Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.
Для борьбы с киберугрозами в 2015 году в Банке России было создано специальное структурное подразделение — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). На текущий момент в информационном обмене с ФинЦЕРТ участвует более 800 организаций.
ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:
-
Организует и координирует обмен информацией в сфере кибербезопасности
-
Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы
-
Инициирует блокировку сайтов, содержащие противоправный контент
-
Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.
Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).
Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:
-
Получение информации об инциденте или угрозе от участника информационного обмена
-
Проведение анализа полученной информации
-
Подготовка информационного бюллетеня с рекомендациями
-
Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.
С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.
REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).
У некоторых программных продуктов класса SIEM, IRP/SOAR есть настроенные коннекторы API к ЛК АСОИ ФинЦЕРТ, которые позволяют сократить время и трудозатраты на отправку и получение информации организациями-участниками. Инциденты, обнаруженные и обрабатываемые этими решениями, могут быть отправлены в ФинЦЕРТ почти сразу после небольших автоматических преобразований и в некоторых случаях дополнений со стороны пользователя. А в части полученной информации по фидам из бюллетеней через API программные решения позволяют автоматически обогатить сигнатурные базы различных инфраструктурных СЗИ организации — участника информационного обмена.
Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:
-
EXT – если атака направлена на клиента организации-участника
-
INT – если атака направлена на инфраструктуру организации-участника.
В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.
Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»
|
№
|
|
|
|
|
1 |
Использование вредоносного программного обеспечения |
malware |
EXT |
|
2 |
Использование методов социальной инженерии |
socialEngineering |
EXT |
|
3 |
Эксплуатация уязвимостей информационной инфраструктуры |
vulnerabilities |
EXT |
|
4 |
Реализация спам рассылки |
spams |
EXT |
|
5 |
Взаимодействие с центрами бот-нет сетей |
controlCenters |
EXT |
|
6 |
Изменения IMSI на SIM-карте, смена IMEI телефона |
sim |
EXT |
|
7 |
Использование фишинговых ресурсов |
phishingAttacks |
EXT |
|
8 |
Размещение запрещенного контента в сети «Интернет» |
prohibitedContents |
EXT |
|
9 |
Размещение вредоносного ресурса в сети «Интернет» |
maliciousResources |
EXT |
|
10 |
Иная компьютерная атака |
other |
EXT |
|
11 |
Изменение маршрутно-адресной информации |
trafficHijackAttacks |
INT |
|
12 |
Использование вредоносного программного обеспечения |
malware |
INT |
|
13 |
Реализации атаки типа «отказ в обслуживании» |
ddosAttacks |
INT |
|
14 |
Реализации несанкционированного доступа к банкоматам и платежным терминалам |
atmAttacks |
INT |
|
15 |
Эксплуатация уязвимостей информационной инфраструктуры |
vulnerabilities |
INT |
|
16 |
Компрометация аутентификационных/учетных данных |
bruteForces |
INT |
|
17 |
Реализация спам рассылки |
spams |
INT |
|
18 |
Взаимодействие с центрами бот-нет сетей |
controlCenters |
INT |
|
19 |
Использование фишинговых ресурсов |
phishingAttacks |
INT |
|
20 |
Размещение запрещенного контента в сети «Интернет» |
prohibitedContents |
INT |
|
21 |
Размещение вредоносного ресурса в сети «Интернет» |
maliciousResources |
INT |
|
22 |
Выполнение изменения контента |
changeContent |
INT |
|
23 |
Выполнение сканирования портов |
scanPorts |
INT |
|
24 |
Иная компьютерная атака |
other |
INT |
Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:
-
Создание запроса об изменении карточки участника
-
Создание запроса об уязвимости
-
Создание запроса о публикации
-
Регистрация запроса о блокировке корреспондентского счета
-
Регистрация запроса на анализ ВПО.
Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.
Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».
АС «Фид-Антифрод» реализует следующие основные функции:
-
осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)
-
осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.
Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.
Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.
Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.
Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:
-
Осуществление отправки сообщения об инциденте с операцией без согласия клиента
-
Получение запросов от ФинЦЕРТ по операциям без согласия клиента
-
Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента
-
Получение отчетов о приостановлении зачисления средств.
Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *
*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.
Интересные публикации
|
Мы используем файлы cookies для улучшения качества обслуживания. Оставаясь на сайте, вы соглашаетесь с использованием данных технологий. |
Согласен |
Ответы Банка России на вопросы банков, связанные с проблемами при использовании АСОИ ФинЦЕРТ
Этот материал был опубликован в Методическом журнале “Внутренний контроль в кредитной организации” № 4 (48) / 2020 (печатается без изменений).
Департамент информационной безопасности Банка России рассмотрел результаты опроса банков на тему сложностей, возникающих при составлении отчетности по форме 0403203 “Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» и использовании подсистемы “Фид-Антифрод“ АСОИ ФинЦЕРТ. Регулятор ответил на вопросы и предоставил комментарии по проблемным аспектам информационного обмена[1].
Банк России прокомментировал проблемы взаимодействия
с банками по вопросам информационной безопасности
Использование подсистемы “Фид-Антифрод“
Вопрос 1
Тридцать пять процентов опрошенных банков не испытывают трудностей при предоставлении формы 0403203 и работе с подсистемой “Фид-Антифрод“ (далее также — ФАФ). Половина опрошенных банков заявили о сложностях при использовании ФАФ.
Для использования API при взаимодействии с АСОИ ФинЦЕРТ созданы сложные форматы обмена, из-за этого возникают ошибки. При обновлении появляются новые опции для отчета об инцидентах, но новые инструкции и спецификации в банки не предоставляются.
В частности, при взаимодействии через API с АСОИ ФинЦЕРТ необходимо указывать, кем является получатель: юридическим или физическим лицом. У кредитных организаций и на портале нет спецификаций, по которым можно было бы автоматически сформировать нужный ответ. В связи с этим возникают ситуации, когда при указании ИНН юридического лица возвращается результат с необходимостью указать хэш паспорта физического лица.
Отсутствует оперативное информирование о временной неработоспособности системы или части ее функционала. В частности, ФАФ периодически бывает недоступен в ночное время без предупреждений. Банки просят внедрить сервис оперативного уведомления о временной недоступности системы.
Ответ
Вся необходимая информация размещается на инфопортале АСОИ ФинЦЕРТ, доступном всем участникам обмена (https://portal.fincert. cbr.ru). На инфопортале размещается следующая информация об АСОИ ФинЦЕРТ и АС “Фид-Антифрод“:
— текущий режим функционирования и плановые работы в АСОИ ФинЦЕРТ и АС “Фид-Антифрод“;
— документация на системы в части, передаваемой участникам обмена и разработчикам;
— информация по использованию API;
— порядок подключения и использования системы;
— часто задаваемые вопросы/ответы (FAQ) и другая справочная информация.
О всех работах, при которых АСОИ ФинЦЕРТ и АС “Фид-Антифрод“ недоступны, проводится информирование:
— о кратковременном прерывании доступа — путем сообщения на инфопортале;
— о длительном прерывании доступа — путем сообщения на инфопортале с дублированием информации в виде бюллетеня на адрес каждого участника обмена.
Регулятор полагает, что часть банков-участников не ознакомилась с информацией на инфопортале.
Вопрос 2
Возникают трудности при выборе категорий, к которым подходит конкретный инцидент. Например, клиенту позвонили мошенники (тип “социальная инженерия“), затем прислали с использованием WhatsApp (тип “социальная инженерия“) ссылку на фишинговую страницу, на которой произошла операция без согласия клиента (тип “фишинговая атака“). В данном случае, если инцидент занести как “социальная инженерия“, то невозможно будет завести URL-адрес фишинговой страницы, а если указать тип инцидента “фишинговая атака“, то не получится указать номера телефонов. Необходима возможность выбирать комбинации категорий инцидентов.
Ответ
Информирование по инцидентам построено на основе стандарта Банка России СТО БР БФБО-1.5-2018[2], не предполагающего выбор одновременно двух типов атаки. Данное предложение будет рассмотрено при корректировке нормативной базы и развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“.
Вопрос 3
Из-за смены на стороне ФинЦЕРТ формата данных возникают проблемы с обработкой json-файлов. Необходимо либо указывать информацию об инцидентах вручную (эффективность снижается более чем в три раза), либо оперативно вносить изменения в формат данных. Банки просят заблаговременно предупреждать о смене формата взаимодействия для внесения изменений в свои автоматизированные системы.
Ответ
С 1 июня 2020 г. осуществлялось информирование всех участников обмена:
1. На инфопортале опубликована статья, посвященная изменениям в АСОИ-2[3].
2. Актуализированы четыре документа (статьи на инфопортале) по обновлению АСОИ ФинЦЕРТ и соответствующим изменениям в АС “Фид-Антифрод“:
— руководство участника по работе с АСОИ ФинЦЕРТ[4];
— описание схемы инцидентов АСОИ Фин- ЦЕРТ-2[5];
— временная инструкция по заполнению карточки инцидента для операций без согласия клиента[6];
— комплект предварительно заполненных json-файлов[7].
3. Опубликованы две новости, посвященные обновлению АСОИ-2[8].
4. Направлены два бюллетеня (FinCERT- 20200730-info, FinCERT-20200601-info).
С 6 июня 2020 г. обновление было доступно на тестовых ресурсах АСОИ ФинЦЕРТ.
С учетом описанной ситуации ясно, что двух месяцев на проведение опытной эксплуатации и адаптации участников обмена оказалось недостаточно. Вероятно, проблема вызвана состоянием кредитных организаций в условиях ограничений, связанных с коронавирусной инфекцией. В будущем при проведении обновлений АСОИ ФинЦЕРТ и АС “Фид-Антифрод“ данный негативный опыт будет учтен.
Вопрос 4
Банкам приходится постоянно (по несколько раз в день) проверять личный кабинет и в ручном режиме скачивать фиды, что очень трудоёмко. По мнению банков, рассылка информации по электронной почте значительно упрощает и ускоряет использование фидов.
Ответ
Электронная почта не является доверенным и безопасным каналом доставки информации. Чтобы обеспечить оперативное получение фидов, сформированных по результатам анализа операций без согласия клиентов, в системе с 1 ноября 2018 г. есть механизм скачивания фидов с использованием API. Функционал работы со всеми данными бюллетеней по API был заложен в функционал АСОИ ФинЦЕРТ второй очереди, и с 17 августа 2020 г. он доступен для всех участников обмена.
Вопрос 5
Чтобы исключить проблемы при загрузке фидов в системы кредитных организаций в автоматизированном режиме, банки просят рассмотреть возможность использования кодировки UTF-8 при передаче данных посредством ФАФ, а также увеличения срока уведомления (до 30 дней) о проведении работ по смене сертификатов доступа к ресурсам продуктивного сегмента АСОИ ФинЦЕРТ.
Ответ
С 1 ноября 2018 г. АС “Фид-Антифрод“ использует кодировку UTF-8. В связи с сообщениями участников обмена о том, что открытие фидов стандартными средствами не всегда проходит успешно (т.к. csv-файлы фидов не распознаются автоматически как файлы с кодировкой UTF-8, например Microsoft Excel в случае отсутствия спецсимвола BOM), был предусмотрен вариант использования UTF-8 с BOM. Данный вариант программного обеспечения был размещен в зоне опытной эксплуатации с 1 июля 2020 г.
Поскольку во время опытной эксплуатации обращения участников не поступали, данный функционал вошел в обновление, и в настоящее время (с 17 августа 2020 г.) АС “Фид-Антифрод“ использует кодировку UTF-8 с BOM (спецсимволы для определения кодировки UTF-8).
В соответствии с предложением банков, а также появившимися обращениями 19– 20 сентября 2020 г. система была обновлена и проведен обратный переход на использование кодировки UTF-8 без BOM.
Предложение об увеличении срока уведомления (до 30 дней) о проведении работ по смене сертификатов доступа к ресурсам продуктивного сегмента АСОИ ФинЦЕРТ принято, при последующих обновлениях на данную операцию будет предусмотрено 30 дней.
Вопрос 6
При пользовании ФАФ выявляются случаи некорректной записи ИНН клиентов (состоял из набора нулей). Такие записи вызывают сбой при загрузке в системы мониторинга. Банки просят автоматизировать на стороне АСОИ ФинЦЕРТ проверку на наличие недопустимых значений.
Ответ
Технологически такое значение появляется из-за того, что ИНН является валидным (по алгоритму формирования и проверки ИНН) и он был указан кредитной организацией в реквизитах операции без согласия клиента. Данное предложение будет учтено при развитии системы.
До реализации автоматической блокировки возможности ввода таких значений на стороне ФинЦЕРТ будет применяться компенсирующая мера по контролю появления в фидах значений ИНН соответственно 0000000000 и 000000000000, а после доработок будет обеспечена невозможность ввода некорректных ИНН.
Вопрос 7
При заполнении полей инцидентов не предусмотрены все возможные значения показателей; некоторые из полей, помеченные как обязательные, не всегда бывают обязательными.
Например, поле “Атакованные сервисы“ — тип атакованного сервиса — обязательно (перечислены значения ДБО, АБС, файловый сервер, электронная почта), а при использовании методов социальной инженерии атакованного сервиса нет как такового. Аналогичная ситуация с полем “Вектор инцидента“. Также не все возможные варианты предусмотрены в справочнике “События вектора EXT — Последствия от реализации компьютерной атаки на клиента участника информационного обмена“.
Наиболее частые типы инцидентов — когда клиент думает, что мошенники списали с его карты денежные средства, и пишет заявление в кредитную организацию, а на самом деле никакого мошенничества нет: это сам клиент подписался на платные услуги в Интернете и забыл про них или невнимательно читал акцептованные им условия использования сервиса (просмотр фильмов, прослушивание музыки, сервисы знакомств, платные сервисы социальных сетей и т.д.), который в безакцептном порядке ежемесячно списывает абонентскую плату.
Ответ
В данном случае с помощью методов социальной инженерии злоумышленником была предпринята попытка получить персональные данные пользователя, в том числе банковские.
Если клиент вовремя осознал, что злоумышленник хочет получить его конфиденциальные данные, и положил трубку (попытки доступа к ДБО клиента не было), то участник информационного обмена в поле “Атакованные сервисы“ выбирает “Иная система“. В случае если доступ к ДБО был получен, поле заполняется значением “Клиентская система ДБО“.
Для случаев “подписок“, когда клиент сообщает об операциях без его согласия, предусмотрено несколько этапов информирования. Если при первичном информировании банк не выявил факта “подписки“, о данном факте можно сообщить в рамках промежуточного или конечного информирования с указанием на неактуальность ранее направленных сведений об операциях.
Вопрос 8
В личном кабинете несанкционированные списания денежных средств и попытки несанкционированных списаний (когда списания не удались и мошеннические транзакции не были совершены) никак друг от друга не отличаются, то есть признака попытки списания просто не предусмотрено, в результате информация об общей сумме несанкционированных списаний не соответствует действительности. При этом банки обязаны передавать в АСОИ ФинЦЕРТ информацию о попытках несанкционированных списаний.
Ответ
В текущей версии АСОИ ФинЦЕРТ используется временная схема передачи информации о неуспешных попытках проведения операций без согласия клиента — с помощью указания нулевой суммы операции.
Сведения о порядке информирования Банка России в отношении попыток несанкционированных списаний будут отражены в новой редакции стандарта Банка России СТО БР БФБО-1.5-2018.
Вопрос 9
Отсутствует возможность загружать текстовую информацию из файлов в отдельные сег- менты запросов и рассчитывать хэш в системе (паспорт, СНИЛС). Кроме того, нет функционала копирования ранее внесенных данных: приходится каждый раз при заполнении кар- точки инцидента вносить данные вручную, хотя на практике бывает множество операций по одинаковым реквизитам. Что делать?
Ответ
Эти замечания будут учтены при развитии системы. Однако следует отметить, что наиболее технологичным решением является направление информации автоматизированным способом с использованием API (это также позволяет снизить нагрузку на операторов и избежать ошибок при указании данных).
Вопрос 10
Недостаточно прозрачен процесс проставления в форме инцидента «Помощь требуется». Банки просят формализовать этот вопрос и отразить его в соответствующей документации.
Ответ
Флаг “Помощь требуется“ проставляется, когда необходимы содействие ФинЦЕРТ в анализе инцидента и (или) рекомендации по противодействию атаке.
Информация о порядке применения / неприменения флага “Помощь требуется“ указана для операций без согласия во Временной инструкции по заполнению карточки инцидента для операций без согласия клиента[9].
Информация о порядке применения флага “Помощь требуется“ будет отражена в новой редакции стандарта Банка России СТО БР БФБО-1.5-2018.
Вопрос 11
После обновления в конце 2019 г. некоторые банки не могут отчитываться об операциях по кредитным счетам, приходят ежедневные уведомления об ошибке (из-за того, что больше нельзя указывать «/» в номере счета). Что делать?
Ответ
Информирование по инцидентам построено на основе стандарта Банка России СТО БР БФБО-1.5-2018. Использование символа «/» в номере счета не предусмотрено стандартом, однако с учетом потребности банков данное предложение будет рассмотрено при корректировке нормативной базы и развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“.
Вопрос 12
Отсутствует утвержденная дорожная карта / план мероприятий по развитию ФАФ, что препятствует повышению степени автоматизации использования индикаторов из этой подсистемы. Как планируется решать проблему?
Ответ
Это замечание будет учтено при развитии систем АСОИ ФинЦЕРТ и АС “Фид-Антифрод“. Однако следует отметить, что для использования индикаторов (фидов) из системы АС “Фид-Антифрод“ технологичным решением является получение фидов с использованием API. Данный функционал доступен с ноября 2018 г., порядок его использования описан в документации на инфопортале.
Составление отчетности по форме 0403203
Вопрос 13
Согласно п. 6.2 методики составления отчетности по форме 0403203[10], в графе 3 строки 5 указывается общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов при использовании всех типов электронных средств платежа. Каким образом учитывать суммы по операциям с полным/частичным возвратом, переводы между счетами одного клиента внутри банка (в т.ч. с целью погашения кредита), опротестованные в платежных системах операции и другие подобные операции?
Ответ
В графе 3 строки 5 указывается общая сумма, в которую необходимо включать сумму всех операций, по которым наступила окончательность перевода денежных средств в соответствии с п. 16 ст. 3 Закона No 161-ФЗ[11].
Вопрос 14
В подразделе 2.1 формы 0403203 необходимо указать “количество событий, связанных с получением уведомлений от клиентов, из них в результате побуждения клиентов к совершению операции путем обмана или злоупотребления доверием“. Данный подвид операций не предусмотрен в АСОИ ФинЦЕРТ. Соответственно в системах учета инцидентов приходится вести раздельный учет инцидентов, когда хищение произошло без ведома клиентов и когда они сами совершили операцию вследствие обмана или злоупотребления доверием. Как может быть решена эта проблема?
Ответ
Значение показателя “Количество событий, связанных с получением уведомлений от клиентов, из них в результате побуждения клиентов к совершению операции путем обмана или злоупотребления доверием“ в форме 0403203 предусмотрено АСОИ ФинЦЕРТ как идентификатор блока данных “Социальная инженерия“ в соответствии с п. 12.3.3 стандарта Банка России СТО БР БФБО-1.5-2018.
Вопрос 15
Для занесения сведений об инцидентах в отчет по форме 040323 необходимо предварительно конвертировать сумму денежного перевода из иностранной валюты в рубли. Какую сумму вносить в отчет: по курсу валют на дату списания или дату авторизации?
Ответ
Указывается сумма по курсу на дату авторизации.
Вопрос 16
В случае несанкционированного списания денежных средств клиента с использованием реквизитов карты в Интернете и посредством системы ДБО в отчете по форме 0403203 заполняются строки 2 и 3 (или 4, если использовалось ДБО юридических лиц) подраздела 2.1. Как заносить инцидент в отчет, если уведомление от клиента получено одно, но инцидент можно занести сразу в две строки?
Ответ
Заполняется только строка 2 подраздела 2.1.
Вопрос 17
Какую сумму указывать в столбце 6 подраздела 2.1 (“Сумма денежных средств, в отношении которой получены уведомления от клиентов, тыс. руб.“) формы 0403203, когда клиент сообщил:
— о неудачных попытках списания?
— несанкционированном переводе с одного счета на другой при условии, что оба счета принадлежат клиенту и открыты в одном банке?
Какую сумму указывать в столбце 7 подраздела 2.1 (“Сумма денежных средств, возмещенная (возвращенная) клиентам, тыс. руб.“), если фактического списания не произошло?
Ответ
В графах 6 и 7 подраздела 2.1 указывается сумма денежных средств (в отношении которой получены уведомления от клиентов и которая возмещена (возвращена) клиентам) по операциям, по которым наступила окончательность перевода денежных средств в соответствии с п. 16 ст. 3 Закона No 161-ФЗ, независимо от принадлежности счета клиента. При этом попытки списания не учитываются.
Вопрос 18
Необходимо ли в строке 1 подраздела 2.1 (“Платежные карты (за исключением пред- оплаченных платежных карт) при использовании непосредственно в банкоматах, электронных терминалах, импринтерах“) формы 0403203 учитывать уведомления о невыдаче денежных средств в банкоматах, в том числе сторонних банков?
Ответ
В строке 1 подраздела 2.1 не требуется учитывать уведомления о невыдаче денежных средств в банкоматах, в том числе сторонних банков.
Вопрос 19
Необходимо ли вносить в отчет по форме 0403203 информацию об операциях, которые изначально расценивались как несанкционированные, но в процессе расследования были признаны клиентом легитимными?
Ответ
В отчет необходимо вносить информацию обо всех операциях, связанных с получением уведомлений от клиентов, по которым наступила окончательность перевода денежных средств, независимо от результатов расследования.
Вопрос 20
Необходимо ли в сумме оспариваемой операции указывать комиссию?
Ответ
Если в состав операции по переводу денежных средств без согласия клиента входит комиссия, она указывается в сумме оспариваемой операции.
[1] asros.ru/dialog/information-security/bank-rossii-prokommentiroval-problemy-voznikayushchie-u-kreditnykh-organizatsii-pri- vzaimodeystvii-s/.
[2] “О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации“.
[3] portal.fincert.cbr.ru/Content/1129/информация-по-изменениям-в-асои-финцерт-второй-очереди.pdf.
[4] portal.fincert.cbr.ru/Content/1136/руководство_участника.pdf.
[5] portal.fincert.cbr.ru/Content/1138/схема-3014.zip .
[6] portal.fincert.cbr.ru/Content/1132/инструкция-по-заполнению-карточки-инцидента.pdf.
[7] portal.fincert.cbr.ru/Content/1133/комплект-json.zip.
[8] portal.fincert.cbr.ru/news/изменения-в-функционале-асои-финцерт-2/, portal.fincert.cbr.ru/news/приостановка-доступа- к-лк-асои-финцерт-продуктивного-сегмента-боевая-асои-финцерт-15082020-16082020/
[9] portal.fincert.cbr.ru/Content/1132/инструкция-по-заполнению-карточки-инцидента.pdf.
[10] Указание Банка России от 09.06.2012 № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, опера- торов по переводу денежных средств“.
[11] Федеральный закон от 27.06.2011 № 161-ФЗ “О национальной платежной системе“.
Не позволяйте цифровому миру контролировать вас — подписывайтесь на наш канал и узнавайте, как защитить свою приватность!
- Подключение некредитной финансовой организации к АСОИ ФинЦЕРТ.
- Установка и настройка средств криптографической защиты информации (СКЗИ).
- Установка и настройка ПО «Континент TLS-клиент».
- Установка и настройка веббраузера Google Chrome.
- Установка серверных и пользовательских сертификатов.
- Получение доступа к информационным порталам: личный кабинет участника; сервис API-взаимодействия; сервис Крипто-API для автоматизированного подписания сообщений электронной подписью.
- Установка TLS-сертификатов, организация TLS-подключения и информационного взаимодействия по API.
По любому вопросу звоните или пишите по телефону +7(952) 045-74-83 (WhatsApp, Telegram) или на электронную почту info@law115.ru
Информирование Банка России о выявленных инцидентах защиты информации
В соответствии со статьей 76.4-1 Федерального закона от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» Банк России устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 указанного федерального закона, в целях противодействия осуществлению незаконных финансовых операций.
Во исполнение указанного закона принято Положение Банка России от 20.04.2021 №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее — Положение №757-П).
В соответствии с пунктом 1.15 Положения № 757-П некредитным финансовым организациям, реализующим усиленный, стандартный и минимальный уровни защиты информации (далее при совместном упоминании — организации), необходимо информировать Банк России о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети Интернет, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации.
Организациям также следует предоставлять в Банк России сведения о выявленных инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России — автоматизированной системы обработки инцидентов Банка России (АСОИ ФинЦЕРТ).
В случае технической невозможности взаимодействия некредитных финансовых организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России организации должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети Интернет.
С учетом изложенного, а также в связи с повышенным уровнем опасности совершения целевых компьютерных атак на финансовые организации, Департамент информационной безопасности Банка России просит вас не позднее 01.09.2022 организовать подключение к АСОИ ФинЦЕРТ.
Взаимодействие с органами государственной власти
Приложение позволяет настроить надежный и быстрый обмен информацией с АСОИ ФинЦЕРТ.
С помощью Приложения можно организовать информационный обмен между кредитной организацией и АСОИ ФинЦЕРТ в части получения бюллетеней и фидов.
Основные функции
- Поддержка подключения к сервису АСОИ ФинЦЕРТ для получения бюллетеней и фидов
- Поддержка средств электронной подписи в соответствии с требованиями подключения к сервису АСОИ ФинЦЕРТ
- Взаимодействие различных учетных систем в рамках одного банка с АСОИ ФинЦЕРТ, при условии поддержки этими системами необходимых интерфейсов
- Поддержка полных циклов информационных обменов с АСОИ ФинЦЕРТ в режиме Банк – инициатор запроса:
- мониторинг наличия новых бюллетеней в АСОИ ФинЦЕРТ
- отправка подготовленных XML-запросов, полученных из информационной системы банка в АСОИ ФинЦЕРТ
- передача ответов АСОИ ФинЦЕРТ в информационную систему банка
На ваши вопросы готовы ответить:
