26.06.2019 НСФР совместно с ИнфоТеКС провели Практический семинар по обеспечению защиты информации при осуществлении банковской деятельности и взаимодействии с Единой биометрической системой
В связи с введением новых обязательных требований Банка России по защите информации в кредитных организациях (Положение Банка России от 17.04.2019 № 683-П), а также изменением требований к взаимодействию кредитных организаций с Единой биометрической системой (проект изменений в приказ Минкомсвязи России от 25.06.2018 № 321) НСФР совместно с группой компаний «ИнфоТеКС» 26 июня 2019 года провели Практический семинар «Требования к обеспечению защиты информации при осуществлении банковской деятельности и взаимодействии с Единой биометрической системой».
По традиции мероприятие прошло в Большом конференц-зале издательства «Аргументы и факты» и собрало более 80 представителей участников финансового рынка, а также регуляторов: Департамента информационной безопасности Банка России и Департамента реализации стратегических проектов Минкомсвязи России.
Во вступительном слове Заместитель руководителя НСФР Александр Наумов отметил высокую важность и актуальность вопросов, связанных с обеспечением защиты информации при осуществлении банковской деятельности и противодействием осуществлению переводов денежных средств без согласия клиента, в решении которых кредитным организациям может помочь богатый опыт одного из ключевых технологических партнеров НСФР – ГК «ИнфоТеКС».
Заместитель руководителя Департамента клиентских проектов ОАО «ИнфоТеКС» Владимир Голованов подробно остановился на требованиях действующих и готовящихся нормативных актов Банка России по защите информации и вопросах их реализации на основе положений национальных стандартов, принятых в соответствии с планами Банка России.
Среди прочего докладчик осветил наиболее значимые изменения, внесенные в Положение Банка России от 09.06.2012 № 382-П Указанием Банка России от 07.05.2018 № 4793-У (использование с 01.01.2020 сертифицированных платежных приложений, информирование ЦБ об инцидентах информационной безопасности и оценка соответствия защиты информации с привлечением внешней организации), а также требования нового Положения Банка России от 17.04.2019 № 683-П, согласно которому оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
Следующим шагом, по мнению Владимира Голованова, должно стать распространение требований по защите информации на основе ГОСТ Р на все виды банковской деятельности, а не только на переводы денежных средств.
Руководитель департамента развития услуг и продуктов ОАО «Инфотекс Интернет Траст» Антон Мелузов затронул два вопроса, чрезвычайно актуальных для участников финансового рынка: обеспечение информационной безопасности при подключении к Единой биометрической системе (ЕБС) и применение современных технологий мобильной электронной подписи для взаимодействия с клиентами финансовых организаций.
По мнению Антона Мелузова, основной сложностью, с которой столкнулись банки при реализации взаимодействия с ЕБС, стало не столько собственно использование биометрических технологий для идентификации личности, сколько обеспечение применения для защиты информации при взаимодействии банковских систем с ЕБС средств электронной подписи класса не ниже КВ2, что является беспрецедентным для банковской системы, поскольку указанные средства ранее применялись только для защиты информации в государственных информационных системах.
Для реализации данного требования согласно Методическим рекомендациям Банка России от 14.02.2019 № 4-МР по нейтрализации банками угроз безопасности при сборе и хранении биометрических данных кредитные организации могут разработать собственное решение либо воспользоваться одним из имеющихся на рынке типовых решений. Разработанное компанией «Инфотекс Интернет Траст» специализированное программное обеспечение TrustGate, реализующее взаимодействие с ЕБС, прошло тематические исследования по оценке влияния и входит в типовое решение, которое в настоящее время проходит согласование в органах государственной власти.
Также Антон Мелузов рассказал об актуальном в свете требований Положения Банка России № 683-П (о необходимости применения усиленной электронной подписи при взаимодействии с клиентами) решении «Инфотекс Интернет Траст» в сфере мобильной квалифицированной электронной подписи – IDPoint.
Технология IDPoint реализует полный жизненный цикл сертификатов ключей электронной подписи и позволяет обеспечить массовый выпуск квалифицированных сертификатов электронной подписи для клиентов финансовых организаций и подписание документов без десктопов, криптопровайдеров и токенов – прямо на смартфоне клиента.
Тему исполнения положений нормативных актов Банка России в части обязательного проведения тестирования на проникновение и анализа уязвимостей объектов банковской информационной инфраструктуры продолжил Менеджер по развитию бизнеса ЗАО «Перспективный мониторинг» (входит в группу компаний «ИнфоТеКС») Сергей Нейгер.
Основными элементами тестирования на проникновение, так называемого «пентеста», по мнению Сергея Нейгера, должны стать тестирование сайта кредитной организации (включая сайт интернет-банкинга юридических и физических лиц), мобильных приложений, внешнего периметра, а также проверка осведомленности сотрудников в вопросах обеспечения информационной безопасности. Также следует уделить внимание «пентесту» по модели внутреннего нарушителя. При этом в качестве обязательного условия для проведения «пентестов» должно быть обеспечено разрешение на проведение тестирования со стороны финансовой организации.
Руководитель направления развития продуктов ОАО «ИнфоТеКС» Александр Василенков рассказал про главные киберугрозы в современном мире, среди которых основное место занимают целевые атаки преступных групп, кибермошенничество методами социальной инженерии, включая фишинг, доступ инсайдеров к информации о счетах клиентов, а также представил продукты и решения «ИнфоТеКС» для защиты от указанных угроз.
По словам Александра Василенкова, компания «ИнфоТеКС» достигла такого многообразия продуктов, при котором рядовой пользователь уже затрудняется с правильным выбором необходимых конкретно ему решений. В этой связи докладчик предложил классификацию продуктов «ИнфоТеКС», выделив среди них средства защиты каналов связи, прикладные крипто-сервисы и приложения, средства защиты серверов и рабочих станций, средства электронного документооборота, а также продукты для аналитики угроз, обнаружения и пресечения вторжений.
В заключение семинара участники получили от докладчиков ответы на вопросы по прозвучавшим выступлениям.