Обязательные ИТ-проекты: обзор новых требований регулятора

Обязательные ИТ-проекты: обзор новых требований регулятора

2014 г. выдался для банков тревожным: череда отзывов лицензий, угроза вытеснения из страны международных платежных систем, наконец, санкции, ожидание очередного кризиса, рост неплатежей по кредитам. Бизнес очень неохотно инвестирует в развитие ИТ, однако проекты, направленные на обеспечение требований регулятора, представляют исключение.

Новаций в этом году было предостаточно – Центробанк и законодатели не сидели без дела. Регулятор обновил ряд своих документов и выпустил несколько новых; были внесены изменения в федеральные законы, затрагивающие деятельность банков. Поскольку банковское дело стало в наши дни почти ИТ-процессом, то любое изменение в регулировании так или иначе сказывается и на информационных системах, иногда это влияние носит драматический характер, как было, например, при переходе на двадцатиразрядный план счетов, когда в авральном порядке банкам пришлось модернизировать свои системы.

Документ Вступление в действие
СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» 1 июня 2014 г.
СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» 1 июня 2014 г.
РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» 1 июня 2014 г.
РС БР ИББС-2.5-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» 1 сентября 2014 г.
Письмо Банка России от 24 марта 2014 г. № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» 24 марта 2014 г.
Письмо Банка России от 14 марта 2014 г. № 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан» 14 марта 2014 г.
(Изменения) Положение банка России «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (утв. Банком России 19.08.2004 № 262-П) (ред. от 21.01.2014) 21 января 2014 г.
Поправки к 161-ФЗ «О национальной платежной системе» 1 января 2014 г.

Источник: ЦБ РФ, 2014

К счастью, произошедшие в 2014 г. изменения в регулировании носили скорее эволюционный характер, развивая существующие концепции и практики, поэтому революций в банковском ИТ-обеспечении не потребовалось.

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» самым главным событием считает выход новой редакции СТО БР и новый документ в этой серии по жизненному циклу. Кроме того, эксперт отмечает множество других новаций: внесены изменения в 262-П, фактически даны ЦУ по антивирусной защите в 49-Т, изменен порядок предоставления персональных данных должников в рамках цессии, изменен закон о кредитных историях. Также Россия определилась с позицией по FATCA (Foreign Account Tax Compliance Act), теперь определяются банки. Готовится новая редакция 382-П и множество других документов.

Очевидно, что ИТ-службам банков не придется сидеть без дела, ведь каждый новый документ вводит какие-то новые требования, соответствие которым надо сначала проверить, а потом обеспечить.

Стандарт Банка России, новая редакция

Стандарт СТО БР представляет собой комплексный подход к обеспечению информационной безопасности в банковском секторе, он учитывает все направления и требования действующего законодательства. В новой редакции обновлен раздел по защите ПДн, также в область оценки соответствия по стандарту Банка России включены активы, требующие защиты согласно Положению Банка России 382-П.

Елена Козлова, руководитель направления Compliance Центра информационной безопасности компании «Инфосистемы Джет» полагает, что существенных изменений в информационные системы банков новая редакция стандарта не привнесет. Однако появились косвенные требования по применению таких средств, как средства защиты от утечек информации и противодействия мошенничеству. Присоединение к стандарту позволит наиболее разумно подойти к процессу построения системы обеспечения ИБ с учетом требований всех регуляторов в банковском сообществе.

Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch, считает эти изменения своевременными и положительными. ЦБ РФ не только обновил уже порядком устаревший документ (в частности, из-за появления новых требований по ПДн), но и подготовил ряд новых рекомендаций (РС БР ИББС), касающихся управления инцидентами, обеспечения безопасности на всех этапах жизненного цикла разработки приложений и ожидаемые в конце года рекомендации по защите информации от утечки. Наличие таких рекомендаций может существенно помочь специалистам по ИТ и ИБ кредитных организаций РФ при построении и совершенствовании своих систем информационной безопасности.

Павел Федоров, директор департамента аудита банков и платежных систем Digital Security предлагает рассматривать новую версию СТО БР как актуализированную версию СТО БР 2010 г. В СТО БР 2014 г. были включены успешно применяемые на данный момент лучшие практики по ИТ и ИБ. Каких-либо особых требований, с заделом на будущее развитие отрасли ИТ и ИБ, в стандарте не появилось. А это значит, что для тех, кто уже соответствует прежней версии стандарта, особых проблем с переходом на новую версию не возникнет. Надо понимать, что у разных банков разные этапы зрелости ИТ и ИБ. У банков из первой двадцатки влияние на существующие ИТ-системы будет минимальным в силу их достаточной зрелости. У более мелких банков, решивших присоединиться к Стандарту, изменения могут быть существенными. Но так будет происходить в большей степени не из-за появления новой версии СТО БР, а из-за применения стандартизованных требований к своей инфраструктуре. Вне зависимости от размера компании внедрение стандартов безопасности, как правило, приводит к изменениям в инфраструктуре и даже бизнес-процессах. Поэтому для тех, кто только встает на путь соответствия Стандарту, изменения будут значительными.

СТО БР ИББС и 382-П

В новой редакции СТО БР ИББС в перечень активов, защищаемых в первую очередь (п. 7.1.9), добавлена информация, упомянутая в Положении 382-П (п.2.1). Таким образом, мы имеем консолидацию требований по ИБ в едином стандарте, что можно считать позитивным моментом. С другой стороны, наличие двух документов по ИБ может стать источником конфликтов.

Ситуацию поясняет Елена Козлова: «Все активы, указанные в п.7.1.9, необходимо защищать. Вне зависимости от конфликтности одновременного выполнения требований СТО БР и Положения Банка России 382-П, последнее остается обязательным как подзаконный акт федерального закона 161-ФЗ «О национальной платежной системе». Так как требования первого и второго документов более чем на 80% пересекаются, на практике это не вызывает проблем».

Андрей Прозоров полагает «выравнивание» терминов обоих документов очень важным моментом для развития ИБ кредитных организаций. «Специалисты по ИБ могут, выполняя одни требования, автоматически выполнять и положения другого документа, и это правильно. Следующим шагом в гармонизации документов могла бы стать разработка таблицы соответствий (маппинг) требованиям 382-П на СТО БР ИББС-1.0-2014. Хорошо было бы получить такую таблицу от ЦБ РФ, а не делать самостоятельно, хотя это и не сложно», – заключает эксперт.

«Требования СТО БР и 382-П на данный момент гармонизированы между собой, – говорит Павел Федоров. – 382-П направлен на защиту непосредственно платежного процесса, а СТО БР – на защиту всей банковской инфраструктуры и банковских процессов. Надо отметить, что СТО БР создавался, в первую очередь, для использования кредитными организациями, а 382-П предназначался для всех участников НПС. Поскольку внедрение новых технологий в небанковских организациях происходит быстрее, чем в банках, это значит, что в рамках НПС новые технологии будут внедряться быстрее, что приведет к появлению новых угроз безопасности. Поэтому 382-П должен быть максимально актуальным, и его требования должны закрывать эти угрозы. Сейчас уже идут обсуждения изменений, которые будут внесены в 382-П в начале будущего года, и в связи с этим можно утверждать, что 382-П будет развиваться быстрее, чем СТО БР». В банках, которые приняли СТО БР, могут возникнуть проблемы с одновременным выполнением СТО БР и 382-П, и могут возрасти трудозатраты на поддержание соответствия обоим документам.

Безопасность ДБО

Системы ДБО остаются наиболее подверженным атакам злоумышленников элементом информационной системы банка, поэтому их безопасности уделяется повышенной внимание, что нашло отражение в новой редакции Стандарта.

«На самом деле, для тех организаций, которые уделяют достаточно внимания своей информационной безопасности, данные меры не являются неожиданными и/или сложными», – говорит Андрей Прозоров.

Елена Козлова отмечает, что в новой редакции СТО БР в нескольких разделах появились новые косвенные требования по обеспечению ИБ при проведении платежных транзакций. В п. 7.4.4 речь идет об обязательном применении специализированных программных и (или) технических средств для мониторинга ИБ и анализа данных с целью выявления неправомерных или подозрительных операций. Такое упоминание дает явный повод рассматривать применение средств по противодействию мошенническим операциям (antifraud) для обеспечения ИБ в системах ДБО.

«У разных банков разные инфраструктуры и этапы их зрелости, от этого и зависит необходимость внедрения тех или иных мер, – замечает Павел Федоров. – В требовании 7.6.4 указан перечень необходимых средств защиты. Это обязательный минимум, но у каждой организации есть и специфические требования. С большой уверенностью можно сказать, что перечисленные средства защиты известны каждому специалисту ИБ и ИТ, и они внедрены практически во всех банках».

В части, касающейся ДБО, существующие на рынке системы уже выполняют требования п.7.6, поскольку применение указанных в данном разделе мер является распространенной практикой – при разработке ДБО разработчики включают необходимые контроли в ПО.

Новый стандарт – новые правила оценки соответствия

Пока примерно половина финансовых учреждений приняла решение о введении в действие стандарта Банка России по информационной безопасности, а оценку соответствия провело еще меньше. Причем заметно, что банки предпочитают проводить оценку собственными силами, а не заказывать аудит у специализированных организаций, разрыв между этими категориями почти десятикратный.

Распространенность СТО БР ИББС Количество
Число кредитных организаций, зарегистрированных на территории РФ (на 05.09.2014) 1057
Число организаций, принявших решение о введении в действие СТО БР ИББС (на 20.06.2014) 542
Провели оценку соответствия самостоятельно (на 20.06.2014) 306
Провели оценку соответствия силами сторонних организаций (на 20.06.2014) 38

Источник: ЦБ РФ, 2014

В 2014 г. изменились не только сами требования по ИБ, но также и методика оценки соответствия, которая должна теперь выполняться по новым правилам СТО БР ИББС-1.2-2014.

По мнению Елены Козловой, методика оценки изменилась не существенно по сравнению с прошлой редакцией. «Но интерес банков к проведению аудитов и работ по приведению в соответствие со стандартом с выходом его новой версии оживился. Регулярно стали поступать запросы на консультации/разъяснения/комментарии по нововведениям стандарта, а также на проведение проектов по данному направлению», – утверждает эксперт.

Тем не менее, банкам, которые ранее провели оценку соответствия требованиям Стандарта версии 2010 г., нужно быть готовыми к тому, что уровень соответствия ИБ требованиям по новой версии стандарта может оказаться на 1 балл ниже. «Повышение уровня невозможно без совершенствования внутренней нормативной базы по направлениям деятельности ИБ. Поэтому, первое, что нужно будет сделать тем, кто хочет избежать понижения оценок – доработать внутренние политики и процедуры ИБ», – говорит Мария Каншина, старший аудитор отдела безопасности банковских систем компании «Информзащита».

День грядущий

Значимой является разработка ЦБ рекомендаций РС БР ИББС-2.6-2014, которые с 1 сентября 2014 г. вводятся в действие. В отрасли на данный момент существует проблема – разработчики АБС не могут гарантировать написание безопасного кода, а банки не знают, как заставить разработчиков это делать, и как обеспечить безопасное использование АБС. «Теперь появился документ, объясняющий и банкам, и разработчикам, что необходимо для защиты АБС. Он позволит более корректно разделить ответственность между банком и разработчиком в части безопасности АБС на разных уровнях и на всех этапах жизненного цикла», – отмечает Павел Федоров.

Андрей Прозоров обращает внимание на документы, определяющие новые правила по обработке и защите ПДн. А именно: Письмо банка России 42-Т и существенные правки в части ПДн в СТО БР ИББС-1.0. Также ЦБ РФ подготовил проект модели угроз ПДн, согласовал его со ФСТЭК России и ожидает согласования с ФСБ России.

Мировая финансовая система функционирует как единый механизм, подчиняясь не только национальным законодательствам, но и регулирующим документам международного уровня, хотя те и носят добровольный и рекомендательный характер. Разумеется, каждая страна самостоятельно решает, будет ли отвечать ее экономическим интересам очередной международный стандарт, что выражается обычно в довольно долгой процедуре ратификации и введения в действие таких требований.

В полной мере это прослеживается в истории с присоединением России к Базель III, введение которого в действие опять откладывается. Ранее планировалось, что показатель краткосрочной ликвидности Базель III начнет применяться с 1 января 2015 г., но ЦБ перенес срок на 1 июля, учитывая трудности с привлечением капиталов, с которыми столкнулись российские банк. А полный переход российских кредитных организаций на нормативы Базель III должен произойти к 2019 г.

ИТ-системы банков также потребуют модернизации, чтобы отвечать новым требованиям. С 1 января 2014 г. российские кредитные организации уже рассчитывают норматив достаточности капитала Н1 (по Базель II), а в новой редакции требований будет три норматива Н1.0, Н1.1 и Н1.2. Придется также внести изменения в системы риск-менеджмента и в ряд других процессов и систем, что может оказаться для банков накладным. Однако овчинка как правило выделки стоит – если банк может продемонстрировать соблюдение нормативов, то ему будет легче привлекать финансирование на внешних рынках. Роль ИТ в этом весьма высока, так что все расходы, связанные с модернизацией, могут с лихвой окупиться.

Глобализация рынков капитала не только способствует привлечению иностранных инвестиций в инновационные проекты, но и позволяет изобретать различные схемы уклонения от налогов. В целях борьбы с налоговыми преступлениями правительство США приняло специальный закон FATCA (Foreign Account Tax Compliance Act), требующий от финансовых организаций – нерезидентов предоставлять в налоговую службу США информацию об операциях по открытым в них счетам американских резидентов и лиц, ими контролируемых. В этой ситуации все неамериканские банки, в том числе и российские, оказываются между молотом и наковальней. С одной стороны, они должны соблюдать нормы своего национального законодательства, например, закон о банковской тайне, который не предусматривает передачи информации о клиентах банка властям иностранного государства. С другой стороны, если банк не присоединяется к FATCA, к нему могут быть применены санкции (от 30-процентных штрафов, удерживаемых с него присоединившимися к FATCA банками-контрагентами за рубежом, до закрытия ими его корсчетов). 30 июня президент Владимир Путин подписал закон, требующий от российских банков сообщать информацию об американских счетах в Налоговое управление США (IRS), при этом издержки на комплаенс по американским нормам лягут на кредитные учреждения. Хотя FATCA вызывает много критики, как попытка нарушения финансового суверенитета России, тем банкам, которые настроены работать на международных рынках, скорее всего, придется подчиниться.

Станислав Макаров

Вернуться на главную страницу обзора