Предупреждая атаки

О том, какие регуляторные инициативы в области информационной безопасности приняты в 2017 году и ожидаются в 2018-м.

С 1 января 2018 года вводится в действие национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безо­пасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер» (утвержден приказом Росстандарта от 8 августа 2017 года № 822-ст). Обязательность применения данного стандарта предполагается установить с 2019 года.

Планируется, что в 2018 году вступят в силу несколько указаний.

1. Указание Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за обеспечением требований к обеспечению защиты информации при осуществлении переводов денежных средств», в котором:

• устанавливается обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по использованию для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в соответствии с законодательством Российской Федерации на отсутствие уязвимостей или в отношении которых проведен анализ уязвимостей (вступление в силу с 1 января 2020 года);

• устанавливается обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по осуществлению информирования Банка России по установленной форме о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, о планируемых мероприятиях по раскрытию информации о них (вступление в силу с 1 июля 2018 года);

• уточняется порядок оценки соответствия информационной безопасности субъектов национальной платежной системы в части исключения нормы о самостоятельном проведении оценки соответствия оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, а также установления критериев отбора для сторонних организаций, привлекаемых к проведению оценки соответствия (вступление в силу с 1 июля 2018 года);

• формируются правовые основы для применения средств, обеспечивающих разделение контуров подготовки, и подтверждения распоряжений на перевод денежных средств, в том числе при использовании систем дистанционного банковского обслуживания (вступление в силу с 1 января 2020 года).

2. Указание Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» (вступление в силу с 1 июля 2018 года), в котором:

• исключаются из формы отчетности 0403203 вопросы технической реализации инцидентов защиты информации, указывающих на причины их возникновения, а также обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению сведений о технических способах реализации инцидентов защиты информации;

• устанавливается обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в рамках предоставления отчетности по форме 0403203 включать экономические показатели, к основным из которых относятся:

а) суммы денежных средств, подвергнутых покушению на хищение за отчетный период;

б) суммы несанкционированных переводов денежных средств, по которым наступила окончательность перевода денежных средств;

в) суммы денежных средств, возвращенных оператором по переводу денежных средств клиентам в рамках реализации обязанности, установленной статьей 9 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе»;

г) показатели бесперебойности оказания платежных услуг.

3. Вводится национальный стандарт ГОСТ Р 57580.2–201Х «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (вступление в силу с 1 июля 2018 года), основными целями которого являются:

• установление единых требований к методике и оформлению результатов оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации, установленных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер» и применяемых финансовыми организациями;

• установление способов оценки соответствия;

• определение итоговой оценки соответствия.

4. На рассмотрении в Государственной думе находится проект Федерального закона № 296412-7 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)», основными целями которого являются снижение роста числа несанкционированных операций, совершенных с использованием систем дистанционного банковского обслуживания, а также предотвращение потерь кредитных организаций с банковских счетов юридических и физических лиц.