10-й Уральский форум: информационная безопасность финансового сектора как задача национального масштаба

12–16 февраля 2018 г. Банк России провел 10-й Уральский форум «Информационная безопасность финансовой сферы». Одной из главных тем, обсуждаемых участниками мероприятия, стала устойчивость финансовой сферы к киберугрозам как неотъемлемая часть цифровой экономики России.

10-й Уральский форум: информационная безопасность финансового сектора как задача национального масштаба

Усиление безопасности: новый департамент ЦБ и обязательный инфообмен банков с ФинЦЕРТ

Открывая Уральский форум, заместитель председателя Банка России Дмитрий Скобелкин рассказал про принятые законодательные документы, которые, по его словам, заложили правовой фундамент для обеспечения информационной безопасности в кредитно-финансовой сфере.

Значимым событием в области информационной безопасности Д. Скобелкин считает вступление в силу в 2017 г. ФЗ № 187 «О безопасности критической информационной инфраструктуры РФ». Согласно положению закона, все информационные и автоматизированные системы, функционирующие в банковской сфере и других сферах финансового рынка, относятся к объектам критической информационной инфраструктуры (КИИ). Также к объектам КИИ будут отнесены отдельные организации, являющиеся системно-значимыми, в их числе банки, платежные системы и другие крупнейшие организации финансового рынка. Показатели критериев значимости для организаций кредитно-финансовой сферы будут установлены постановлением Правительства РФ. Предполагается, что в их основе будет учитываться среднедневное количество операций, осуществляемых субъектами критической информационной инфраструктуры.

«В соответствии с данными показателями к значимым объектам КИИ в кредитно-финансовой сфере могут быть отнесены информационные и автоматизированные системы Банка России, Сбербанка, НСПК, Московской биржи и других финансовых организаций», – пояснил Д. Скобелкин.

Одним из направлений деятельности Банка России в рамках Закона «О безопасности КИИ РФ» является содействие предоставлению данных об атаках на информационные ресурсы РФ в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). ГосСОПКА предусматривает организацию информационного обмена о компьютерных инцидентах между национальным координационным центром компьютерных инцидентов и субъектами КИИ РФ.

53
В 2018 году основной задачей Центра компетенций станет развитие информационного обмена с финансовыми организациями – Дмитрий Скобелкин

По мнению руководства ЦБ, такой обмен в части кредитно-финансовой сферы целесообразно осуществить через отраслевое подразделение регулятора. Как заявил Д. Скобелкин, в том числе для этих целей Банк России в начале февраля 2018 года принял решение создать Департамент информационной безопасности ЦБ, который и возьмет на себя функции отраслевого центра. ЦБ также будет выступать Центром компетенции по информационной безопасности в кредитно-финансовой сфере, основными задачами которого являются:

  • определение потребностей рынка в развитии механизмов киберустойчивости;
  • организация и проведение информационного обмена о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении финансовых операций по определенной технологии и в установленных форматах электронных сообщений;
  • нормативное регулирование вопросов киберустойчивости финансовых организаций;
  • ведение базы данных о выявленных инцидентах, связанных с нарушением кибер-устойчивости финансовых организаций;
  • организация и координация работ по совершенствованию форм и методов взаимодействия финансовых организаций по вопросам обеспечения ИБ и повышению их готовности к противостоянию информационным угрозам.

53-2«В 2018 году основной задачей Центра компетенций станет развитие информационного обмена с финансовыми организациями об инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств», – рассказал Д. Скобелкин.

В настоящее время обмен информацией о киберугрозах участники финансового рынка осуществляют с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) на добровольной основе. После создания Департамента информационной безопасности ФинЦЕРТ станет одним из его подразделений.

Все кредитные организации в обязательном порядке станут участниками информационного обмена с ФинЦЕРТ Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России
Все кредитные организации в обязательном порядке станут участниками информационного обмена с ФинЦЕРТ – Артем Сычев

Как сообщил заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев, процессы взаимодействия ФинЦЕРТ с участниками финансового рынка также ждут изменения. Так, все кредитные организации в обязательном порядке станут участниками информационного обмена с ФинЦЕРТ о рисках и угрозах безопасности после вступления в силу соответствующих изменений в Положение № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

На данный момент обмен информацией с ФинЦЕРТ осуществляют свыше 600 различных организаций. Среди них федеральные органы исполнительной власти, ФСБ, МВД, органы государственной власти ряда субъектов РФ, кредитные и некредитные финансовые структуры, операторы платежных систем, операторы связи, а также разработчики ПО.

Автоматизированная система обмена информацией в режиме реального времени должна заработать на полную мощность к декабрю 2018 года – Артем Калашников
Автоматизированная система обмена информацией в режиме реального времени должна заработать на полную мощность к декабрю 2018 года – Артем Калашников

Зампред ЦБ Д. Скобелкин добавил, что данное взаимодействие будет осуществляться с помощью автоматизированной системы обмена информацией в режиме реального времени, разрабатываемой при участии Банка России. По словам главы центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ Артема Калашникова, она должна заработать на полную мощность к декабрю 2018 года. При этом подключение к системе банков и других участников обмена с ФинЦЕРТ начнется летом 2018 года.

Система сможет принимать до 10 тыс. электронных сообщений участников информационного обмена в сутки. Она станет прямым каналом связи участников информационного обмена с ЦБ и ГосСОПКА.

Банк России как драйвер развития цифровой экономики России

Еще один важный законодательный документ, который выделил Дмитрий Скобелкин, – программа «Цифровая экономика РФ». Она была утверждена распоряжением правительства РФ 28 июня 2017 года и является комплексом мер по трансформации российской экономики, внедрению и использованию инновационных технологий на финансовом рынке, включая совершенствование механизмов обеспечения информационной безопасности.

Программа содержит пять направлений развития цифровой экономики РФ. При этом деятельность Банка России в обозримом будущем определят три из них: нормативное регулирование, информационная безопасность и информационная инфраструктура.

В свою очередь, первый заместитель председателя ЦБ Ольга Скоробогатова в своем выступлении на Уральском форуме подробно рассказала об основных векторах развития в 2018–2020 гг. финансовых технологий, которые будут способствовать реализации программы «Цифровая экономика РФ», выделив 7 ключевых направлений.

Имея старые системы, очень сложно интегрироваться с ИТ-ландшафтом, который существует на уровне регуляторов и министерств по экономическому развитию – Ольга Скоробогатова
Имея старые системы, очень сложно интегрироваться с ИТ-ландшафтом, который существует на уровне регуляторов и министерств по экономическому развитию – Ольга Скоробогатова

Правовое регулирование. В настоящее время Банк России совместно с Минфином и Минэкономразвития работает над систематизацией и определением таких новых понятий, как смарт-контракты, распределенные реестры, майнинг и т. д. Речь идет о «Законе о цифровых активах», который на данном этапе  проходит стадию обсуждения. О. Скоробогатова пояснила, что между регулятором и ведомствами существуют некоторые разногласия, но по основным понятиям и определениям госструктуры уже пришли к общему пониманию. Первый зампред ЦБ считает, что уже в первом квартале 2018 года этот законопроект будет вынесен на общественное обсуждение.

Развитие цифровых технологий на финансовом рынке. Для этих целей Банк России в 2016 году создал Ассоциацию ФинТех. Она была организована совместно с участниками рынка, так как, по мнению Банка России, в части цифровых технологий регулятор и участники финрынка должны действовать сообща.

«Поэтому на площадке Ассоциации мы сначала обсуждаем основные технологии, основные проекты или платформы. Далее вырабатываем общие концептуальные подходы, которые устраивают и регулятора, и рынок. И только потом определяем мероприятия, которые совместно хотели бы реализовать», – уточнила О. Скоробогатова.

В начале февраля 2018 года Банк России с участниками Ассоциации ФинТех пришли к договоренности, что все моменты программы «Цифровая экономика РФ», касающиеся внедрения цифровых технологий в финансовой сфере, будут обсуждаться именно на площадке Ассоциации.

54-3Переход на электронное взаимодействие между Банком России, органами государственной власти и участниками финансового рынка. По словам О. Скоробогатовой, на данный момент регулятор вынужден нагружать финансовую сферу запросами в бумажном виде, несмотря на огромное количество информации и данных, которыми располагает Банк России. В течение трех лет ЦБ планирует полностью перейти на электронный документооборот с участниками финансового рынка. В конце 2017 года для реализации этих планов на технологическом уровне был запущен личный кабинет для кредитных организаций. В 2018 году вышли нормативные документы, разрешающие банкам передавать информацию в ЦБ в электронном виде.

«Основная идея не только в передаче данных или отчетов, а в том, чтобы единожды получить данные от банка и впоследствии с помощью технологий Big Data и machine learning использовать эту информацию в своей деятельности для подготовки аналитических отчетов, необходимых справок и т. п.», – добавила О. Скоробогатова.

Создание регулятивной площадки Банка России. Регулятивная площадка Банка России представляет собой механизм по апробации инновационных финансовых технологий, продуктов и услуг. Для ее разработки Банк России обратился к международному опыту.  На первом этапе проекта будет создана тестовая регулятивная площадка на базе ЦБ РФ. Она заработает в Москве во втором квартале 2018 года. Песочница установит критерии отбора инновационных проектов, которые можно будет тестировать в искусственно созданной среде, избежав прямого влияния на реальных потребителей.

Банк России делает акцент на развитии своей собственной системы безопасности, в т.ч. для взаимодействия с рынком

«Банку России, участникам рынка, а также многим министерствам и ведомствам необходимо понять, как этот механизм будет работать, как при большом количестве участников выстроить работу таким образом, чтобы можно было отследить всю цепочку их действий, и каким образом организовать тестирование, чтобы проследить возможный эффект для рынка», – пояснила О. Скоробогатова.

Если первый этап пройдет успешно, то в 2019 году будет запущен второй этап, который предполагает запуск проектов в реальном секторе, но в крайне ограниченном периметре.

Для эффективного функционирования второго этапа необходимо внести большое количество изменений в целый ряд законов, поэтому параллельно с запуском первого этапа создания регулятивной песочницы ЦБ будет разрабатывать предложения по изменению нормативной базы.

Взаимодействие в рамках ЕАЭС.Ольга Скоробогатова отметила, что в настоящее время на уровне ЕАЭС не удалось создать  единых решений. По ее словам, это связано со многими причинами, и одна из них – отсутствие современных технологий во взаимодействии между госструктурами различных стран.

«Имея старые системы, очень сложно интегрироваться с ИТ-ландшафтом, который существует на уровне регуляторов и министерств по экономическому развитию», – пояснила О. Скоробогатова.

Однако уже в 2018 году Банк России намерен договориться с центральными банками стран ЕАЭС о том, в каких направлениях следует создавать новые платформы и какие технологии для этого использовать. А в 2019 году будет разработана дорожная карта, где участники ЕАЭС обозначат решения, которые в обозримом будущем могут быть созданы совместными усилиями.

Обеспечение безопасности и устойчивости. Первый зампред ЦБ пояснила, что регулятор специально отделил это направление, поскольку сейчас огромное количество усилий фокусируется именно в этой области. Банк России обеспечивает постоянный мониторинг киберугроз и делает акцент на развитии своей собственной системы безопасности как для внутренних целей, так и для взаимодействия с рынком. В документе «Основные направления развития финансовых технологий на период 2018–2020 гг.», который ЦБ опубликовал на своем сайте, отмечается, что в целях обеспечения технологической безопасности и устойчивости на финансовом рынке будет осуществлен ряд мероприятий, в том числе с учетом Стратегии развития Системы обеспечения информационной безопасности (СОИБ) Банка России и информационной безопасности банковской сферы и иных сфер финансового рынка Российской Федерации на 2018–2022 годы:

  • совершенствование комплекса отраслевых стандартов и правил, устанавливающих требования к обеспечению технологической устойчивости, бесперебойности и безопасности при применении финансовых технологий, и нормативное закрепление обязанности по их применению;
  • разработка новых форм и методов взаимодействия и реагирования на информационные угрозы в рамках деятельности ФинЦЕРТа Банка России;
  • проведение комплекса мероприятий по повышению технологической устойчивости, бесперебойности и безопасности при применении финансовых технологий, а также по мониторингу состояния информационных систем финансовых организаций.

В результате планируется повысить уровень технологической безопасности и устойчивости при использовании финансовых технологий, а также оперативного взаимодействия с участниками финансового рынка на площадке ФинЦЕРТа для своевременного реагирования и предотвращения кибератак.

Развитие кадров в сфере финансовых технологий.По прогнозам Министерства образования РФ, к 2020 г. потребуется 21 тыс. специалистов в области информационной безопасности, в настоящее время вузы выпускают каждый год только около 5 тыс. специалистов. Об этом рассказал зампред Банка России Руслан Вестеровский. Он добавил, что ЦБ совместно с другими участники финансового рынка наблюдает дефицит профессиональных кадров в области информационной безопасности, в том числе в кредитно-финансовой сфере. «Нам достаточно сложно найти специалистов нужной специализации по тем требованиям, которые у нас есть», – добавил Р. Вестеровский.

55-2

Нехватку качественных специалистов по информационной безопасности в кредитно-финансовой сфере также подтвердил начальник управления по обеспечению ИБ Банка ВТБ Сергей Пазизин. «Мы понимаем, что любому специалисту, который придет к нам, потребуется некоторое время на погружение. Как выпускникам, так и опытным профессионалам нужно будет изучить используемые в банке системы и освоить уникальный опыт банка. В ВТБ имеются все возможности для развития и обучения для молодых специалистов в области информационной безопасности», – пояснил С. Пазизин.

Председатель Совета и президиума Совета УМО Евгений Белов со ссылкой на данные Министерства образования рассказал, что в 2019 году вузы на все уровни высшего образования (бакалавриат, магистратура, специалитет) примут более 7 тыс. человек на специальность «Информационная безопасность», в 2018 году этот показатель составит 6,6 тыс. В 2017 году вузы приняли 6,3 тыс. будущих специалистов по ИБ, в 2016-м – 5,9 тыс.

Мы понимаем, что любому специалисту, который придет к нам, потребуется некоторое время на погружение – Сергей Пазизин
Мы понимаем, что любому специалисту, который придет к нам, потребуется некоторое время на погружение – Сергей Пазизин

По его словам, в настоящее время право на реализацию образовательных программ в области ИБ имеют более 290 образовательных организаций. При этом 170 из них являются организациями высшего образования, 89 – среднего профессионального образования, 31 – дополнительного образования.

Кроме того, к вызовам для образовательной среды зампред ЦБ отнес проблему обеспечения практической подготовкой будущих специалистов по ИБ, а также скорость развития цифровых технологий, которая опережает динамику преобразования образовательных программ по подготовке специалистов по ИБ.

Руководство Банка России понимает, что чем быстрее регулятор начнет инвестировать свои ресурсы в развитие кадров в области финансовых технологий, тем быстрее будет получена отдача. Для этого будет осуществляться разработка программ обучения в сфере финансовых технологий для представителей финансовых организаций, студентов высших учебных заведений, школ и иных заведений. Например, в настоящее время в Сочи существует образовательный центр «Сириус», на базе которого могут быть созданы площадки ЦБ – причем не только с образовательной целью, но и для тестирования инновационных технологий в ограниченном периметре совместно со студентами и талантливыми школьниками.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных