ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И КИБЕРУСТОЙЧИВОСТИ ФИНАНСОВЫХ ТЕХНОЛОГИЙ

Применение цифровых финансовых технологий, с одной стороны, способствует развитию финансового рынка, повышению финансовой доступности и развитию конкуренции, а с другой - появлению новых рисков информационной безопасности. С развитием цифровых технологий происходит рост киберугроз, требующих оперативного и своевременного обнаружения, оценки и разработки соответствующих мер по их предотвращению или минимизации возможных последствий.

Банк России с учетом лучших зарубежных практик формирует требования к информационной безопасности и операционной надежности финансовых технологий по следующим ключевым направлениям и задачам в соответствии с Основными направлениями развития финансовых технологий на период 2018 - 2020 годов:

1) Правовое регулирование по вопросам информационной безопасности и операционной надежности устанавливается в разрабатываемых федеральных законах.

2) Создание и развитие следующих элементов безопасной и устойчивой финансовой инфраструктуры:

- платформа для удаленной идентификации;

- Система быстрых платежей;

- платформа маркетплейс;

- платформа для регистрации финансовых сделок;

- платежная система Банка России;

- национальная система платежных карт;

- система передачи финансовых сообщений;

- платформа для облачных сервисов;

- платформа на основе технологии распределенных реестров.

3) Исследование, анализ и разработка требований к обеспечению информационной безопасности при применении следующих финансовых технологий:

- RegTech (regulatory technology), SupTech (supervision technology);

- Big Data, Smart Data;

- мобильные технологии;

- искусственный интеллект, роботизация и машинное обучение;

- биометрия;

- технология распределенных реестров;

- открытые интерфейсы (Open API).

4) Экспертиза проектов в рамках регулятивной площадки Банка России в соответствии с приказом Банка России от 03.04.2018 N ОД-846 "Об утверждении Регламента организации и проведения Банком России моделирования процессов, связанных с предоставлением (применением) инновационных продуктов, услуг и технологий в банковской сфере и иных сферах финансового рынка".

Апробация инновационных финансовых технологий, продуктов и услуг в рамках регулятивной площадки Банка России проводится с учетом комплексного анализа риска информационной безопасности (киберриска), формирования моделей угроз, возникающих при их использовании.

В качестве ключевых RegTech-проектов в области информационной безопасности и киберустойчивости финансовых организаций предполагаются следующие:

- создание системы (среды доверия) внешней оценки выполнения требований по обеспечению защиты информации при осуществлении переводов денежных средств (оценка соответствия) посредством аккредитации организаций, проводящих оценку соответствия, контроля качества их деятельности, в первую очередь со стороны Банка России. Оценка соответствия предполагает проведение независимой оценки защищенности инфраструктуры и приложений по универсальному комплексу государственных стандартов;

- реализация инициатив по массовому применению криптографии на финансовом рынке для обеспечения безопасности обработки данных с использованием цифровых технологий во взаимодействии с уполномоченным органом в области обеспечения безопасности <8>;

--------------------------------

<8> В рамках реализации федерального проекта "Информационная безопасность" национальной программы "Цифровая экономика Российской Федерации", а также Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

- обмен информацией организаций кредитно-финансовой сферы, а также иных организаций о киберугрозах посредством развития информационного обмена с ФинЦЕРТ Банка России, а также обеспечения функционирования системы мониторинга платежных и финансовых транзакций;

- многофакторная аутентификация клиентов финансовых организаций, в том числе с применением средств криптографической защиты информации, при проведении и подтверждении платежных и финансовых транзакций, формируемых в недоверенной среде (среда, не контролируемая финансовой организацией).

В качестве ключевых SupTech-проектов в области информационной безопасности и киберустойчивости финансовых организаций предполагаются следующие решения:

- создание системы "Антифрод" Банка России, обеспечивающей мониторинг транзакций в платежной системе Банка России, выявление признаков совершения перевода денежных средств без согласия участников платежной системы Банка России, получение подтверждения участниками, выявление признаков "вывода" денежных средств;

- осуществление Банком России надзора за выполнением финансовыми организациями требований в сфере информационной безопасности и киберустойчивости. В рамках данного направления предполагается осуществить нормативное закрепление обязанности представления финансовыми организациями в Банк России показателей, характеризующих объем неправомерных и несанкционированных клиентом операций по отношению к общему объему операций. Сбор данных в рамках оценки соответствия соблюдения требований в сфере информационной безопасности и киберустойчивости, а также проактивное выявление показателей операционной и финансовой стабильности является базовым подходом при осуществлении дистанционного надзора и, соответственно, определении уровня риска информационной безопасности (киберриска).