За что Банк России может наказать банки при проверке ИБ

"И рассказать бы Гоголю

Про нашу жизнь убогую, —

Ей-богу, этот Гоголь бы нам не поверил бы"

В.Высоцкий

“Городничий. Я пригласил вас, господа, с тем чтобы сообщить вам пренеприятное известие: к нам едет ревизор.

Аммос Федорович. Как ревизор?

Артемий Филиппович. Как ревизор?

Городничий. Ревизор из Петербурга, инкогнито. И еще с секретным предписаньем.

Аммос Федорович. Вот те на!

Артемий Филиппович. Вот не было заботы, так подай!

Лука Лукич. Господи Боже! еще и с секретным предписаньем!

Городничий. Я как будто предчувствовал: сегодня мне всю ночь снилось…”

…что в понедельник начинается проверка ЦБ по ИБ.

Такая ситуация, описанная Гоголем в “Ревизоре”, вполне может случиться в наше неспокойное время в любом пока-ещё-живом банке.

Предвидя неизбежность проверки и почитав утренние заголовки газет (типа: “ЦБ впервые оштрафует два банка за отсутствие систем антифрода”, “ЦБ будет штрафовать банки за слабую киберзащиту” и проч.), безопасники из разных банков на своих интернет-форумах начинают усиленно обмениваться информацией о прошедших проверках Банка России по направлению “Информационная безопасность”.

Выглядит это в онлайн-междусобойчиках примерно так.

ВечноСомневающийся: господа-товарищи, у кого уже была проверка, подскажите, чего от нас хочет ЦБ при проверке ИБ? Сегодня экстренно сообщили о начале проверки…

На какие требования нормативки обращают особое внимание?

Какие внутренние документы банка по ИБ могут потребоваться для предоставления проверяющим?

ПугающеУверенный: проверяют, как правило, по 382-П (список вопросов во вложении). При проверке нужно вести себя спокойно... К концу проверки проверяющих начинает поджимать время, а 382-П - нехилый такой документ и они могут проскочить часть пунктов чисто по факту уже предоставленных банком свидетельств о выполнении требований. Но сначала всё бодро - проверяют по каждому пункту.

УгнетающеНачитанный: Берут оценку соответствия по 382-П с вашими обоснованиями оценки по каждому пункту и проверяют, как оно на самом деле.

У нас еще дополнительно проверяли АРМ КБР.

ВечноСомневающийся: Ну, то есть, по сути, это тот же аудит по 382-П…

Весёлую жизнь нам устроили регуляторы, не знаешь за какую отчетность хвататься: по PCI DSS? по 382-П? по ГОСТу? по 683-П? по 672-П? по СТО БР? По 552-П? По 187-ФЗ? По биометрии? По антифроду? А есть же ещё отчетность по чёрте-когда-придуманным формам ЦБ: 202, 203, 205, 258… Как работать?

ПугающеУверенный: Им бесполезно что-то доказывать, руководствуясь здравым смыслом.

УгнетающеНачитанный: Вывод простой, надо заранее готовиться и подбирать материалы.

Итак, начинаем готовиться. В октябре 2019 года на сайте ЦБ был опубликован важный документ: “Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 01.09.2018 – 31.08.2019 (ссылка на отчет). В отчете ФинЦЕРТа есть раздел “Контрольно-надзорная деятельность ФинЦЕРТ”.

 Из Отчета центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 1.09.2018 – 31.08.2019

Результаты проверок (самые частые нарушения при проверке ИБ банков по тематике информационной безопасности и информационных технологий – курсив мой).

За период с сентября 2018г. по август 2019г. включительно по тематике информационной безопасности и информационных технологий были организованы 122 проверки субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций).

Общая картина после проверок 122-х субъектов кредитно-финансовой сферы (кредитных организаций, некредитных финансовых организаций)

1. По результатам указанных проверок выявлено 694 нарушения федеральных законов Российской Федерации, нормативных и иных актов Банка России:

8 нарушений требований федеральных законов, таких как федеральные законы № 161‑ФЗ, № 395-1, № 325‑ФЗ;

447 нарушений требований Положения Банка России № 382‑П, в том числе:

––53 нарушения в части необеспечения регистрации действий при осуществлении доступа работников к защищаемой информации и действий, связанных с назначением и распределением прав доступа к защищаемой информации, отсутствия необходимых внутренних документов (пп. 2.6.3);

––52 нарушения в части отсутствия технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники (пп. 2.7.1);

––34 нарушения в части необеспечения использования технических средств защиты информации от воздействия вредоносного кода различных производителей на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств (пп. 2.7.3);

––31 нарушение в части несанкционированного расширения прав доступа работников к защищаемой информации (назначение из‑лишних прав доступа) (пп. 2.6.4);

––14 нарушений в части отсутствия учета и контроля состава программного обеспечения, установленного на средствах вычислительной техники (пп. 2.10.1).

5 нарушений требований Положения Банка России № 672‑П, в том числе 4 нарушения, связанных с необеспечением надлежащей защиты электронных сообщений при их передаче в Банк России (п. 14.3).

6 нарушений требований Положения Банка России № 684‑П, в том числе:

––3 нарушения в части недоведения до клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники (п. 2);

––3 нарушения, связанных с невыполнением требований технической документации при использовании СКЗИ (п. 3).

96 нарушений требований Положения Банка России № 552‑П, в том числе:

––14 нарушений в части невыполнения требований эксплуатационной документации на СКЗИ и АРМ КБР (п. 2.4);

––12 нарушений, связанных с невыполнением процедур идентификации, аутентификации и авторизации при логическом доступе работников к участку платежной системы Банка России с использованием персонифицированных уникальных учетных записей (п. 4.1);

––8 нарушений в части необеспечения срока хранения информации систем видеонаблюдения и контроля доступа в течение не менее трех лет (п. 3.4).

61 нарушение требований иных документов Банка России (положений Банка России № 242‑П, № 471‑П, Указания Банка России № 2831‑У).

71 нарушение положений стандарта Банка России СТО БР ИББС-1.0-2014, в том числе:

––6 нарушений в части несоблюдения принципа предоставления работникам минимально необходимых для выполнения их служебных обязанностей прав и полномочий (пп. 7.2.1);

––10 нарушений, связанных с конфликтом интересов при совмещении функций разработки и сопровождения, разработки и эксплуатации, сопровождения и эксплуатации АБС / ПО , функций администратора системы и администратора информационной безопасности, выполнения операций в А БС и контроля их выпол‑нения (пп. 7.2.3);

––5 нарушений в части невыполнения правил и процедур управления предоставлением / отзывом и блокированием доступа к информационным активам Банка, блокирования сеанса доступа после установленного времени бездействия (пп. 7.4.3);

––10 нарушений в части отсутствия средств антивирусной защиты на автоматизированных рабочих местах (АРМ) или серверах АБС, а также в части невыполнения регулярного обновления средств антивирусной защиты (пп. 7.5.1);

––9 нарушений в части использования одного и того же средства антивирусной защиты на серверном оборудовании и рабочих станциях (пп. 7.5.6).

Руководствуясь здравым смыслом, смотрим соответствующий раздел по проверкам кредитных и некредитных организаций в Отчете ФинЦЕРТ и делаем соответствующие выводы.

P.S. Ну, и в заключение анекдот: начинающий специалист по ИБ знает наизусть все требования ЦБ при проверке ИБ, а опытный - проверяющих.