ОСНОВНЫЕ НАПРАВЛЕНИЯ РАЗВИТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ - СКОБЕЛКИН ДМИТРИЙ ГЕРМАНОВИЧ ЗАМЕСТИТЕЛЬ ПРЕДСЕДАТЕЛЯ БАНКА РОССИИ

Страница создана Алихан Широков
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
ОСНОВНЫЕ НАПРАВЛЕНИЯ РАЗВИТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ - СКОБЕЛКИН ДМИТРИЙ ГЕРМАНОВИЧ ЗАМЕСТИТЕЛЬ ПРЕДСЕДАТЕЛЯ БАНКА РОССИИ
ОСНОВНЫЕ НАПРАВЛЕНИЯ РАЗВИТИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СКОБЕЛКИН ДМИТРИЙ ГЕРМАНОВИЧ
ЗАМЕСТИТЕЛЬ ПРЕДСЕДАТЕЛЯ БАНКА РОССИИ

2019 г.
2

Цифровая трансформация                                                          Глобальный ландшафт рисков*

                                                                                                                 Кибератаки
                    Цифровая трансформация увеличивает
                    качество,    скорость   и    доступность        Последствия
                    взаимодействия клиентов с финансовым
                    сектором, снижает стоимость услуг, а также
                    создает дополнительные риски как для
                    финансовых организаций, так и для их
                    клиентов.
                                                                                                   Вероятность
                                                                                   *World Economic Forum Global Risks Perception Survey 2018–2019
                                                                                    (The Global Risks Report 2019. 14th Edition.)

   До настоящего времени Банк России не фиксировал
   случаев существенного ущерба системно значимых
   кредитных организаций в результате кибератак

  Риску хищения подвержен объем денежных средств,
  сопоставимый    со   средним    дневным   остатком  по         Известно об инцидентах в сфере информационной
  корреспондентскому счету кредитной организации в Банке         безопасности, которые приводили к нарушению
  России, суммированным со средним дневным приходом по           непрерывности предоставления финансовых услуг и, как
  соответствующему корреспондентскому счету                      следствие, - к росту социальной напряженности
3

   Цель Банка России в области обеспечения информационной
   безопасности организаций кредитно-финансовой сферы

                                                    Целевое        Фактическое       Целевое        Фактическое    Целевое
        Наименование целевого показателя            значение       значение за       значение       значение за    значение
                                                   на 2017 год       2017 год       на 2018 год       2018 год    на 2020 год

      Уровень доверия*                                30%              40%              60%               70%        80%
      Доля объема несанкционированных
      операций в общем объеме операций,
                                                     0,005%          0,0016%          0,005%          0,0018%       0,005%
      совершенных    с   использованием
      платежных карт

                 Показатель доли объема несанкционированных операций в общем объеме операций, совершенных с
                 использованием платежных карт, не должен превышать 0,005%

* уровень доверия клиентов и контрагентов финансовых организаций к безопасности реализуемых электронных
  платежных сервисов
4

Регулирование вопросов защиты информации на финансовом рынке
                                    Полномочия Банка России
Предпосылки и драйверы
                                   Законодательно закреплено
  Тенденции и скорость              Регулирование вопросов по защите
  развития сферы цифровых           информации при осуществлении
  финансовых услуг                  переводов денежных средств

                                    Регулирование вопросов по защите
  Активная позиция по               информации при осуществлении
  стимулированию развития           банковских операций
  финансовых технологий в
  масштабах государства             Регулирование вопросов по защите
                                    информации при осуществлении
  Новые полномочия                  финансовых операций
  Банка России по
  обеспечению ИБ на                 Регулирование   вопросов      по
  финансовом рынке                  информационному обмену
                                 Область регулирования и контроля
  Защита потребителей                Субъекты национальной
  финансовых услуг от потерь в       платежной системы
  случае реализации                                                    На платформе АСОИ создана и введена в тестовую эксплуатацию
                                     (осуществляющие переводы           база данных об операциях по переводу денежных средств без
  информационных угроз               денежных средств)                          согласия клиента – система «Фид-Антифрод»
                                     Кредитные организации
  Интеграция показателей             (осуществляющие банковские             В информационном обмене через АСОИ ФинЦЕРТ участвуют:
  киберриска в состав                операции)                         437 кредитных организаций
  основных рисков                    Финансовые организации            39 небанковских кредитных организаций
  финансовых организаций             (осуществляющие финансовые        (расчетных небанковских кредитных организаций)
                                     операции)                         77 страховых организаций
                                                                       63 иных организаций
                                     Инновационные
                                     финансовые технологии
5

Нормативное регулирование

          Право     принятия    Банком     России   Противодействие    мошенничеству    в
          решений         по        внесудебному    финансовой сфере через выстраивание
          блокированию:                             единого    канала обмена  данными   о
          - фишинговых сайтов                       мобильном устройстве, абоненте номера
          - сайтов, связанных с осуществлением      мобильного телефона между операторами
            незаконной финансовой деятельности      связи и банками
                                                    Регулирование        требований       по
          Право применения обеспечительных          применению цифровых технологий на
          мер по досудебному блокированию           финансовом рынке с учетом требований
          сайтов, связанных с распространением      безопасности     (цифровые   финансовые
          вредоносного ПО                           активы, искусственный интеллект, большие
                                                    данные, киберфизические системы, системы
                                                    распределенного реестра)
          Применение цифровых финансовых            Совершенствование         механизмов
          активов    в    условиях     цифровой     использования              усиленной
          трансформации     через   установление    квалифицированной        электронной
          Банком России соразмерных требований к    подписи       и     законодательства,
          информационной безопасности и защите      регулирующего           деятельность
          информации                                удостоверяющих центров
Основные элементы информационной безопасности                                                                       6

                     Уровни ИБ                  Методологическая составляющая                              Надзорная составляющая
                                                     домен УР – управление киберриском                     Надзор   подразделений     ИБ
                                                                                                           Банка России

                                 инфраструктуры по
Инфраструктурный

                                   комплексу ГОСТ
                                                     домен ЗИ – защита информации
                                                     домен ОН – обеспечение операционной надежности
    уровень

                                       Защита
                                                     домен УА – управление киберриском при                 Система внешнего аудита
                                                     аутсорсинге и использовании сторонних
                                                     информационных сервисов
                                                     домен УИиСО – управление инцидентами ИБ и
                                                     ситуационная осведомленность

                                 ► ГОСТ Р ИСО/МЭК 15408-3-2013 – критерии оценки                          ► Анализ           уязвимостей
приложений

                                   безопасности   информационных      технологий,                           приложений,    критичных с
  Уровень

                                   компоненты доверия к безопасности                                        точки     зрения      наличия
                                                                                                            уязвимостей (сертификация):
                                                                                                              - приложения клиентов
                                 ► Профиль защиты для оценки                         уязвимости       в       - фронт-приложения
                                   банковских приложениях                                                 ► Сертификация ФСТЭК России
                                 ► Обеспечение    целостности    информации   на
                                   технологических участках ее обработки
Уровень технологии

                                 ► Протоколирование действий на технологических
 обработки данных

                                                                                                          ► Анализ показателей уровня
                                   участках                                                                 риска   по   операциям   на
                                 ► Взаимодействие    с   клиентами    финансовых                            технологических участках
                                   организаций
                                 - идентификация клиентов                                                 ► Анализ          показателей,
                                 - получение подтверждения финансовых (банковских) операций
                                                                                                            формируемых     на   основе
                                 - направление уведомлений о совершенных операциях
                                                                                                            претензионной работы
                                 ► Ведение баз данных об инцидентах ИБ, в том
                                   числе на основе претензионной работы
Риск-ориентированный подход. Формирование системы показателей                      7

Показатели операционной стабильности
                                                                              Источники
                                                                 - регулярная отчетность об
                                          Показатели               инцидентах
                                          защищенности
                                          инфраструктуры         - результаты проверок
                                                                   подразделениями ИБ Банка России

                                            Показатели           - результаты проверок
                                            защищенности           подразделениями ИБ Банка России            Состав
                                            приложений                                                     операционных
                                                                                                              рисков
                                                                                                            финансовых
                                                                 - протоколирование действий на             организаций
Показатели финансовой стабильности

                                              Показатели           технологических участках
                                              риска по
                                                                 - информация, содержащаяся в
                                              операциям            базах данных

                                        показатели, характеризующие уровень несанкционированных финансовых операций

                                        показатели , характеризующие непрерывность предоставления финансовых услуг

                                        показатели, характеризующие финансовые потери клиентов финансовых организаций
Банк России – лидер в области обеспечения информационной безопасности                                                                            8

                                         Межведомственное                                          Программа
    Стандартизация
                                          взаимодействие                                      «Цифровая экономика»

     Организация работы                      Центр организации                                 По вопросам информационной
    подкомитета № 1 ТК 122              межведомственной работы по                           безопасности между организациями
                                       обеспечению ИБ на финансовом                             кредитно-финансовой сферы
Участие в работе международных                     рынке
                                                                                              - развитие значимых платежных систем и
 организаций по стандартизации                                                                обеспечение их информационной безопасности и
                                       Межведомственная рабочая группа                        киберустойчивости    (использование     российской
- ISO (Международная                   при участии представителей                             криптографии);
организация по стандартизации)         - МВД России
                                                                                              -   формирование     подходов     к   обеспечению
                                                                                              информационной безопасности и киберустойчивости
- ITU (Международный союз              - ФСТЭК России                                         инновационных          технологий         (трендов)
                                                                                              (искусственный      интеллект,
электросвязи)                          - ФСБ России
                                                                                              киберфизические      системы,
                                                                                                                                   Big       Data,
                                                                                                                                 распределенные
                                       - Минкомсвязи России
- IEC (Международная                   - Росфинмониторинга
                                                                                              реестры, Интернет вещей и другие);
                                                                                              - подготовка компетентных кадров в сфере
электротехническая комиссия)           - кредитных организаций                                информационной безопасности и киберустойчивости
                                                                                              для организаций кредитно-финансовой сферы

Подготовка кадров в                          Международное                                   Взаимодействие с международными
     сфере ИБ                                взаимодействие                                    организациями по вопросам ИБ
          Разработка               -   Взаимодействие с центральными банками (национальными банками) иностранных государств по
                                       вопросам обмена информацией о киберугрозах и укрепления кибербезопасности при предоставлении финансовых
       учебных программ                услуг (Банк Италии, Банк Испании, Банк Турции, Гражданский кооперативный банк Индии);
                                   -   Взаимодействие с регуляторами государств - членов Евразийского экономического союза
- переподготовка специалистов и        («Интеграционное сотрудничество»);
руководителей подразделений ИБ     -   Взаимодействие с международными командами реагирования на инциденты, проведение стресс-
- программы бакалавриата и             тестирований и киберучений (Международное сообщество команд реагирования на инциденты, Европейская
специалитета                           команда по реагированию на инциденты, связанные с банкоматами, Корпорация по управлению доменными именами и
                                       IP-адресами, Международное сообщество команд реагирования на компьютерные инциденты, группы реагирования на
- переподготовка на базе ведущих       компьютерные инциденты Израиля, Испании, Скандинавского региона, Болгарии, Индии, Нидерландов, Японии)
вузов
- аттестация специалистов
СПАСИБО
ЗА ВНИМАНИЕ

Пункт приема корреспонденции:
Москва, Сандуновский пер., д. 3, стр. 1, телефон +7 495 621-09-61
Почтовый адрес: 107016, Москва, ул. Неглинная, д. 12
Контактный центр: 8 800 250-40-72, +7 495 771-91-00
Факс: +7 495 621-64-65, +7 495 621-62-88
Сайт: www.cbr.ru
Электронная почта: fps@cbr.ru
Вы также можете почитать