ПОДРОБНО: Михаил Шабанов (Вестник НАУФОР №9 2019)
РАБОТА ЗАЩИТЫ
Комитет НАУФОР по информационной безопасности разработал методические рекомендации по определению конфиденциальной информации и ее детектированию в документах некредитной финансовой организации и по ознакомлению клиентов с информацией в целях противодействия незаконным финансовым операциям.
Рекомендации представляют собой образцы, которые могут быть использованы членами НАУФОР - некредитными финансовыми организациями при разработке своих собственных документов (полностью или частично, с учетом особенностей деятельности). В начале августа 2019 года документ опубликован на сайте НАУФОР. Подробно о нем рассказывает председатель комитета по экономической и информационной безопасности НАУФОР Михаил Шабанов.
- Какую задачу призваны решить методические рекомендации, в связи с чем они были разработаны?
- Комитетом по экономической и информационной безопасности НАУФОР в июле 2019 года были подготовлены «Рекомендации по соблюдению информационной безопасности клиентами НФО, включая работу с информационными системами некредитных финансовых организаций, участников финансового рынка» (далее по тексту - Рекомендации по обеспечению ИБ), а также «Рекомендации по методам определения конфиденциальной информации, ее детектирования в документах некредитных финансовых организаций, участников финансового рынка» (далее по тексту - Рекомендации по методам определения КИ).
Методические рекомендации были разработаны в связи с обращениями в НАУФОР его членов, профессиональных участников российского рынка ценных бумаг, с просьбой оказать помощь в подготовке внутренних документов, связанных с вопросами обеспечения экономической и информационной безопасности.
В частности, Рекомендации по обеспечению ИБ были подготовлены во исполнение требований пункта 2 Положения Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее по тексту - Положение) в котором определено, что «Некредитные финансовые организации должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.
Некредитные финансовые организации должны обеспечивать доведение до своих клиентов следующей информации:
- о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода».
Рекомендации по методам определения конфиденциальной информации были подготовлены с целю грамотной организации противодействия незаконным действиям при осуществлении деятельности в сфере финансовых рынков. НФО в зависимости от присваиваемой сведениям категории, должны осуществлять защиту информации, в том числе получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых некредитными финансовыми организациями, независимо от вида носителя, на котором она зафиксирована.
Рекомендации по методам определения КИ необходимы для оказания поддержки НФО при создании ими внутренних документов, связанных с установлением, изменением и прекращением режима коммерческой тайны, информации ограниченного доступа и профессиональной тайны в отношении информации, которая имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам.
- Каким компаниям в первую очередь они адресованы (лицензии и размер компаний)?
- Рекомендации по соблюдению ИБ распространяются на все некредитные финансовые организации, так как подготовлены во исполнение требований Положения № 684-П от 17.04.2019 Банка России, что определено частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ и включает все НФО, перечисленные в пунктах 1 - 18 данной статьи.
Рекомендации по методам определения КИ необходимы всем некредитным финансовым организациям для обеспечения экономической и информационной безопасности.
- Почему информирование клиентов было выделено в отдельный документ, это связано с неясностями нормативного поля?
- Сложности у профессионального сообщества возникли в связи с тем, что пункт 2 Положения вступил в силу с 01.06.2019, однако содержание и способ доведения до своих клиентов Рекомендаций по защите информации не регламентированы и определяются НФО в зависимости от особенностей деятельности.
Некредитные финансовые организации обязаны информировать своих клиентов об обеспечении информационной безопасности любым доступным способом, подразумевающим подтверждение клиентом факта ознакомления с Рекомендациями.
Кроме того, сроки доведения Рекомендаций до клиентов и обязанность информировать об этом Банк России данным Положением не установлены.
- В чем сложность проблематики определения конфиденциальной информации финансовым посредником - НФО?
- В целом, некредитные финансовые организации занимались вопросами обеспечения экономической и информационной безопасности по остаточному принципу, выделяя на решение этих задач минимум ресурсов. Но все меняется и за последние годы государственные органы, включая Банк России, подготовили и приняли ряд важных нормативно-правовых актов по обеспечению экономической и информационной безопасности, которые напрямую затрагивают организацию деятельности некредитных финансовых организаций, профессиональных участников рынка ценных бумаг, заставляя уделять этим вопросам более пристальное внимание. В настоящее время не все НФО обладают профессиональными кадрами, способными в короткие сроки и с минимальными издержками организовать деятельность подразделений безопасности.
В частности, присваивать категорию конфиденциальности предлагается на основании значительного количества нормативных документов, в которых дается определение коммерческой тайны, информации ограниченного доступа и профессиональной тайны. Без специальных знаний самостоятельно подготовить необходимые внутренние документы затруднительно.
- Использовались ли при подготовке документов практики правоприменения?
- Да, безусловно, в рамках подготовки наших Рекомендаций мы использовали лучшие международные и российские практики в области обеспечения экономической и информационной безопасности.
Необходимо отметить, что Банк России уже много лет уделяет пристальное внимание обеспечению экономической и информационной безопасности кредитных организаций. И это понятно, так как риски потери денежных средств в банковской сфере очень высоки. В настоящее время ряд требований стал распространяться и на некредитные финансовые организации. Естественно, мы изучаем имеющуюся документы, подготовленные банками, и адаптируем их для НФО.
- Какие положения данных рекомендаций являются особо важными и почему?
- В первую очередь, я бы выделил положения Рекомендации по соблюдению информационной безопасности, в которых впервые даны определения в соответствии с ГОСТом Р 57580.1-2017. Но в целом каждое из положений подготовленных Рекомендаций необходимо творчески переработать, напрямую связав его с профессиональной деятельностью конкретной НФО, ее инфраструктурой, объемом операций и клиентской базой.
Справка:
16 мая 2019 года Министерство юстиции зарегистрировало Положение Банка России от 17 мая 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Положение устанавливает обязательные для НКО требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях противодействия осуществлению незаконных финансовых операций.
Отдельные положения документа вступили в силу с 1 июня 2019 года, другие - вступают в силу с 1 января 2020 года, пункты 5 и 6 вступают в силу с 1 января 2021 года, абзац первый пункта 8 Положения вступает в силу с 1 января 2022 года и действует по 30 июня 2023 года включительно, абзац второй пункта 8 Положения вступает в силу с 1 июля 2023 года.
16.09.2019