среда, 10 октября 2018 г.

ЦБ планирует отслеживать сомнительные транзакции в режиме онлайн

Центробанк готов взяться на усовершенствование своей системы мониторинга транзакций. 

Конечной целью этих действий является возможность в режиме реального времени выявлять сомнительные операции, что, естественно, положительно скажется на оперативности реагирования на киберинциденты. 

Соответствующей информацией поделился зампред Центрального банка Василий Поздышев. Выступая перед журналистами, он отметин следующее: 

«Мы предлагаем с помощью цифровых технологических решений доработать эту систему, чтобы и банки, и Центральный банк могли в онлайн-режиме проводить мониторинг текущих операций, в том числе с использованием системы быстрых платежей и системы перевода Банка России». 

Поздышев отметил, что на данный момент весь мониторинг транзакций основывается на ручном режиме выявления подозрительной активности. 

«Мы передаем банкам списки клиентов, которые замешаны в теневых операциях. Банки, опираясь на эти списки, ежеквартально их обрабатывают и, как думаем, должны не проводить операции с этими клиентами или, по крайней мере, прежде чем проводить, проверять операции с этими клиентами. Это такой ручной режим», — передал ТАСС слова зампреда ЦБ. 

Помимо этого, в Банке России задумались над усовершенствованием системы получения отчетности банков. Здесь регулятор интересует возможность получения необходимой информации непосредственно из банка.

Источник: https://www.anti-malware.ru/news/2018-10-10-1447/27708

Вебинар "Законодательство о безопасности КИИ"

понедельник, 8 октября 2018 г.

На сайте Банка России опубликована карта точек банковского обслуживания, где можно сдать биометрические данные

Банк России разработал специальную карту точек банковского обслуживания, где все желающие могут сдать биометрические данные, чтобы впоследствии иметь возможность дистанционно получать банковские продукты и сервисы в любой кредитной организации с помощью удаленной идентификации.
Ресурс позволяет узнать адрес и часы работы офисов банков, которые предоставляют такую услугу. Для этого достаточно выбрать в специальном окне город и наиболее удобную точку обслуживания.
В настоящий момент на карте отмечены точки банковского обслуживания в 81 субъекте РФ. Данные будут постоянно обновляться.
Для получения банковских услуг с помощью удаленной идентификации необходимо один раз пройти первичную идентификацию в уполномоченном банке. Такой банк в присутствии физического лица проверит его паспорт и СНИЛС, зарегистрирует обратившегося в Единой системе идентификации и аутентификации (ЕСИА), а также снимет необходимые биометрические данные (изображение лица и запись голоса). В дальнейшем для дистанционного открытия счета (вклада), получения кредита или осуществления перевода в новом банке гражданину нужно будет пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета или компьютера с использованием камеры и микрофона.
Банки постепенно налаживают сбор биометрических данных в структурных подразделениях по мере готовности своей технологической инфраструктуры. До конца этого года данный сервис должны предоставлять не менее 20% подразделений банка в каждом регионе присутствия, к 30 июня 2019 года – 60%, до конца 2019 года – 100%.

среда, 26 сентября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим. …).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе(Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.

вторник, 3 июля 2018 г.

ЦБ будет регулировать вопросы кибербезопасности во всех финансовых организациях

Ранее издаваемые регулятором нормативные документы в этой сфере должны были исполнять только банки

Банк России получил полномочия регулировать вопросы защиты кибербезопасности во всех организациях кредитно-финансовой сферы, сообщил журналистам исполняющий обязанности директора департамента информационной безопасности ЦБ Артем Сычев.
Ранее издаваемые ЦБ нормативные документы в области кибербезопасности были обязательны к исполнению только в банках, но с октября в сферу внимания ЦБ попадут также страховые, микрофинансовые и иные поднадзорные ЦБ организации.
"Мы получили сейчас возможность устанавливать соответствующие требования, которые мы должны будем согласовать с ФСБ и ФСТЭК (Федеральной службы по техническому и экспортному контролю - прим. ТАСС)", - сказал Сычев.
В конце июня президент РФ Владимир Путин подписал поправки в закон "О национальной платежной системе" и связанные с ним подзаконные акты. В частности, поправки в закон "О Центральном банке Российской Федерации" наделяют ЦБ правом по согласованию с ФСБ и ФСТЭК устанавливать обязательные требования по защите информации как для банков, так и для некредитных финансовых организаций. "Мы обязываем все организации, которые осуществляют денежные переводы, следовать признакам антифрода", - сказал Сычев.
Первыми нормативными документами, которые разработает ЦБ для некредитных финансовых организаций, станут два отраслевых стандарта, которые регулятор уже обсудил с профсообществом. Исполнение отраслевых стандартов является добровольным, при этом большинство обязательных требований уже содержится в государственном стандарте (ГОСТ 57580.1-2017, "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций"), который вступил в силу с 1 января.

Новшества для банков


С октября этого года банки должны будут оценивать риски несанкционированных переводов денежных средств и разработать свои критерии таких переводов. ЦБ в свою очередь разработает и к тому времени опубликует свои критерии потенциально мошеннических операций.
По словам Сычева, в категорию сомнительных попадают операции по переводу средств со счета юрлица на множество счетов физлиц в других регионах, а также операции с "нестандартным" назначением платежа.
Банки также должны будут внедрить механизмы блокировки таких операций и внести изменения в действующие договоры с клиентами. При обнаружении признаков несанкционированного перевода средств банки обязаны приостановить исполнение платежа на срок до двух дней и запросить его подтверждение у клиента.
Также в законе прописан порядок действий банков в случае, когда клиенты сами сообщают в банк о том, что мошенники получили доступ к управлению их счетами. 


В России вся инфраструктура приема карт должна работать с отечественными HSM

Все банковские процессы должны иметь отечественные средства криптографической защиты к 2024 г. При этом к 2031 г. с ними должна уметь работать  вся инфраструктура приема банковских карт. Об этом заявил и.о. директора Департамента информационной безопасности ЦБ Артем Сычев.

«К 2024 году мы рассчитываем на то, что все средства, которые работают в ядре платежных систем, так называемые host security modules, средства криптографической защиты, должны быть отечественного производства и поддерживать алгоритмы шифрования как иностранные, так и российские», — сказал А.Сычев. Он подчеркнул, что речь идет не только о Национальной платежной системе, но и о тех процессингах, которые обслуживают карты Visa и Mastercard.

Данное требование А. Сычев объяснил тем, что в условиях санкций нет гарантии того, что иностранные производители средств криптографической защиты в нужный момент не откажутся поставлять эти решения, или что они существенно не снизят надежность работы средств криптографической защиты.

«Понимая этот риск, понимания, что для этого должны быть проведены большие технические мероприятия, мы эту норму вводили», — пояснил А. Сычев. Данное требование содержится в положении Банка России о требованиях к информационной безопасности банков (382-П).

Кроме того, к 2031 г. вся инфраструктура приема платежных карт должна уметь работать с отечественными средствами криптографической защиты. На этот счет в рамках программы «Цифровая экономика» у ЦБ предусмотрено проведение определенных мероприятий.

А. Сычев добавил, что в настоящее время российский рынок делят два иностранных производителя HSM. Уже сейчас три производителя отечественного оборудования готовы «пойти в эту историю». При этом российские HSM должны иметь не только сертификацию РФ, но и международную. Здесь могут возникнуть проблемы, которые необходимо решить до 2024 г., подчеркнул А. Сычев.

По материалам PLUSworld.ru

воскресенье, 29 апреля 2018 г.

Центробанк становится системой мгновенных платежей между физлицами

Центробанк становится системой мгновенных платежей между физлицами

Система быстрых платежей

Оператором системы быстрых платежей, запуск которой готовит Ассоциация финансовых технологий (АФТ), станет Центробанк. Он будет выступать расчетным центром системы, а операционным, платежным и клиринговым центром станет АО «Национальная система платежных карт» (НСПК). Об этом со ссылкой на сообщение АФТ пишет информационное агентство «Интерфакс».
Организационно-правовая модель системы быстрых платежей уже утверждена наблюдательным советом АФТ, председателем которого является Ольга Скоробогатова, первый зампред Центробанка. Идея системы заключается в том, что через нее можно будет мгновенно осуществлять платежи, счета отправителя и получателя могут при этом находиться в любых банках.
Платежи и переводы будут осуществляться пользователем не по обычным реквизитам, а по упрощенным идентификаторам, таким как номер телефона или электронная почта. Плательщик сможет отправить деньги, используя QR-код или мобильный телефон получателя. Переводить деньги можно будет из мобильного банка, мессенджера, соцсети или через сайт интернет-магазина. Сначала система заработает для физических, а потом и для юридических лиц.

Тестирование системы

В марте АФТ сообщила на своем сайте, что банки, входящие в ассоциацию, уже подключились к прототипу системы быстрых платежей. Речь идет о банках Qiwi, АК Барс, Тинькофф и МТС. В настоящий момент они проверяют возможность перевода средств через систему от физического лица физическому лицу.


Подборка материалов по теме безопасности критической инфорационной инфраструктуры (КИИ), о государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и средствах, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (СОПКА-РКИ), о Национальном координационном центре по компьютерным инцидентам (НКЦКИ) и о Федеральном законе 187-ФЗ «О безопасности КИИ».

https://zlonov.ru/kii/

среда, 14 марта 2018 г.

Телеграм-каналы по информационной безопасности

Версия от 14.03.2018

"Пост Лукацкого"Трансляция блога и Твиттера Алексея Лукацкогоhttps://t.me/alukatsky
"Киберграмотность"Компьютерная грамотность с акцентом на приватность, анонимность и безопасность. https://t.me/cyber_gram
"Hacker News на русском"Новости об информационной безопасности, хакерах, уязвимостях, взломах и околотематика на русском языке.https://t.me/HNews
"Anti-Malware"Самые актуальные и свежие события в мире информационной безопасностиhttps://t.me/anti_malware
"Интересно #поИБэ"Последние новости RISSPA и отрасли кибербезопасностиhttps://t.me/risspa
"ZLONOV.ru"Телеграм-канал сайта ZLONOV.ru Новости и актуальные темы из сфер: информационная безопасность, информационные технологии, кибербезопасность и около. #ИБ #ИТ #АСУТП #маркетингhttps://t.me/zlonovru
"Сайберсекьюрити и Ко."Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизниhttps://t.me/alexlitreev_channel
"Информация без опасности"Очередной канал по информационной безопасности.
В основном о банковской ИБ.
(Не Лукацким единым ;) )
https://t.me/infobezopasnost