Для чего в банке россии создано подразделение финцерт

ФинЦЕРТ

Для организаций не поднадзорных Банку России

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере — структурное подразделение Департамента информационной безопасности.

Контактные данные:

ФинЦЕРТ: 24/7

почта : fincert@cbr.ru
Адрес : г. Москва, Ленинский пр-т, д. 1/2

Информационные сообщения

Основная цель

Cоздание центра компетенции в рамках информационного взаимодействия Банка России, кредитных и некредитных финансовых организаций, компаний-интеграторов, разработчиков антивирусного программного обеспечения, провайдеров и операторов связи, а также для правоохранительных и иных государственных органов, курирующих информационную безопасность отрасли. Указанное информационное взаимодействие направлено на координацию работ по противодействию злоумышленникам, активность которых направлена на личное обогащение с использованием методов несанкционированного доступа к ИТ-инфраструктуре организаций, поднадзорных Банку России, а также с использованием уязвимостей в платежных технологиях.

Для достижения цели выполняются следующие задачи:

Информационный обмен

Участником информационного обмена может стать любое юридическое лицо, которое:

Для того чтобы принять участие в информационном обмене, заполните «Карточку участника» и отправьте запрос на электронный адрес info_fincert@cbr.ru с пометкой «Информационное взаимодействие».

Поля «Карточки участника» заполняются согласно вашим возможностям. В контактах ответственных лиц следует указать адрес электронной почты и телефон для связи.

По любым возникающим вопросам можно связаться с работниками Центра:

Отпечаток SHA-1 открытого ключа ЭП

57 82 6a c7 a1 5c d9 35 dd f6 31 82 53 23 e4 02 14 ac f0 3a

Взаимодействие c физическими лицами осуществляется через Интернет-приемную Банка России (www.cbr.ru/Reception)

Адрес: ул. Неглинная, 12, Москва, 107016

Телефоны: (для бесплатных звонков из регионов России),
(круглосуточно),

Источник

Кибератаки на финансовую сферу: обзор ФинЦЕРТ

В 2018 году Банк России зафиксировал 687 кибератак на кредитно-финансовые организации, из них 177 атак были целевыми. При этом в большинстве случаев рассылки вредоносного программного обеспечения (ВПО) злоумышленники применяли спуфинг — подмену электронных почтовых адресов. Наибольшее количество атак было выявлено в IV квартале 2018 года, что связано с началом работы автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ Банка России.

Такие данные приводятся в Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году. Документ подготовлен Банком России совместно с компаниями, работающими в сфере информационной безопасности и участвующими в информационном обмене с ФинЦЕРТ. Привлечение к работе над докладом независимых экспертов позволяет сформировать более полную картину киберрисков и способствует объединению усилий рынка в борьбе с киберпреступностью.

Регулятор получил от участников рынка через АСОИ более 500 образцов ВПО, которое злоумышленники использовали при организации атак. Более половины выявленного ВПО относится к программам-вымогателям и шифровальщикам. По результатам анализа полученных сведений специалисты ФинЦЕРТ подготовили и направили финансовым организациям и другим участникам информационного обмена 155 оперативных бюллетеней с индикаторами компрометации систем и сетей — это почти в 4 раза больше, чем годом ранее. Бюллетени позволяют участникам информационного обмена быть в курсе наиболее актуальных киберугроз на финансовом рынке и вырабатывать эффективные меры по противодействию им.

В обзоре также сообщается, что в 2018 году в результате анализа данных, полученных от участников информационного обмена через АСОИ, выявлено свыше 540 интернет-ресурсов, которые распространяли ВПО или являлись его управляющими серверами. При этом более 500 из этих ресурсов зарегистрировано за пределами России. Расположение подобных ресурсов в доменных зонах, на которые не распространяются полномочия ФинЦЕРТ как организации, компетентной в определении нарушений, осложняет возможность приостановки деятельности этих сайтов. В настоящее время ко второму чтению в Государственной Думе готовится законопроект, наделяющий Банк России правом досудебной блокировки таких ресурсов на территории Российской Федерации вне зависимости от географической привязки доменного имени. Регулятор рассчитывает на принятие этого законопроекта.

Авторы обзора рекомендуют организациям кредитно-финансовой сферы уделять внимание как минимум двум направлениям работы. Во-первых, взаимодействию со своими клиентами и партнерами в части повышения осведомленности сотрудников в области безопасности (security awareness) и обеспечения необходимого уровня защиты на их стороне. Во-вторых, банкам следует сосредоточиться на обеспечении безопасности во внутренней сети и внедрении средств защиты, которые позволят оперативно выявлять следы атак в инфраструктуре.

Информация из обзора может быть использована руководителями и специалистами финансового рынка при планировании мероприятий по информационной безопасности и для ознакомления персонала с основными видами актуальных угроз.

Источник

Финансовая сфера

Функционал ФинЦЕРТ остался в ДИБ ЦБ

Директор Департамента информационной безопасности (ДИБ) Банка России Вадим Уваров в интервью «Б.О» рассказал о нормотворческой работе Департамента, о киберучениях, а также о целях выстраивания единой доверенной среды

Директор Департамента информационной безопасности (ДИБ) Банка России

— Вадим, на ваш взгляд, сохранится ли и далее практика отраслевого регулирования ИБ (в частности, в финансовой сфере) в России в противовес общефедеральной? Какова будущая роль правопреемников ФинЦЕРТ ЦБ?

— Отраслевое регулирование идет не в противовес федеральному, а вместе с ним. Такой подход позволяет учитывать специфику ИБ именно на финансовом рынке. Например, благодаря отраслевому регулированию операционная надежность банков оценивается в том числе через призму способности противостоять киберугрозам.

Что касается правопреемников ФинЦЕРТ: весь функционал ФинЦЕРТ по-прежнему остался в ДИБ. Он распределен между четырьмя управлениями. Это позволит более эффективно решать вопросы, связанные с противодействием компьютерным атакам и ИБ финансового рынка.

— Продолжится ли политика импортозамещения ПО и средств ИБ?

— Да, мы поддерживаем этот процесс. Переход на российские софт и «железо» важен с точки зрения ухода от рисков, которые есть при использовании зарубежных продуктов. В первую очередь это касается суверенитета российского финансового и платежного пространства. Мы должны гарантировать потребителям бесперебойность предоставления качественных и надежных сервисов вне зависимости от международной обстановки. Обеспечить это можно прежде всего с помощью внедрения российских HSM-модулей — на это направлено Положение Банка России № 719П.

— На Уральском форуме 2020 была поднята тема перехода банков на риск-ориентированную практику обеспечения ИБ и были предложены другие меры в сфере ИБ. Что уже из начатого там было достигнуто и на что сообществу стоит обратить внимание?

— Базовый подход к управлению риском ИБ мы обозначили в Положении № 716-П, принятом в прошлом году. Более детальные вещи прописаны в другом документе, проходящем стадию обсуждения, — проекте ГОСТ Р «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности (киберустойчивости)». Требования Положения обязательны к исполнению, с помощью ГОСТ мы как бы даем поднадзорным совет, как им лучше исполнять наши требования.

Переход на риск-ориентированную практику связан и с новыми методами контроля ИБ. Так, во второй половине 2020 года мы впервые вместе с банками провели киберучения (стресс-тестирование). Задача киберучений — выявить риски хищения денег с корреспондентских счетов, открытых в Банке России, возможность утечек конфиденциальных данных клиентов, операционных сбоев, прерывания финансовых услуг из-за несанкционированного воздействия на автоматизированные системы банков. Мы считаем, что эту практику есть смысл развивать и дальше, в том числе для некредитных финансовых организаций, финансовых объединений.

— Расскажите подробнее о целях и итогах состоявшихся киберучений ЦБ и крупнейших банков.

— Во время киберучений моделировались актуальные компьютерные атаки. Мы проверяли, с одной стороны, насколько успешно ИБ- и IT-подразделения банков могут противостоять этим атакам, с другой — готовность нашего департамента оперативно взаимодействовать с участниками киберучений и устранять возникшие проблемы.

С каждым банком мы отрабатывали несколько сценариев атак и реагирования на них. Это показало проблемы, характерные для того или иного участника рынка. Выяснилось, например, что некоторые банки основное внимание уделяют защите внутреннего периметра от внешних угроз, при этом защитные механизмы от угроз со стороны внутреннего нарушителя проработаны недостаточно полно. Кроме того, ИБ-специалисты иногда не очень хорошо понимают технологии обработки переводов денежных средств. Это может негативно повлиять на эффективность их работы во время атак на счета клиентов. Поэтому руководству банков следует уделять дополнительное внимание контролю защитных мер на всем жизненном цикле обработки электронных сообщений.

Мы планируем провести работу с каждым участником кибер­учений, чтобы снизить выявленные риски. Что именно будем делать? Усиливать контроль защитных мер на всех участках обработки электронных сообщений во время платежей, совершенствовать механизм, с помощью которого выявляются несанкционированные изменения в распоряжениях о переводе денег. Еще одна задача — совершенствовать механизм нейтрализации заражения инфраструктуры вредоносным кодом. Еще мы будем способствовать развитию корпоративного управления вопросами кибербезопасности.

Такие киберучения, когда банки с нашей помощью могут оценить собственную систему ИБ, определить самые «узкие» места, помогают им более эффективно организовать работу, чтобы противодействовать мошенникам, защитить от них свои деньги и деньги своих клиентов.

— Беспокоит ли ЦБ повсеместная практика ускорения time to market финансовых продуктов в ущерб их защищенности?

— Мы считаем, что нужно уделять особое внимание безопасности приложений клиентов, в которых есть функции идентификации, аутентификации и подписи электронных сообщений. Причем вопросы безопасности должны стоять во главе угла еще на стадии разработки этих приложений.

Сейчас практика ускоренного вывода финансовых продуктов на рынок — обычное явление, и это понятно: цифровизация стремительно развивается, на рынке жесткая конкуренция. Поэтому мы разрабатываем новую версию документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций». Там будут определены требования к процессу безопасной разработки приложений. Мы понимаем, что должен быть баланс между безопасностью и скоростью: финансовые продукты должны быть безопасными, но при этом выводиться на рынок оперативно. И работа над документом идет с учетом этих аспектов.

— На SOC-форуме 2020 один из представителей ЦБ заявил, что с точки зрения регулирования ИБ грядут перемены в связи с «началом эпохи Open API и маркетплейсов». Можно ли подробнее расшифровать смысл этих слов?

— Технология Open API, маркетплейсы и другие современные финансовые технологии — это, скажем так, неизбежное добро, которое при всей очевидной пользе и удобстве несет и риски. В первую очередь это риски именно ИБ. Мы как финансовый регулятор, с одной стороны, всячески способствуем развитию этих финансовых технологий, а с другой — разрабатываем нормы, соблюдение которых вынуждает банки учитывать возможные риски и нивелировать их.

Обеспечивать безопасность API только техническими средствами, которые заложены в ГОСТ 57580, невозможно. Поэтому мы будем развивать нормативное регулирование.

В части Open API Банк России выпустил комплекс стандартов «Открытые банковские интерфейсы», а также Стандарт «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования». Сейчас эти документы рекомендательные.

Также в этом году планируется выпуск еще одного Стандарта по безопасности — «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу».

Из прикладных вещей: мы создали и тестируем сертификационный стенд открытых API, на котором финтех-организации смогут проверить разработанные API на соответствие требованиям.

Что касается проекта «Маркетплейс», сейчас разработан проект Положения Банка России «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Он устанавливает требования к обеспечению защиты информации для новых поднадзорных Банку России организаций: операторов финансовой платформы, регистраторов финансовых транзакций и других. Сейчас проект проходит межведомственное согласование.

— В связи с распространением платформ на базе блокчейн возникает вопрос о повсеместном использовании отечественной криптографии в целях выстраивания единой доверенной среды и получения юридически значимых документов, в том числе с использованием смарт-контрактов. Какова роль ЦБ в этом процессе?

Также мы планируем разработку методических рекомендаций, стандартов и других документов, которые будут затрагивать в том числе вопросы работы участников финансового рынка с единой доверенной средой.

ФинЦЕРТ — это Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России (от CERT — computer emergency response team, группа реагирования на компьютерные инциденты). В информационном обмене с ФинЦЕРТ участвует более 800 организаций, в том числе все российские банки.

Источник

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Руслан Рахметов, Security Vision

В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.

ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:

Организует и координирует обмен информацией в сфере кибербезопасности

Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы

Инициирует блокировку сайтов, содержащие противоправный контент

Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.

Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).

Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:

Получение информации об инциденте или угрозе от участника информационного обмена

Проведение анализа полученной информации

Подготовка информационного бюллетеня с рекомендациями

Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.

С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.

REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).

Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:

EXT – если атака направлена на клиента организации-участника

INT – если атака направлена на инфраструктуру организации-участника.

В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.

Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»

Использование вредоносного программного обеспечения

Использование методов социальной инженерии

Эксплуатация уязвимостей информационной инфраструктуры

Реализация спам рассылки

Взаимодействие с центрами бот-нет сетей

Изменения IMSI на SIM-карте, смена IMEI телефона

Использование фишинговых ресурсов

Размещение запрещенного контента в сети «Интернет»

Размещение вредоносного ресурса в сети

Иная компьютерная атака

Изменение маршрутно-адресной информации

Использование вредоносного программного обеспечения

Реализации атаки типа «отказ в обслуживании»

Реализации несанкционированного доступа к банкоматам и платежным терминалам

Эксплуатация уязвимостей информационной инфраструктуры

Компрометация аутентификационных/учетных данных

Реализация спам рассылки

Взаимодействие с центрами бот-нет сетей

Использование фишинговых ресурсов

Размещение запрещенного контента в сети «Интернет»

Размещение вредоносного ресурса в сети «Интернет»

Выполнение изменения контента

Выполнение сканирования портов

Иная компьютерная атака

Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:

Создание запроса об изменении карточки участника

Создание запроса об уязвимости

Создание запроса о публикации

Регистрация запроса о блокировке корреспондентского счета

Регистрация запроса на анализ ВПО.

Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.

Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».

АС «Фид-Антифрод» реализует следующие основные функции:

осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)

осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.

Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.

Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.

Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.

Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:

Осуществление отправки сообщения об инциденте с операцией без согласия клиента

Получение запросов от ФинЦЕРТ по операциям без согласия клиента

Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента

Получение отчетов о приостановлении зачисления средств.

Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *

*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.

Источник

Для чего в банке россии создано подразделение финцерт

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Письмо Банка России от 7 декабря 2020 г. № 56-1-11/613 «О развитии АСОИ ФинЦЕРТ»

Департамент информационной безопасности Банка России рассмотрел письмо Ассоциации банков России от 11.11.2020 N 02-05/864 с предложениями по совершенствованию механизма обмена информацией между банками и Банком России.

В отношении изложенных в Вашем письме предложений сообщаем, что Банком России ведется работа по внесению изменений в процессы сбора, обработки и распространения сведений об операциях без согласия, доработка форм отчетности и нормативных документов Банка России, регламентирующих данные процессы. Планируемые изменения будут вьшоситься Банком России на открытое обсуждение с банковским сообществом с целью создания максимально эффективного процесса взаимодействия, отвечающего современным вызовам и потребностям участников кредитно-финансовой сферы.

В рамках ближайших инициатив планируется осуществить ряд встреч с представителями банковского сообщества по следующим тематикам:

Выработанные в результате открытого обсуждения, равно как и изложенные в Вашем письме предложения будут учтены при дальнейшем совершенствовании организационно-правовых подходов к вопросам информационной безопасности и при доработке и развитии функционала АСОИ ФинЦЕРТ.

Благодарим Вас за высказанные замечания и предложения по совершенствованию взаимодействия между банками и Банком России и надеемся на дальнейшее плодотворное сотрудничество!

Обзор документа

Для совершенствования работы системы обработки инцидентов ФинЦЕРТ ЦБ планирует провести с представителями банковского сообщества встречи по вопросам финансовых инцидентов и компьютерных атак.

С помощью системы операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры реагируют на события информационной безопасности.

Источник