Вопросы информационной безопасности национальной платежной системы России Текст научной статьи по специальности «Экономика и бизнес»

Вопросы информационной безопасности Национальной платежной системы России

сч

09 £

Б

а

2 ©

Крылов Григорий Олегович,

д-р физ.-мат. наук, проф., Финансовый университет, op50@mail.ru Курило Андрей Петрович, канд. тех. наук, Inline Системная интеграция, akurilo@in-line.ru Ларионова Светлана Львовна, канд. тех. наук, Финансовый университет, sv-larionova@yandex.ru

В статье проведен анализ мероприятий, предпринимаемых на государственном уровне по обеспечению информационной безопасности национальной платежной системы и оценка их эффективности. Обеспечение информационной безопасности в финансовой сфере непосредственно связано с финансовой и политической стабильностью и независимостью страны. Бесперебойное функционирование национальной платежной системы определяется показателями бесперебойности и непосредственно зависит от показателей информационной безопасности, например, таких как количество остановленных операций к общему количеству мошеннических операций. В статье проведен детальный анализ отчетов Банка России об инцидентах информационной безопасности в банковской сфере за периоды времени, обозначены основные тренды в этой области и определена эффективность предпринятых мер. Показаны тенденции в области развития мошеннических операций и усиление использования методов социальной инженерии. Выделены основные шаги, предпринятые на государственном уровне для обеспечения финансовой стабильности, и наглядно показано влияние этих шагов на сокращении инцидентов в финансовой сфере. Перечислены основные законодательные акты в области обеспечения финансовой стабильности. Узаконенные мероприятия и ранее были определены в качестве мероприятий обеспечения информационной безопасности. Эти мероприятия, не установленные в качестве законодательных требований и носившие характер рекомендаций, не имели эффекта в обеспечении безопасности. Именно введение обязательности выполнения требований и появление надзорного органа существенным образом повлияло на сокращение мошеннических операций.

Ключевые слова: защита информации, информационная безопасность, денежные средства, анализ инцидентов, атаки на операторов, защита интересов клиентов, мошеннические операции в финансовой сфере, законодательство

Важность обеспечения безопасности финансовых услуг

Национальная платежная система - ключевая составляющая экономики страны, т.к. обеспечивает участие всех физических и юридических лиц в финансовых и экономических отношениях, основой которых является движение денежных средств. Эффективное и бесперебойное функционирование субъектов Национальной платежной системы (НПС) является одним из основных факторов, влияющих на развитие экономики страны, рост ВВП, повышение скорости оборачиваемости средств, реализацию денежно-кредитной политики, финансовую стабильность и независимость, повышение качества и безопасности безналичных платежных услуг, способствует выводу экономических отношений из «серой» зоны [1, с.384]. От того, насколько мы будем успешны в вопросах организации функционирования НПС, как сказал Председатель Правительства РФ Медведев Д.А., зависит успех нашей финансовой стратегии и степень защищенности от неблагоприятных финансовых условий, которые возникают в разных экономических сферах в настоящий момент в связи с неблагоприятной политической обстановкой.

Шаги обеспечения информационной безопасности в НПС

Эффективное и бесперебойное функционирование НПС связано, прежде всего, с ее надежным и безопасным функционированием, т.е. с реализацией основных категорий, жестко связанных с понятием «информационная безопасность»: доступности сервисов НПС, обеспечения целостности передаваемой информации, прежде всего платежных документов и их конфиденциальности (обеспечения банковской тайны). Федеральный закон от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе»1 (далее - Закон) в статье 27 вводит обязанность всех субъектов НПС по обеспечению защиты информации при переводе денежных средств и наделяет Банк России правом нормативного установления требований информационной безопасности для субъектов НПС и контроля их выполнения. Тем самым Закон, с одной стороны, существенным образом упорядочил деятельность по обеспечению информационной безопасности в финансовой сфере (в пределах сферы регулирования закона) и ужесточил на законодательном уровне последствия по невыполнению провайдерами платежных услуг своих обязанностей в этой области [2, с.70].

Для реализации своих полномочий и обязанностей в рамках Закона Банк России выпускает 9 июня 2012 г. Положение № 382-П «О требованиях к обеспечению защиты информации при переводе денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Зарегистрировано в Минюсте России 14 июня 2012 г. N 24575)2. В дальнейшем положение дорабатывается на регулярной основе с учетом внедрения новых банковских и информационных технологий, а также изменения спектра угроз информационной безопасности. Помимо этого, Банк России выпускает ряд писем, в которых детально рассматривает риски предоставления финансовых услуг с использованием новых банковских технологий, методы и средства снижения данных рисков с целью повышения степени защищенности операций клиентов. Например, Письмо ЦБ РФ от 5

Федеральным закон от 27 июня 2011 года N 161-Ф1 "О национальной платежной системе"

Статья 27. Установление

• Обязанное™ Субъектов НПС по обеспечению зешиггы и и 111 г:,::: и

* Право Банка России устанавливать требования по обеспечению защиты информации и контролировать им выполнение.

!:', ки и и 1 |' П.: | ы г ч(-|> и

Установление требований по обеспечению зашиты ни формации. Положение № 382-П от 09 06.12

Установление Рекомендаций Банка России ио отдельным визам операций.

Уста повле! I и е мон н тор и и га Эффективности применяемых мер (отчетность! Указание от 9 июни 2012 г. №2831 -У и форма отчетности 0409258

О Организация Банком России проверок по контролю выполнения требовании, и Установление мер воздействия невыполнения требований по обеспечению

защиты информации, и Сертификация деятельности по организации платежных систем по переводу денежных средств, ццмн нвегряггяввые меры

^Статья 9. Установление обязанности операторов по переводу денежных средств

* информировать клиентов по всем операциям с электронными средствами платежа,

* возвращать средства при оспаривании операции не позднее следующего дня. финансовые меры

Рис. 1. Основные шаги по организации обеспечения информационной безопасности в НПС.

августа 2013 г. N 146-Т «О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети «Интернет»3, Письмо от 24 марта 2014 г. № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»4 и др.

С целью мониторинга эффективности применяемых субъектами НПС мер по защите информации и обеспечению информационной безопасности Банк России издал Указание от 9 июня 2012 г. №2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем,операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» (Зарегистрировано в Минюсте России 14 июня 2012 г. N 24573)5. В рамках данной отчетности Банк России на регулярной основе собирает сведения об инцидентах, связанных с нарушением информационной безопасности при осуществлении переводов денеж-

ных средств. Кроме того, информация об инцидентах в области информационной безопасности также собирается в соответствии с формой отчетности 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», установленной Указанием Банка России от 12.11.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации»6.

В соответствии с указаниями Президента РФ Путина В.В. о публичной отчетности контрольно-надзорных органов об итогах проводимых ими проверок, Банк России каждые полгода публикует отчеты об инцидентах в НПС: обзор о несанкционированных переводахденежных средств, которые, в конечном счете, являются показателями нарушения бесперебойности работы НПС и угрозы финансовой стабильности и безопасности страны в связи с возможным ростом недовольства ее граждан качеством работы и безопасностью НПС. Данные обзоры Банка России позволяют на основе анализа представ-

ляемой динамики инцидентов делать выводы об эффективности/неэффективности применяемых мер и о необходимости направления дополнительных усилий в отношении тех или иных банковских услуг. В связи с чем, данные обзоры представляют интерес для более детального анализа.

Закон № 161-ФЗ определил Банк России в качестве контролирующего органа в области обеспечения защиты информации в финансовой сфере, наделив его правом нормативного регулирования. В июне 2012 г. Банк России ввел в действие требования к обеспечению защиты информации в рамках Положения № 382-П. Это не был первый шаг Банка в части обеспечения информационной безопасности в финансовой сфере. До этого Банк России, не имея права нормативного регулирования, выпустил целый комплекс стандартов по информационной безопасности для кредитно-финансовой сферы, известных как «СТО БР ИББС», а также издал ряд писем о рисках информационной безопасности и необходимых мерах по их снижению при предоставлении отдельных банковских услуг. Однако все эти документы носили рекомендательный характер, что вызывало сильные затруднения при реализации требований этихдокументов на практике.

Выпуск Положения № 382-П стал первым шагом в обеспечении информационной безопасности, сделанным Банком России в новом качестве - в качестве контролирующего информационную безопасность в финансовой сфере органа. Требования Положения № 382-П не являются новыми уникальными требованиями, которые ранее не были известны субъектам финансовой сферы. Большинство из них были взяты из Стандартов Банка России в области информационной безопасности СТО БР ИББС, выпущенных задолго до Положения № 382-П. Но именно требования Положения стали обязательными

О £

ю

5

оо 2

N 00 £

I

а

3

о

для выполнения, а не рекомендации в области информационной безопасности. Выход положения, по сути, ознаменовал начало эпохи ответственности финансовых организаций за обеспечение информационной безопасности предоставляемых ими услуг [3, с.63]. На рис.1 представлены основные шаги по установлению контроля на государственном уровне за деятельностью по обеспечению защиты информации в финансовой сфере.

До выхода закона № 161-ФЗ риски в области совершения несанкционированных операций по счетам клиентов в большой степени были возложены на клиентов и покрывались за счет средств клиентов. В связи с этим, Банк России получал колоссальное количество писем с жалобами от клиентов даже самых крупных и уважаемых банков страны.Уровень неудовлетворенности электронными банковскими сервисами был велик, уровень эффективности и бесперебойности работающих в стране платежных систем - недостаточен.

Вторым серьезным шагом Законодателя по возложению ответственности за обеспечение информационной безопасности в финансовой сфере стало вступление в силу с 1 января 2014 г статьи 9 Закона № 161-ФЗ [4, с. 20]. Это статья обязывает операторов по переводу денежных средств, предоставляющих клиенту электронные средства платежа, например, банковские карты, уведомлять клиента о каждой совершенной им операции с использованием данного электронного средства платежа и сохранять подтверждения об уведомлении не менее трех лет. Статья обязала операторов по переводу денежных средств возвращать средства клиенту (!) в случае использования электронного средства платежа без согласия клиента (осуществления несанкционированной операции по переводу денежных средств), если клиент оспорил эту операцию не позднее следующего дня после

I количество несанкционированных операций, шт.

I объем

несанкционированные операций, млн.р

5000 10000 15000 20ООО

Рис.2. Динамика количества и объема несанкционированных операций, совершенных с использованием систем ДБО.

4-2015

3-2015

2-2015

1-2015

I количество несанкционированных операций, шт.

I объем

несанкционированных операций, млн.р

0 5000 10000 15000 20000

Рис.3. Динамика количества и объема несанкционированных операций физических лиц.

получения уведомления от кредитной организации. С этого момента банки всерьез задумались об обеспечении информационной безопасности клиентских транзакций.

Анализ статистики инцидентов в области информационной безопасности

Статистика инцидентов в области информационной безопасности в первом полугодии 2013 г. отчета Банка России7 показывает, что количество инцидентовувеличивалось от месяца к месяцу. За анализируемый период, по сравнению со вторым полугодием 2012 года, отмечается рост числа инцидентов во всех федеральных округах более чем на 35%. Вместе с тем, надо отметить, что в этот период времени далеко не все субъекты пла-

тежной системы сообщали в Банк России информацию в полном объеме, т.к. надзорная система находилась в стадии формирования, организации опасались последствий за предоставление сведений в полном объеме. Большая часть инцидентов приходилась на «нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами» и на «осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами». В части объектов информационной безопасности наиболее уязвимыми оказались «средства вычислительной техники, используемые для осуществления переводов денеж-

4-2015

3-2015

2-2015

1-2015

| количество несанкционированных операций, шт.

I объем песапиционироипнь!* операций, млн.р

500

ЮСО

1500

20Ю

Рис.4. Динамика количества и объема несанкционированных операций юридических лиц.

ных средств», т.е. электронные средства платежа.

Что же изменилось в информационной безопасности финансовой сферы страны после того, как Законодатель сделал перечисленные шаги? Статистика аналитического обзора Банка России за 2015 год8 показывает, что объем несанкционированных операций с использованием платежных карт в 2015 году сократился по сравнению с 2014 годом на 27%. Доля количества операций с использованием банкоматов снизилась на 16%. Эти цифры подтверждают, что девятая статья Закона работает и приносит результаты. Нельзя также не признать, что включенное в Положение Банка России 382-П требование о переходе с 2015 года на банковские карты стандарта ЕМУ, существенным образом повлияло на снижение т.н. скимминга, фактически его обесценив.

Однако, доля несанкционированных операций в системе «Интернет» и в мобильных устройствах увеличилась по сравнению с 2014 годом на 12%. На 12% увеличилась доля несанкционированных операций по картам, реквизиты которых были использованы, так как произошло «перенацеливание» преступности на более доступные объекты атаки. Вместе с тем, доля несанкционированных операций по украденным/

утерянным/поддельным картам снижалась на ежеквартальной основе. Это свидетельствует о том, что технические методы получения несанкционированного доступа к информации используется все реже и реже в связи с внедрением провайдерами платежных услуг высокоэффективных методов и средств информации, а также новой технической архитектуры электронных средств платежа. В результате все больше и больше используются методы обмана и введения в заблуждение людей (социальной инженерии) для получения данных для авторизации и идентификации с целью удаленного доступа к платежным услугам. Объем несанкционированных операций физических лиц в системах дистанционного банковского обслуживания в течение 2015 года вырос в 5 раз (!) (см. рис.3).

Аналогичные операции юридических лицтакже выросли во втором и третьем кварталах 2015 года по сравнению с предыдущим кварталом того же года почти на 2б% и на 38% соответственно из-за крупных инцидентов, связанных именно с использованием методов социальной инженерии (см. рис.4).

Особенности «банковских» атак заключаются в том, что схема приемов, позволяющих получить доступ к платежным ресурсам достаточно триви-

альна: злоумышленники присылают банковскому работнику письмо, содержащее вредоносный код, побуждают его открыть ссылку или приложение, нелегальное программное обеспечение попадает во внутреннюю сеть организации и решает свою задачу. Так, по информации лаборатории Кас-перского9, в марте 2015 года злоумышленники разослали в банки письма, содержащие вредоносное вложение, с адреса info@fincert.net. Этот адрес идеально ассоциировался с электронным адресом Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России ^пСЕЯТ), поэтому данное письмо было открыто сотрудниками кредитных организаций более 70 раз. Описание дальнейшей технологии атаки не входит в предмет рассмотрения данной статьи, однако следует отметить, что решения, придуманные злоумышленниками, оказываются достаточно эффективными и незаметными для службы информационной безопасности.

В настоящее время «банковские» атаки отличаются тем, что во многих атаках злоумышленники используют обновление стандартного программного обеспечения для получения удаленного доступа, загрузки и запуска вредоносных программ. Т.е. используется «человеческий фактор» - желание сэкономить и упростить свои действия, нехватка времени, праздное любопытство.

Какие шаги должны быть сделаны Законодателем или уполномоченными органами, чтобы противостоять угрозам текущего момента? 16 марта 2015 года в рамках изменений Положения 382-П (в соответствии с указанием Центрального Банка № 3361-У от 14.08.2014 г.10) вступили в силу новые требования Банка России к обеспечению защиты информации при использовании систем Интернет- и мобильного банкинга, банкоматов и платежных терминалов, платежных

©

Ю i

*

00 2

см со

Е

Об

3

о

карт, а также требования по доведению до клиентов информации о рисках совершения несанкционированных операций.

Как показал обзор Банка России за 2015 год, к концу 2015 года снизилось почти на 40% объем несанкционированных операций юридическихлиц (рис.4.). Однако на несанкционированные операции физических лиц эти меры никак не повлияли. Объем несанкционированных операций в 4 квартале 2015 года вырос в 3 раза по сравнению со вторым кварталом того же года (рис.3.).

Оценка эффективности применяемых мер и предложения по следующим шагам обеспечения безопасности

Меры, применяемые на сегодняшний день кредитными организациями под руководством Банка России, не обеспечивают снижение рисков в области информационной безопасности всех операций физических лиц. Если в качестве показателя эффективности выбрать отношение объема остановленных операций к объему осуществленных несанкционированных операций, то, как видно на рис.5.

Активная деятельность Банка России, финансовых организаций, средств массовой информации, развернутая на телевидении, радио и в клиентских офисах, по обучению населения финансовой грамотности, раскрытию информации о рисках, связанных с использованием электронных средств платежа, систем дистанционного банковского обслуживания и мобильных платежных технологий, информация о типичных методах социальной инженерии, дополнительные меры многоуровневой идентификации клиента и его операций, установка лимитов на операции, совершаемые через системы удаленного доступа - все эти меры не являются достаточными в рамках обеспечения удовлетворенности клиентов качеством национальных платежных услуг [5, с.31]. Любые финансовые потери восприни-

Рис.5. Динамика отношения объема остановленных операций дистанционного банковского обслуживания к осуществленным несанкционированным операциям.

маются клиентами как неэффективность государственного управления, а не как собственная неграмотность и некомпетентность. Это, в конечном счете, негативно отражается на национальной безопасности в целом, особенно в свете развернутой в государстве компании на принудительный переход к безналичной форме расчетов.

Как признается многими экспертами, ключевую роль в минимизации рисков при использовании технологий дистанционного банковского обслуживания выполняет законодательное регулирование [6, с.39]. Как показывает приведенная выше статистика, возложение ответственности на кредитную организацию за информирование клиентов об операциях с электронными средствами платежа, возмещение клиентам сумм несанкционированных операций в случае обращение клиентов не позднее следующего дня после получения уведомления, установка обязательного перехода с 1 января 2015 года на микропроцессорные карты - все это позволило снизить объем несанкционированных операций с электронными средствами платежа в 2015 году. В отношении операций дистанционного банковского обслуживания не установлено требований по информированию клиента или ответственного руководителя организации о каждой совершае-

мой операции и о возмещении средств клиенту в случае его обращения в установленный договором срок. Как видно из рис.5, объем остановленных операций составляет не более 4% от объема осуществленных несанкционированных операций. В настоящий момент такие меры уже введены отдельными кредитными организациями. Например, ПАО «Сбербанк России» информирует физических лиц обо всех операциях, совершенных с помощью интернет-банкинга.

Законодательством о национальной платежной системе Банку России предоставлено право устанавливать требования к обеспечению защиты информации при осуществлении переводов денежных средств и организации контроля их соблюдения [7,с.36]. Банк России регулярно выпускает нормативные акты и рекомендательные письма и устанавливает новые требования по защите информации при осуществлении переводов денежных средств, обязательные для исполнения всеми кредитными организациями и иными субъектами национальной платежной системы. Банк России в рамках надзора в национальной платежной системе применяет меры воздействия к субъектам НПС и ответственным руководителям. Исследования по обеспечению защиты информации в удален-

ных каналах доступа ведутся в настоящий момент во многих научных и учебных организациях. В частности, на кафедре «Информационная безопасность» Финансового университета при Правительстве Рф в сотрудничестве со специалистами ПАО Сбербанк ведется разработка новых методов и методик по выявлению мошеннических операций при проведении банковскихтранзакций в удаленных каналах обслуживания.

В связи с тем, что больше 90% мошеннических операций клиентов не останавливается кредитными организациями, от Законодателя необходима проработка дополнительных возможностей снижения рисков операций физических лиц. Например, предлагается ввести обязательное страхование операций физических лиц, совершаемых с использованием электронных средств платежа или посредством дистанционного доступа к услугам банка. Также предлагается в случае возникновения обоснованных сомнений предоставить кредитным организациям право «блокировки» распоряжения физического лица о переводе денежных средств, отправленного с помощью электронных средств платежа или по каналам дистанционного банковского обслуживания. Это право может быть распространено и на случаи превышения определенного лимита суммы такого перевода.

В заключение хотелось бы отметить, что изобретательность злоумышленников в области противоборства в финансовой сфере не знает границ, как в технической области, так и в области социальной разрабатываются все новые и новые способы и средства нападения. Поскольку вариантов атак может быть множество, законодательство всегда отстает от злоумышленников. Для оперативного реагирования на инциденты, особенно в случае их массового и повторяющегося характера, обязанность Банка

России не только отслеживать тенденции и эффективность применяемых мер, но и предавать гласности значимые новые инциденты в части атак на клиентов, оперативно раскрывать схемы атак на кредитные организации, не раскрывая субъектов атак. Возможно, это обязанность также должна быть закреплена в рамках Закона «О национальной платежной системе».

Таким образом, на основе анализа динамики объемов несанкционированных операций, а также доли остановленных операций по отношению к объему осуществлённых несанкционированных операций и применяемых мер по снижению рисков информационной безопасности можно предложить следующие шаги по обеспечению информационной безопасности в финансовой сфере и НПС в рамках доработки законодательства о НПС:

1. Установить обязанность Банка России по информированию кредитных и финансовых организаций о значимых инцидентах в области информационной безопасности, о схемах новых атак.

2. Распространитьтребования статьи 9 Закона №161-ФЗ на услуги дистанционного банковского обслуживания.

3. Ввести обязательность страхования операций с электронными средствами платежа и операций, совершаемых через дистанционное банковское обслуживание.

4. Предоставить право операторам по переводу денежных средств блокировать операции клиентов, совершенных с использованием электронных средств платежа или через дистанционное банковское обслуживание в случае возникновения сомнений в правомерности операций, а также устанавливать лимиты по данным операциям.

Выводы:

Таким образом, на основе анализа обзоров Банка России по инцидентам за периоды можно сделать вывод о недо-

статочности мер, предусмотренных законом в настоящий момент в части защиты информации в национальной платежной системе, и необходимости доработки законодательства и нормативных актов в этой области. В статье представлены методические рекомендации по доработке законодательства с целью снижения рисков в области обеспечения информационной безопасности операций физических лиц в финансовой сфере. Представленные результаты могут быть использованы при доработке Закона о НПС № 161-ФЗ и Положения Банка России №382-П, а также разработке продуктов и услуг в финансовой сфере.

Литература

1. Бондарева В.А. Национальная платежная система как направление стабилизации банковской системы России: статья в сборнике трудов XVI Международной межвузовской научно-практической конференции. М.: Дашков и К. - с.394.

2. Ложкин П.Э. Закон о Национальной платежной системе: Требования по информационной безопасности. Банковское дело, 2012, №11. - с.70-76.

3. Чирков А.В. Проблемы реализации законодательства о национальной платежной системе в части ответственности банков в расчетных правоотношениях. Банковское право, 2011, №6. - с.63-68.

4. Какабадзе Т.М. Нулевая ответственность: некоторые вопросы применения статьи 9 Закона о Национальной платежной системе. Деньги и кредит, 2013, № 11 - с.20-25.

5. Грушина С.А. Современное состояние национальной платежной системы. Современные гуманитарные исследования, 2015, № 5 (66) - с.31-34.

6. Хоменко Е.Г. Правовое обеспечение инфраструктурного взаимодействия между участниками расчетов в Национальной платежной системе. Приложение к журналу Предпринимательское право, 2016, № 2. - с.39-42.

О £

ю

5

оо 2

сч со £

б

2 о

7. Губенко Е.С. О защите информации в Национальной платежной системе. Финансовое право, 2016, № 4, с.36-39.

Рецензент: Заведующий кафедрой информационного права, информатики и математики Всероссийского университета юстиции (РПА Минюста России), доктор юридических наук, кандидат технических наук Морозов Андрей Витальевич.

Ссылки:

1 Федеральный закон N 161-ФЗ «О национальной платежной системе». М.:»Россий-ская газета» выпуск №5515 (139) от 30.06.2011, 82 с.

2 Закона Банк России выпускает 9 июня 2012 г. Положение № 382-П «О требованиях к обеспечению защиты информации при переводе денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (Зарегистрировано в Минюсте России 14 июня 2012 г. N 24575)

3 Письмо ЦБ РФ от 5 августа 2013 г. N 146-Т «О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием инфор-мационно-телекоммуникацион-ной сети «Интернет». М.:»Вест-ник Банка России» от 14 августа 2013 г. № 43 58-61 с

4 Письмо от 24 марта 2014 г. № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». .:»Вес-тник Банка России» от 31 марта 2014 г. № 34 29-35 с.

5 Указание от 9 июня 2012 г. №2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». М.: «Вестник Банка России» от 22 июня 2012 г. N

32. 31-40 с.

6 Указание от 03.12.2012 №2926-У «О внесении изменений в Указание Банка России от 12 ноября 2009 года № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации». М.:»Вестник Банка России» от 27 декабря 2012 г. N 76. 85 с.

7 Аналитический обзор инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (первое полугодие 2013). М.: Банк России (http://www.cbr.ru/PSystem/ analytics/analysis_13_1.pdf), 2013, 11 с

8 Обзор о несанкционированных переводах денежных средств. М.: Банк России http:// www.cbr.ru/PSystem/P-sys/ survey_2015.pdf, 2015, 13 с.

9 Атака FakeCert: Здравствуйте, мы из ЦентроБанка. Спасаем мир словом. Официальный блог Лаборатории Кас-перского (https:// blog.kaspersky.ru/ataka-fakecert-zdravstvujte-my-iz-centrobanka/11279/), 16 марта 2016.

10 Указание Банка России от 14 августа 2014 г. N 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» М.:»Вестник Банка России» от 17 сентября 2014 г. N83 41-52 с.

The aspects of national payment system information security ensuring Krylov G.O., Kurilo A. P.,

Larionova S.L Finuniversitet

In the article there is the analysis of measures which taken at the state level for ensuring information security of the national payment system and to assess their effectiveness. Information security

in the financial sector is directly related to the financial and political stability and independence of the country. The smooth functioning of the national payment system is determined by the continuity directly depends on the performance of information security, such as the number of stopped operations to the total number of fraudulent transactions. In the article basing on the Bank of Russia detailed analysis reports on periodical information security incidents in the banking sector the major trends in this area are indicated and the effectiveness of the measures are defined. The main trends in development of fraudulent transactions and the increased use of methods of social Ingenierie are defined. The basic steps taken at the state level to ensure financial stability are defined and it clearly shows the impact of these steps on incidents reduction in the financial sector. There are list of main legislative acts in the field of financial stability. Institutionalized activities were previously identified as recommended measures of information security. These activities are not established as legal requirements and bearing the nature of the recommendations, had no effect in ensuring security. Because of introduction of the mandatory requirements and the establishment of the Supervisory body substantial impact on reducing fraudulent transactions had happened. In the article is shown what steps led to the decrease in the number of incidents in the financial sector, and how legislator puts responsibility for such harm on financial institutions, thereby protecting more the interests of clients when they use financial products. Based on the analysis of the present situation with events in the financial sector and the existing legislative acts, the authors have developed proposals for improving ongoing efforts at the legislative level. . The results of these studies can be used to generate measures to reduce risks in information security of the financial sector as part of development of the internal requirements and procedures of financial institutions and establishment of requirements at the legislative level.

Keywords: information security for funds transfers, analysis of incidents in the area of remittances, attacks on money transfer operators, protect the interests of clients when transferring funds, information security legislation in the financial sector, fraudulent transactions in financial services.

Reference

1. Bondarev V. A national payment system as the stabilization of the banking system of Russia: article in materials of the XVI International interuniversity scientific-practical conference. M.: Dashkov and K. -S. 394.

2. Lozhkin, P. E. The Law on the National

payment system: the requirements for information security. Banking, 2012, №11. - p. 70-76.

3. Chirkov A V. Problems of implementation of legislation on the national payment system in the field of the banks responsibility in the funds transfers relationships. Banking law, 2011, No. 6. - p. 6368.

4. Kakabadze T. M. Zero liability: some

questions of article 9 of the Law on the National payment system application. Money and credit, 2013, No. 11 - pp. 20-25.

5. Grushin A S. Current state of the

national payment system. Modern scientific research, 2015, vol. 5 (66) - p. 31-34

6. Khomenko E. G. Legal support infrastructure cooperation between the participants of settlements in the National payment system. The Appendix to the journal of Business law, 2016, No. 2. - p. 39-42.

7. Gubenko, E. S., Data protection in the

National payment system. Finance, 2016, No. 4, pp. 36-39.

О À

BS

S

if

oo

2