ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КИБЕРУСТОЙЧИВОСТИ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ: ПРАВОВОЙ И МЕТОДОЛОГИЧЕСКИЙ АСПЕКТЫ Текст научной статьи по специальности «Право»

10.5. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КИБЕРУСТОЙЧИВОСТИ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ: ПРАВОВОЙ И МЕТОДОЛОГИЧЕСКИЙ АСПЕКТЫ

Шугунов Тимур Лионович, канд. физ.-мат. наук. Должность: старший преподаватель. Место работы: Кабардино-Балкарский государственный университет им. Х.М. Бербекова. Подразделение: кафедра информационной безопасности. E-mail.: tshugunov@yandex.ru Жуков Азамат Заурбекович, канд. техн. наук. Должность: старший преподаватель. Место работы: Краснодарский университет МВД России. Филиал: СевероКавказский институт повышения квалификации. Подразделение: кафедра деятельности органов внутренних дел в особых условиях. E-mail: Zhu-kov_azamat@mail.ru

Хочуева Фазиля Абдулаховна. Должность: преподаватель. Место работы: Кабардино-Балкарский государственный университет им. Х.М. Бербекова. Подразделение: социально-гуманитарный институт, центр дополнительного образования. E-mail: fah11061987@mail.ru

Аннотация: В статье рассмотрены ключевые проблемы обеспечения информационной безопасности банковского сектора Российской Федерации в двух аспектах: правовом и методологическом. Приведен анализ состояния системы обеспечения киберуст-войчивости кредитно-финансовой системы в условиях становления и развития цифровой экономики. Формирование системы киберустойчивости банковской сферы является острой проблемой, которая требует комплексного подхода к ее решению. Актуальность данного исследования очевидна, так как киберустойчивость кредитно-финансовой системы является важнейшим элементом в обеспечении высокого уровня информационной безопасности государства в целом. Создание эффективной, современной и высокотехнологичной системы обеспечения киберустойчивости банковской системы Российской Федерации необходимо для повышения уровня привлекательности финансовых инструментов нашего государства на международном финансовом рынке.

Ключевые слова: киберустойчивость, банковская система, информационная безопасность, криптография, информационные технологии, киберриски, банки, кредитно-финансовый сектор.

PROBLEMS OF ENSURING CYBER STABILITY OF THE BANKING SYSTEM OF THE RUSSIAN FEDERATION: LEGAL AND METHODOLOGICAL ASPECTS

Shugunov Timur Lionovich, PhD in Physics and Mathematics. Position: senior lecturer. Place of employment: Kabardino-Balkarian State University named after H.M.Berbekov. Department: Information security chair. Email.: tshugunov@yandex.ru

Zhukov Azamat Zaurbekovich, PhD in Technical Sciences. Position: senior lecturer. Place of employment: Krasnodar University of MIA Russia. Branch: North Caucasus Institute for Advanced Studies. Department: internal Affairs' activities in the special conditions. E-mail: Zhukov_azamat@mail.ru Hochueva Fazilya Abdulakhovna. Position: lecturer. Place of employment: Kabardino-Balkarian State University named after H.M.Berbekov. Department:Social Humanities institute, additional education centre. E-mail: fah11061987@mail.ru

Annotation: The article discusses the key problems of ensuring information security of the banking sector of the Russian Federation in two aspects: legal and methodological. The analysis of the state of the system of ensuring cyber stability of the credit and financial system in the conditions of the formation and development of the digital economy is given. The development of a cyber stability system for the banking sector is an acute problem that requires an integrated approach to its solution. The relevance of this study is obvious, since cyber stability of the credit and financial system is an essential element in ensuring a high level of information security of the state as a whole. The creation of an effective, modern and high-tech system to ensure cyber stability of the banking system of the Russian Federation is necessary to increase the attractiveness of our state's financial instruments in the international financial market.

Keywords: cyber stability, banking system, information security, cryptography, information technology, cyber risks, banks, credit and financial sector

Введение

В последнее время общество все чаще сталкивается с таким понятием как киберустойчивость, киберпре-ступность, так как в век информатизации мы наблюдаем активное использование информационных технологий в преступных целях. Особые риски в сфере нарушения кибербезопасности наблюдаются именно в сфере финансово-кредитных отношений. Данная сфера имеет повышенный интерес, так как позволяет получить финансовые выгоды, применяя достижения в сфере информационных технологий. Также повышенный интерес к информации банковского сектора объясняется и тем, что кредитно-финансовая система Российской Федерации является элементом сферы государственных финансов.

Основные положения работы. Научная публикация направлена на анализ функционирующей системы обеспечения информационной безопасности банковского сектора. Изучение системы обеспечения киберу-стойчивости банков России позволит выявить существующие проблемы в данной сфере с двух позиций: правовой и технологической. Комплексный подход направлен на подтверждение необходимости формирование целостной, системной базы для обеспечения высокого уровня киберустойчивости кредитно-финансовой системы России, которая будет соответствовать мировым стандартам в правовом и методологическом отношениях.

Результаты исследования

Количество утечек информации в мире возрастает (рисунок 1). За последние 10 лет количество утечек информации в и мире увеличилось практически в 10 раз. Это свидетельствует о высоком интересе к информации со стороны преступных сообществ.

Следует проанализировать распределение утечек по отраслям за 1 полугодие 2019 года. Так кредитно-финансовая сфера входит в число наиболее уязвимых сфер со стороны кибепреступников. В тоже время отмечено и перераспределение числа утечек, объясняется это, скорее всего тем обстоятельством, что кредитно-финансовая система имеет более эффективные инструменты обеспечения киберустойчивости по сравнению с системами образования, здравоохранения.

ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КИБЕРУСТОЙЧИВОСТИ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Шугунов Т.Л.

Жуков А.З. Хочуева Ф.А.

1400 1200 1000 800 600 400 200 0

1276

ю: 9

ЧЙг —92

''72: ;

49

Г-761 Г5" -га Г'ч-

^ сч<? ^

X4 -СЛ о> сЛ _ Оч4

^ ^ ^ ^ ^ ^ ^ ^ ^ ^ л?

Рисунок 1 - Количество утечек информации в мире (2006 - 2019 гг.)

анализа данных об атаках и оповещение банков о возможных угрозах. Также центр разрабатывает и передает банкам информацию в виде инструкций и рекомендаций. Однако банки должны самостоятельно выстраивать свою систему защиты информации, не ожидая рекомендаций центра.

Субъекты банковской системы должны осознавать, что установка антивирусной программы на компьютер - это не инструмент обеспечения киберустойчивости. Необходимо создание новых программных и технических продуктов, которые направлены именно на защиту информации финансового характера. Это один из важнейших элементов, необходимых для развития информационных технологий в дальнейшем.

Так по результатам анализа каналов утечки информации по итогам 1 полугодия 2018 года и 1 полугодия 2019 года можно сделать вывод о том, что основным способом утески информации является использование интернет-ресурсов. (рисунок 3)

А вот информация, которая находится на бумажных носителях, теряет свою актуальность, так как огромные объемы стратегически важной информации хранятся именно в электронном виде.

Рисунок 2 - Распределение количества утечек в мире по отраслям за 1 полугодие 2019 г.

Но процент остается по - прежнему очень высоким, так нарушение киберустойсивости в банковской сфере связано с высокими финансовыми потерями, как среди физических лиц, так и юридических, что вызывает особую тревогу. Объясняется это тем, что данная проблема затрагивает и государственные финансы.

Центральный банк Российской Федерации четко осознает необходимость создания устойчивой и эффективной системы кибербезопасности банковского сектора.

В 1 полугодии 2019 года было проведено 109 проверок финансово-кредитных организаций с целью оценки их системы киберустойчивости. По результатам проверок выявлено 730 нарушений. В числе выявленных нарушений 80% составляют нарушения, которые связаны с недостаточной защитой информации внутри банка. В связи с чем необходимо и в дальнейшем усиливать надзор в данном направлении, более тщательно и всесторонне подходить к вопросам обеспечения киберустойчивости.

В Банке России функционирует Департамент информационной безопасности, который и занимается решением данных задач. В структуре Департамента функционирую ряд подразделений.

В качестве основной цели Центра компетенций выступает разработка методологии обеспечения эффективной системы киберустойчивости банковского сектора РФ. К числу ключевых задач, которые решает Центр компетенций, является развитие системы информационной безопасности банковской сферы с учетом мировых тенденций.

В целях борьбы с кибератаками и киберугрозами в структуре ЦБ РФ создан Центр предупреждений кибе-ругроз, который называется также Финцентр. Функции данного подразделения предполагают осуществление

Рисунок 3 - Анализ каналов утечки информации в 1 полугодии 2018 и 2019 гг.

Обсуждение

Активное развитие информационных технологий, а особенно в кредитно-финансовом секторе сопровождается ростом киберрисков. В последнее время мы наблюдаем утечку информации в Сбербанке России, что вызвало повышенный интерес государственных органов к обеспечению информационной безопасности в банковской сфере. В этой ситуации ЦБ РФ усиливает надзор над киберустойчивостью банков. Банки должны очень тщательно подходить к вопросам ки-бербезопасности.

Ключевые цели и задачи развития информационной безопасности и киберустойчивости определены в рамках основных направлений развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов. Обозначим основные направления развития информационной безопасности кредитно-финансовой сферы:

- обеспечение финансовой стабильности кредитного сектора посредством использования инструментов формирования эффективной системы информационной безопасности и киберустойчивости;

- построение современной как в правовом, так и техническом плане системы противодействия компьютерным атакам, в том числе с применением инновационных финансовых технологий;

- всесторонняя и эффективная защита прав потребителей финансово-кредитных услуг на нормативно-правовом и технологическом уровнях.

Основные направления, которые обозначены в рамках программы по развитию информационной безо-

пасности кредитно-финансовой сферы на период 2019-2021 годов определяют тренды и предпосылки в развитии информационной безопасности банковской сферы на краткосрочный период времени. Следует отметить, что обозначены конкретные мероприятия, которые направлены на формирование системы информационной безопасности и киберустойчивости банковского сектора страны. [5]

Мероприятия, реализуемые Центральным Банком Российской Федерации, разработаны в рамках целей и задач федеральных проектов национальной программы «Цифровая экономика Российской Федерации».

Обозначенные и реализуемые направления разработаны с учетом ряда ключевых документов, направленных на формирование эффективной и современной системы информационной безопасности Российской Федерации:

1. Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 05.12.2016 №646;

2. Стратегия развития информационного общества в Российской Федерации на 2017-2030 годы, утвержденная Указом Президента Российской Федерации от 09.05.2017 №203;

3. Стратегия экономической безопасности Российской Федерации на период до 2030 года, утвержденная Указом Президента Российской Федерации от 13.05.2017 №208;

4. Приоритетные направления международной деятельности Банка России на период 2019-2021 годов.

Разработанные документы являются фундаментом для разработки нормативно-правовой базы в сфере информационной безопасности и киберустойчивости, так и для создания методологических основ системы защиты информации в стране. [2,3,4]

Разработанная Банком России программа развития информационной безопасности до 2021 года носит комплексный характер, что во многом и предопределит эффективность от ее реализации для развития ки-берустойчивости банковской системы Российской Федерации. Данная программа охватывает мероприятия от обучения студентов до массового внедрения криптографии и регулирования роботизации. Однако данная программа Банка Россия вызывает ряд сомнений, многие считают ее недостаточно ясной и аргументированной. [7, с. 110]

Так ряд вопросов вызывает стремление Банка России внедрить массовое использование криптографии на кредитно-финансовом рынке. Это объясняется тем, что внедрение данного инструмента в таком масштабе требует ряд действий со стороны Федеральной службы безопасности. Федеральная служба безопасности имеет крайне жесткую позицию в данном вопросе, что в свою очередь приводит к возникновению правовых и административных барьеров. Об этом свидетельствует достаточно сложный процесс разработки фундаментальных нормативно-правовых документов ЦБ РФ по информационной безопасности.

Вопросы у финансовых экспертов и специалистов в сфере информационной безопасности вызывает идея по введению аккредитации аудиторских организаций по информационной безопасности, так как, по их мнению, это может сформировать искусственный спрос и рост затрат. Количество организаций, которые оказываю услуги такого рода, составляет около 20 тыс. Кроме того, аудиторская организация может функционировать при наличии аккредитации ЦБ РФ и лицензии

Федеральной службы по техническому и экспортному контролю.

Формирование и функционирование эффективной системы обеспечения киберустойчивости банковской сферы возможно только при условии разработки нормативно-правового механизма. В нормативно-правовых документах должны быть четко регламентированы полномочия Банка России по организации и установлению требований данного рода к участникам кредитно-финансового рынка.

Нормативно-правовой механизм должен позволять избежать непредсказуемости действий ЦБ РФ и его структурных подразделений в сфере проведения надзора.

В настоящее время в соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05.12.2016 №646, Банк России - орган, который составляет основу системы формирования и обеспечения информационной безопасности и киберу-стойчивости финансово - кредитной системы Российской Федерации. [8]

В рамках закона о Банке России определены полномочия Банка России по вопросам обеспечения киберу-стойчивости и защиты информационных данных при осуществлении следующих действий:

- проведение банковских и финансовых операций;

- осуществление переводов денежных средств;

- работы по ведению базы данных о случаях и попытках несанкционированных переводов денежных средств;

- осуществление обмена информацией между кредитно-финансовыми организациями. [1]

Важно объективно определять уровень защиты вычислительной системы банковской сферы. Оценку планируется проводить комплексно, учитывая особенности каждого элемента кредитно-финансовой сферы.

Банк России планирует закрепить на нормативно-правовом уровне обязанность представлять в Банк России показатели количества несанкционированных доступов кредитно-финансовыми структурами.

Важным аспектом формирования киберустойчивости банковской сферы является и создание методологической основы. Так как при создание нормативно-правовой базы обеспечения информационной безопасности банковских структур не позволит обеспечить необходимый уровень защиты информации в практической деятельности. [6]

В качестве методологического фундамента выступает система разработки и применения комплекса государственных стандартов:

- домен УР - «Управление риском реализации информационных угроз»;

- домен ЗИ - «Защита информации финансовых организаций»;

- домен УИиСО - «Управление инцидентами защиты информации и обеспечение ситуационной осведомленности»;

- домен ОН - «Обеспечение операционной надежности»;

- домен УА - «Управление риском реализации информационных угроз при аутсорсинге и использовании сторонних информационных услуг (сервисов)».

Заключение

В целом функционирующая система обеспечения киберустойчивости в кредитно-финансовом секторе имеет ряд проблем как нормативно-правового, так и

ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КИБЕРУСТОЙЧИВОСТИ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

методологического характера. Статистические данные подтверждают факт наличия киберрисков в банковском секторе. Положительным фактором является активное включение государства в лице Банка России в процесс формирования системы информационной безопасности банковского сектора. Очевидно, что решение данной проблемы возможно только при комплексном подходе, который и обозначен в программе, разработанной Банком России. Мероприятия, которые обозначены в рамках данного документа, вызывают ряд вопросов у экспертов, но решение этих вопросов представляется возможным посредством внесения дополнений в виде дополнительных рекомендаций, инструкций. Реализация программы по данному алгоритму и с учетом происходящих изменений позволит создать нормативно-правой и методологический фундамент для дальнейшего развития системы обеспечения информационной безопасности кредитно-финансовой системы РФ.

Список литературы:

1. Федеральный закон « О банках и банковской деятельности» от 02.12.1990 N 395-1 (последняя редакция)

2. Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 05.12.2016 №646;

3. Стратегия развития информационного общества в Российской Федерации на 2017-2030 годы, утвержденная Указом Президента Российской Федерации от 09.05.2017 №203;

4. Стратегия экономической безопасности Российской Федерации на период до 2030 года, утвержденная Указом Президента Российской Федерации от 13.5.2017 №208;

5. Приоритетные направления международной деятельности Банка России на период 2019-2021 годов.

6. Жуков А.З., Шугунов Т.Л., Хочуева Ф.А. Актуальные вопросы обеспечения информационной безопасности в банковском секторе Российской Федерации// Форум молодых ученых № 8(24), 2018 г., с. 258-263.

7. Хлестова Д. Р. Важные аспекты обеспечения информационной безопасности в банках// Международный научный журнал «СИМВОЛ НАУКИ» №5/2016 с. 109-111

8. Официальный сайт Центрального банка Российской Федерацииhttps://cbr.ru/

Reference list:

1. Federal Law "On Banks and Banking Activities" dated 02.12.1990 N 395-1 (latest edition)

2. The Doctrine of Information Security of the Russian Federation, approved by Decree of the President of the Russian Federation dated 05.12.2016 No. 646;

3. The strategy for the development of the information society in the Russian Federation for 2017-2030,

Шугунов Т.Л.

Жуков А.З. Хочуева Ф.А.

approved by Decree of the President of the Russian Federation of 05.09.2017 No. 203;

4. The Economic Security Strategy of the Russian Federation for the period until 2030, approved by Decree of the President of the Russian Federation dated 13.5.2017 No. 208;

5. Priority areas of international activity of the Bank of Russia for the period 2019-2021.

6. Zhukov A.Z., Shugunov T.L., Khochueva F.A. Actual issues of ensuring information security in the banking sector of the Russian Federation // Forum of Young Scientists No. 8 (24), 2018, p. 258-263.

7. Khlestova DR. Important aspects of ensuring information security in banks // International scientific journal SYMBOL OF SCIENCE No. 5/2016 p. 109-111

8. The official website of the Central Bank of the Russian Federation https://cbr.ru/

Рецензия

на статью к.ф.-м.н., Шугунова Г.Л., к.т.н. Жукова Л.З.. Хочуевой Ф.Д. «Проблемы обеспечения киберустойчивости банковской системы Российской Федерации: правовой и методологический аспекты»

В статье авторского коллектива рассматривается актуальная проблема обеспечения киберустойчивости банковской системы Российской Федерации в двух направлениях: правовом и методологическом. Авторы представили анализ современной ситуации на финансово-кредитном рынке.

Очевидно, что обеспечение высокого уровня киберустойчивости является стратегической задачей для формирования эффективной системы информационной безопасности государства.

Статья отличается комплексным подходом, представлен обзор нормативно-правовой базы, проблем технологического характера. Одним из достоинств работы является представление статистического материала, что подтверждает актуальность и значимость данной проблемы.

Представленная статья носит научный характер. В ходе исследования сделан акцент на необходимость доработки нормативно-правовой и технологической базы обеспечения киберустойчивости банковского сектора.

Следует отметить, что в статье представлены мероприятия, которые реализует Банк России по обеспечению информационной безопасности банковской системы.

Статья имеет логическую и четкую структуру, написана понятным языком. В целом научная работа соответствует требованиям, которые предъявляются к работам данной категории. Работа выполнена на необходимом научном и методическом уровне, что позволяет рекомендовать ее к публикации в журнале.

Доцент кафедры ДоУ СКИ(ф) КрУ МВД России, канд. юрид. наук, подполковник полиции А.Б. Абазов

Статья прошла проверку системой «Антиплагиат»; оригинальность текста - 81,37%