Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг
- 1. VII Уральский форум Информационная безопасность банков Об осуществлении Банком России деятельности, направленной на снижение рисков нарушения безопасности платежных услуг Тимур Кабирович Батырев 16-21 февраля 2015 г.
- 2. Банк России Содержание 2 1. Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков. 2. Итоги 2014 года Основные направления деятельности в рамках контроля безопасности платежных услуг Регулирование в области безопасности платежных услуг. Причины внесения изменений в 382-П Изменения, внесенные в Положение № 382-П Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202 Предварительные результаты анализа отчетности по форме 0403203 Совершенствование методологии проверок по вопросам безопасности платежных услуг Проведение проверок кредитных и поднадзорных организаций 3. Совершенствование деятельности: актуальные вопросы и перспективы Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности Результаты опроса по стандартизации безопасности платежных услуг Взаимодействие с клиентом VII Уральский форум: Информационная безопасность банков
- 3. Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 1
- 4. Банк России Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков 4 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор Кредитный риск Риск ликвидности Операционный риск
- 5. Банк России Регулирование в НПС: 3 контура взаимодействия и обратной связи 5 Риск нарушения безопасности платежных услуг VII Уральский форум: Информационная безопасность банков ОУПИ ОПДС ОПС Определение профиля риска нарушения БФПС Надзор Кредитный риск Риск ликвидности Операционный риск 1 2 3Внутренний контур ПС Контур общего регулирования в НПС Контур регулирования безопасности в НПС
- 6. Банк России Локальное регулирование Определение профиля риска нарушения БФПС Определение принципов локального регулирования Глобальное регулирование Контроль в рамках надзора Унификация подходовНадзор 6 Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС Кредитный риск Риск ликвидности Операционный риск Контроль безопасности платежных услуг как деятельность, направленная на снижение рисков VII Уральский форум: Информационная безопасность банков Недостаточно проработана методология Недостаточно мотивацииРиски платежной системы Собственные риски Риски клиента Собственные риски Недостаточно полномочийРиски участников Риски отрасли Недостаточно мотивации Недостаточно мотивации
- 7. Итоги 2014 года 2 О работе, проведенной Банком России в рамках контроля безопасности платежных услуг
- 8. Банк России Основные процессы, осуществляемые в 2014 году в рамках контроля безопасности платежных услуг 8VII Уральский форум: Информационная безопасность банков Риск нарушения безопасности платежных услуг ОУПИ ОПДС ОПС Кредитный риск Риск ликвидности Операционный риск Определение профиля риска нарушения БФПС Глобальное регулирование Дистанционный и контактный надзор Сбор и обработка отчетности по ф. 0403202, 0403203 Унификация подходов 2 1 3 4
- 9. Банк России 1. Регулирование в области безопасности платежных услуг. Причины внесения изменений в Положение № 382-П. 9VII Уральский форум: Информационная безопасность банков Принцип соразмерности регулирования рискам, присущим деятельности субъектов НПС и связанным со снижением безопасности оказания платежных услуг « » Стратегия развития НПС: Целью развития НПС является обеспечение эффективного и надежного функционирования субъектов НПС в том числе для обеспечения финансовой стабильности, повышения качества, доступности и безопасности платежных услуг. « » 3361-У Почему существовавшие до внесения изменений требования не могли быть универсальными? Электронные денежные средства Платежные карты, мобильный банкинг Интернет-банкинг Платежные системы класса B2B Увеличение средней величины платежа Снижение «кумулятивного» эффекта Усложнение модели нарушителя Изменение профиля риска
- 10. Банк России 1. Регулирование в области безопасности платежных услуг. Изменения, внесенные в Положение № 382-П. 10VII Уральский форум: Информационная безопасность банков Выполнение требований Организационные меры Выбор + применение, Порядок, Ответственность, Контроль, Иные действия Технические средства Выбор + использование, Порядок, Ответственность, Контроль, Иные действия Применение объектов инфраструктуры, для которых характерен более низкий профиль риска + Контроль с учетом параметров и статистики выполняемых операций, количества и характера выявленных инцидентов Интернет-банкинг, Мобильный банкинг Банкоматы, платежные терминалы Платежные карты
- 11. Банк России 2. Сбор и обработка отчетности. Основные процессы. 11VII Уральский форум: Информационная безопасность банков Предоставление отчетности 0403202 0403203 Надзор Анализ Информирование Выявление нарушений Выявление проблем, Стратегическое планирование Предоставление исходных данных для принятия решений (последний отчет за 2014 год предоставлен 25 января)
- 12. Банк России 2. Сбор и обработка отчетности. Результаты сбора отчетности по форме 0403202. 12VII Уральский форум: Информационная безопасность банков Качественная оценка Значение итогового показателя Rпс Всего операторов Доля, % ОПДС ОПС ОУПИ Неудовлетворительная 0 < Rпс< 0,5 20 2,38% 19 0 1 Сомнительная 0,5 ≤ Rпс< 0,7 139 16,55% 138 1 1 Удовлетворительная 0,7 ≤ Rпс<0,85 532 63,33% 251 18 28 Хорошая 0,85 ≤ Rпc< 1 134 15,95% 130 4 7 Rпc= 1 15 1,79% 14 1 0 Итого 840 822 24 38 1,79% Необходим новый подход к толкованию «серьезности» нарушений (некоторые не носят угрожающий характер) 0,74Среднее значение Rпс Необходимо проанализировать причину нарушений и «уязвимые места» в регулировании Необходимо усилить контроль за выполнением требований
- 13. Банк России 2. Сбор и обработка отчетности. Предварительные результаты анализа отчетности по форме 0403203. 13VII Уральский форум: Информационная безопасность банков Количество несанкционированных операций, ед. Объем несанкционированных операций, млн р. По платежным картам Количество инцидентов, связанных с использованием систем ДБО, ед. Сумма, на которую были исполнены распоряжения, млн р. По системам ДБО 04032030409258
- 14. Банк России 3. Совершенствование методологии проверок по вопросам безопасности платежных услуг. 14VII Уральский форум: Информационная безопасность банков Получен опыт при проведении проверок. Собрана отчетность, выработан аппарат ее обработки. Введены в действие новые нормы 382-П. Снижение нагрузки на проверяемые организации, детализация процессов предпроверочной подготовки; «Точечный» подход: определение наиболее слабых мест в организации и проверка по данным направлениям; Диверсификация нарушений по тяжести; Повышение предсказуемости результатов проверки; Публикация ожиданий регулятора по проверяемым вопросам (?) Разработка структуры методики; Проведение совещаний со специалистами, привлеченными к участию в проверках; Наполнение разработанной структуры; Согласование в Банке России; Установление внутренних регламентов; Решение о публикации выдержек.
- 15. Совершенствование деятельности: актуальные вопросы и перспективы 3
- 16. Банк России Подготовка предложений по изменению законодательства РФ и Работы по повышению финансовой грамотности в области безопасности платежных услуг 16 Подготовлены предложения о внесении изменений в статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ Подготовлены предложения по проекту федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации (в части противодействия хищению денежных средств)» Предложения по изменению законодательства Повышение финансовой грамотности Подготовлены материалы по повышению финансовой грамотности населения в области безопасности платежных услуг Организации работ по взаимодействию со средствами массовых коммуникаций совместно с Департаментом международного сотрудничества и общественных коммуникаций VII Уральский форум: Информационная безопасность банков
- 17. Банк России Результаты опроса по стандартизации безопасности платежных услуг 17 «Электронные деньги» НП НПС Ассоциация НПС ТК 122 (ПК 1 и ПК 4) АРБ Противодействие инцидентам Уточнение урегулированных вопросов Рекомендации по неурегулированным вопросам Сомнительные операции Критерии Привлечение сторонних организаций и контроль их деятельности Аутсорсинг Выбор Контроль Ответственность Проведение оценки выполнения требований Целесообразно по окончании работ над методикой проверок Работа с клиентами VII Уральский форум: Информационная безопасность банков
- 18. Банк России Взаимодействие с клиентом. 18 Клиент Злоумышленник Возможность контроля публичной инфраструктуры оператора, многократно превышающая его собственные Распоряжение счетом и ЭСП, которые являются предметом действий злоумышленника Реализация прав и обязанностей, предусмотренных статьей 9 Федерального закона № 161-ФЗ Взаимодействие только с операторами по переводу денежных средств Низкий уровень подконтрольности, специфическая мотивация Совершенствование методов и инструментов, возможность использования технических и социальных методов Использование уязвимостей в технологиях и процессах предоставления услуг Доступность информации о методах совершения преступлений и средств совершения преступлений Развернутая сеть контактов, «разделение труда» Цель - хищение денежных средств или легализация преступных доходов Необходимость осуществления скрытого воздействия VII Уральский форум: Информационная безопасность банков Управление спросом на услуги, определение параметров такого спроса
- 19. Банк России 19 Спасибо за внимание! Заместитель директора Департамента национальной платежной системы Тимур Кабирович Батырев VII Уральский форум: Информационная безопасность банков