ЦБ устанавливает для банков и НФО единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств.
За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов, считает регулятор. Предполагается, что цифровой отпечаток устройства формируется из идентификаторов аппаратной части, версии ОС, версии установленного на устройстве браузера и «других системных и аппаратных параметров устройства», следует из документа.
ЦБ рекомендует кредитным организациям вести базу эталонных цифровых отпечатков устройства вместе с исходными значениями параметров устройства, а также цифровых отпечатков, полученных при выполнении пользователем финансовых операций вместе с данными по этим операциям.
Как считает ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев, стандарт преследует несколько целей: использовать «отпечатки» как дополнительный фактор аутентификации, как артефакт при расследовании инцидентов и отслеживании трансакций, а также как условный индикатор компрометации, то есть устройство, с которого неоднократно предпринимались попытки проведения компьютерных атак.
В ВТБ называют решение ЦБ о публикации стандарта своевременным и обещают ему следовать. В Альфа-Банке согласны, что единый стандарт цифровых отпечатков принесет пользу рынку. В то же время директор департамента информационной безопасности МКБ Вячеслав Касимов отмечает, что использовать стандарт банк будет, «но после необходимых обсуждений и достижения понимания, что честных клиентов это никаким образом не затронет и не вызовет их неудобств».
При этом у банков могут возникнуть трудности в выполнении требований стандарта.
По словам Алексея Войлукова, вице-президента Ассоциации банков России, полноценный отпечаток по устройству по предложенным параметрам сложно получить, так как, например, автоматическая установка любых обновлений системы, браузера и других модулей сразу будет приводить к необходимости корректировки или изменению этого профиля. А обновления на телефонах выходят регулярно и довольно часто.
Банк России сформулировал требования к обеспечению информационной безопасности ПО в ряде нормативно-правовых актов:
- Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (с изменениями от 18 февраля 2022 года);
- Положение Банка России от 4 июня 2020 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
- Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Документы выставляют требования, согласно которым для ряда важнейших процессов необходимо обеспечить использование программ, «сертифицированных в системе сертификации ФСТЭК на соответствие требованиям по безопасности информации, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности”». Этот стандарт утвержден приказом Федерального агентства по техническому регулированию и метрологии № 1340-ст «Об утверждении национального стандарта» от 8 ноября 2013 года.
Таким образом, для ряда программ, связанных с важными процессами, необходимо проводить сертификацию ФСТЭК России либо оценку соответствия по ОУД 4. Решение о выборе подхода остается за организациями.
«Стандарт Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств» СТО БР БФБО-1.7-2023″.
Принят и введен в действие приказом Банка России от 01.03.2023 N ОД-335.
Текст стандарта:
Источник: БО