самой приоритетной, так как при ее невыполнении проведение операций в системе клиент-банк могло оказаться после 1 июля 2012 г. вне правового поля, что позволило бы недобросовестному клиенту при определенных условиях оспаривать совершенные операции. Согласно закону от 10 июля 2012 г. №108-ФЗ срок отмены действия старого закона был перенесен на 1 июля 2013 г., тем самым созданы более комфортные временные условия для выполнения перехода в правовое поле нового закона, но при этом актуальность самой задачи никоим образом не снижена.

Следует отметить, что при решении задачи соответствия закону "Об электронной подписи" желательным является формирование не только тактического, но и стратегического плана и вектора развития, не только учитывающего задачу достижения соответствия как таковую, но и учитывающего при этом вопросы развития бизнеса банка. Например, внедрение в системы клиент-банк квалифицированной электронной подписи может быть таким стратегическим ориентиром для банка, достижение которого в перспективе может позволить получить определенные бизнес-преимущества (например, позволит без предварительного заключения отдельных соглашений расширять круг сделок и операций, совершаемых через системы ДБО), а также усилить безопасность банка.

При законодательном регулировании проблема соответствия часто связана с достаточно большим числом субъектов или причастных сторон такого регулирования, которое не позволяет сразу применить все положения закона. На все нужно время. В случае закона "Об электронной подписи" банк зависит и от поставщиков средств ЭП и программных средств удостоверяющих центров, а также от организаций, оказывающих услуги удостоверяющих центров. Поставщикам программных средств ЭП и УЦ необходимо время на их приведение в соответствие закону и требованиям уполномоченных законом регуляторов; организациям, оказывающим услуги УЦ, также необходимо время на аккредитацию и на внедрение новых процессов согласно закону и подзаконным требованиям. Поэтому пока что использование упоминавшейся квалифицированной ЭП невозможно по причине неполной готовности внешней по отношению к банку среды. Упоминавшийся перенос срока отмены старого закона, по сути дела, является естественным корректирующим действием (своего рода обратной связью) со стороны законодателей, нацеленным на обеспечение возможности реального выполнения положений нового закона.

- А что насчет законов "О национальной платежной системе" и "О персональных данных"?
- Закон от 27 июня 2011 г. №161-ФЗ "О национальной платежной системе" сейчас наиболее горячо обсуждается в банковском сообществе. Причиной тому является, с одной стороны, приближение сроков начала обязательного выполнения некоторых существенных его положений, а с другой стороны, недавнее опубликование Центральным банком подзаконных актов, изданных во исполнение данного закона, а именно Положения от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и Указания от 9 июня 2012 г. № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

К упомянутым существенным положениям закона относятся положения об информировании клиентов об операциях, об ответственности оператора по переводу денежных средств в случае использования неуполномоченным лицом электронного средства платежа и об обязанности оператора по доказыванию нарушения клиентом физическим лицом порядка использования электронного средства платежа, в случае совершения операции без согласия клиента.

Указанные требования становятся обязательными для исполнения с 30 декабря 2012 г., и в том числе они касаются систем клиент-банк, о которых мы говорили выше.

Здесь как раз уместно напомнить о необходимости комплексного рассмотрения требований ИБ, порождаемых законодательством, регуляторами и просто новыми вызовами жизни. Мы упомянули, что необходим пересмотр договорной базы в связи с законом "Об электронной подписи". Очевидно, что закон "О национальной платежной системе" тоже требует внесения корректив, и естественным будет по возможности объединение соответствующих работ, чтобы не заниматься переделкой договоров дважды и облегчить и гармонизировать введение новых положений как для банка, так и для его клиентов.

Что касается подзаконных актов, то здесь ситуация следующая. Положением № 382-П закреплен ряд требований по обеспечению защиты информации при осуществлении переводов денежных средств, а также порядок оценки соответствия этим требованиям и документирования ее результатов. Данный документ выполнен в духе преемственности разработанному отраслевому подходу, закрепленному в комплексе документов Банка России, по обеспечению информационной безопасности в кредитно-финансовой сфере, является эволюционным и не содержит каких-либо неожиданных для кредитных организаций положений.

Согласно Указанию № 2831-У операторы платежных систем, операторы услуг платежной инфраструктуры, операторы по переводу денежных средств должны ежемесячно направлять в Центральный Банк отчетность о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, закрепленных в Положении № 382-П. Первая отправка таких отчетов была осуществлена в августе 2012 г. за июль 2012 г. Кроме того, Указанием № 2831-У устанавливается порядок направления отчета об оценке соответствия требованиям по обеспечению защиты информации при осуществлении переводов денежных средств.

В части, касающейся новой редакции закона № 152-ФЗ "О персональных данных", банкам пока что остается ожидать появления нормативно-правовых актов от уполномоченных регуляторов - ФСБ и ФСТЭК.

Среди вызовов жизни можно отметить проблему, касающуюся хищений все в тех же системах дистанционного банковского обслуживания. Эта тема бурно развивается. С одной стороны, мошенники совершенствуют инструменты нападения, с другой - производители систем ДБО и сами банки развивают технические средства защиты от атак, развиваются средства мониторинга и выявления подозрительных платежей, повышается степень организованности и зрелости взаимодействия сообщества по противодействию мошенничествам, выявляются и формируются инициативы сообщества в законодательном плане и в плане вовлечения в процесс регуляторов и правоохранительных органов.

Если вернуться к теме новых задач регуляторного происхождения в системах клиент-банк, то очевидно, что внедрение новых средств защиты от мошенничества в Интернете в этих системах напрямую связано с формированием процедуры подтверждения сторонами выполнения правил использования электронных средств платежа, которые должны быть нами предусмотрены согласно закону "О национальной платежной системе". То есть получается, что и уровень технического противодействия новым угрозам, связанным с использованием новых технологий, оказывается тесно переплетен с выполнением требований нормативного регулирования.

В заключение отмечу, что все чаще требования регуляторов вырабатываются на основе практического опыта, на основе анализа современных угроз, и тем самым вопросы соответствия регуляторным требованиям перестают быть самостоятельными вопросами, не являются проблемой как таковой, а становятся лишь естественным правовым дополнением к вопросам организационной и технической защиты от этих угроз.