Как выполнить новые требования ЦБ РФ по защите информации при осуществлении онлайн-операций

1 октября 2022 года вступили в силу новые требования ЦБ РФ по защите информации при осуществлении онлайн-операций — указание Банка России № 683-П

Эксперт по вопросам информационной безопасности, Сергей Викторович Вихорев, дал разъяснения на этот счет.

С одной стороны, требования «новые», так как вступили в силу недавно. С другой – о них давно было всем [заинтересованным] хорошо известно, а значит, было время подготовиться.

Клиентам разрешили самостоятельно устанавливать в банке, в котором они обслуживаются, запрет на онлайн-операции либо ограничивать их параметры. В связи с этим, Банк России издал указание от 18.02.2022 № 6071-У «О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». То есть, как ни крути, а все упирается в Постановление № 683-П.

Ключевым моментом этих нововведений, на что обязательно нужно обратить внимание – пункт 5.2.1 Постановления № 683-П дан в новой редакции. Согласно этой новелле, «технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций[1]». Проще говоря, для дополнительной защиты клиентов от действий кибермошенников с 1 октября этого года банки обязаны проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции.

Но это только декларация, а как это сделать на практике? Ответ, наверное, можно найти в рекомендациях ФСТЭК России[2]: «Идентификация устройств в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, MAC-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства».

Достаточно ли этого? Даже идентифицировав компьютер клиента тем или иным способом, банк не может быть уверен в том, что на этом компьютере нет ничего лишнего, что может навредить информационной системе самого банка. Ведь компьютер клиента банка расположен неизвестно где, администрируется неизвестно кем, ранее был подключен неизвестно к какой сети, чем заражен – неизвестно и еще много–много чего не известно. А администратор безопасности банка ничего проверить не может: территория и зона ответственности – не его, он сюда доступа не имеет. При использовании технологий удаленного доступа в полный рост встает проблема не только идентификации самого пользователя, но и оценки доверия к тому устройству, на котором пользователь проводит процедуру идентификации – аутентификации – авторизации.

Администратор безопасности банка должен иметь инструмент, позволяющий определить, что подключаемое к системе устройство действительно то, которое принадлежит клиенту и что этому устройству можно доверять. На рынке отечественного программного обеспечения в сфере информационной безопасности такие решения существуют. Наша компания является разработчиком  подходящего этим требованиям решения, а потому мы знаем, о чем говорим.

Соответствующее ПО, наряду с процедурами идентификации устройства, с которого совершается вход в систему банка, должно реализовывать концепцию априорного мониторинга рабочего места пользователя. В процессе такого мониторинга собирается информация об управляемом объекте, сопоставляется с заранее определенными параметрами и в случае выявления отклонений, принимается решение о корректирующих воздействиях. Система мониторинга работает как бы в триггерном режиме: есть отклонения от установленных параметров – принимается решение о применении корректирующего воздействия, нет отклонений – все нормально.

Сейчас подразделениям безопасности заинтересованных компаний и банков нужно внимательно отнестись к описанной выше задачи и оперативно принять меры, если они еще не приняты.

Материал подготовлен компанией ИТ-Экспертиза, специализирующейся, в том числе, на вопросах информационной безопасности предприятий. Ссылка: https://it-expertise.ru/service/sakura/

[1] Указание от 18.02.2022 № 6071-У, п. 1.2

[2] Методический документ. Меры защиты информации в государственных информационных системах. (утв. ФСТЭК России 11.02.2014), мера ИАФ.2