5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Подходы к обеспечению информационной безопасности

При реализации проекта по введению ЦВЦБ фокус внимания со стороны Банка России в области информационной безопасности должен быть направлен на создание доверенной среды, которая будет обеспечиваться за счет применения безопасных технологий и своевременного выявления и устранения возможных уязвимостей в технологии обращения ЦВЦБ и компонентах инфраструктуры ЦВЦБ. Одной из основных целей при управлении рисками информационной безопасности необходимо считать обеспечение доверия потребителей к используемым технологиям.

Необходимый уровень доверия должен быть обеспечен на всех этапах жизненного цикла ЦВЦБ: безопасная разработка, проектирование, внедрение, сопровождение и использование технологии конечными потребителями. Должна проводиться постоянная актуализация уровней рисков нарушения информационной безопасности для компонентов экосистемы и векторов атак - с последующим совершенствованием механизмов защиты и внедрением новых технологий безопасности.

При этом выбор технологии реализации платформы обусловит выбор методов обеспечения информационной безопасности.

Централизованная система в значительной степени может быть реализована на уже известных и апробированных технологиях и инструментах информационной безопасности и киберустойчивости, требования к которым закреплены в законодательных, нормативных актах, стандартах и рекомендациях, в том числе разработанных Банком России (для кредитно-финансовой отрасли в целом и платежных систем в частности). Можно сказать, что профессиональная среда готова к разработке максимально эффективных решений и механизмов защиты онлайн-операций в централизованных системах.

Децентрализованная и гибридная схемы, использующие технологии распределенных реестров, потребуют разработки новых технологий информационной безопасности или переосмысления, анализа и научно-технической проработки применения уже имеющихся. В силу распределенного характера систем необходимо учесть возможные угрозы, относящиеся не к конкретному пользователю, а к системе в целом, например связанные с реализацией компьютерных атак на инфраструктуру оператора, владельца узла или владельца кошелька.

Особенности информационной безопасности децентрализованных и гибридных технологий реализации

При реализации решений с использованием технологии распределенных реестров возникают задачи, которые в силу их специфики предполагается классифицировать на следующих уровнях: технологическом (безопасность применяемых протоколов и уровня данных), уровне прикладного программного обеспечения и техническом уровне (уровень инфраструктуры).

Для успешной реализации ЦВЦБ в каждом конкретном случае требуется индивидуальный анализ безопасности, криптографических функций, функциональных аспектов, а также формирование группы защитных мер по следующим направлениям:

- взаимодействие ЦВЦБ со сторонними системами, реализованными в том числе с применением иностранных криптографических алгоритмов, при осуществлении трансграничных платежей;

- реализация офлайн-платежей, включая разработку соответствующих математических и физических моделей (аппаратно-программных прототипов);

- подтверждение формальной платежеспособности ЦВЦБ, в том числе при расчетах в офлайн-режиме, подтверждение законности владения предъявляемой ЦВЦБ и исключения неавторизованного использования ЦВЦБ третьими лицами без согласия владельца ЦВЦБ;

- обеспечение доверия к процессу разработки смарт-контрактов, документальной базы для сертификации смарт-контрактов и процессов их разработки.

Вне зависимости от технологической платформы следует отметить, что организация трансграничного взаимодействия требует создания так называемой среды доверия, учитывающей различия национального регулирования операторов экосистем. Ограничения на применение средств криптографической защиты информации, отсутствие единых стандартов обеспечения информационной безопасности (в том числе криптографических) и единой системы сертификации для международных процедур проведения оценки соответствия (аудита), с одной стороны, являются причиной, обусловливающей потребность в единых распределенных или гибридных системах, с другой, - в силу обязательности этих требований - диктуют необходимость разработки юридических конструкций, позволяющих избежать противоречия с действующими нормами.

Примером, иллюстрирующим сложность подобной задачи, является организация кросс-платформенного взаимодействия в пределах юрисдикции Российской Федерации. Для того чтобы функционирование структуры ЦВЦБ было безопасным, необходимо обеспечить мониторинг информационной безопасности кросс-платформенных операций, а также конфиденциальность и целостность информации при передаче между разнородными платформами. Помимо этого, система должна позволять вести корректный учет и контроль действий и статусов операций, а также отслеживать доступность сервисов и скорость передачи информации. Обязательным условием является возможность встраивания и интеграции протоколов взаимодействия, форматов передачи информации, включая взаимное признание применяемых криптографических протоколов.

В целом независимо от того, какая технологическая платформа будет выбрана, задачами обеспечения информационной безопасности ЦВЦБ остаются обеспечение целостности, доступности, конфиденциальности информации, подтверждение авторства, минимизация рисков технологической зависимости реализуемой инфраструктуры от поставщиков ИТ-услуг, продуктов и сервисов, обеспечение применения доверенных программных и аппаратных компонентов как в узлах экосистемы, так и в рамках розничного применения, а также противодействие социальной инженерии.

Для борьбы с угрозами информационной безопасности, связанными с социальной инженерией в отношении конечных потребителей, необходимо активно развивать и наращивать объем аудитории программ повышения финансовой грамотности, кибергигиены и осведомленности потребителей услуг ЦВЦБ о рисках нарушения информационной безопасности и способах противодействия мошенникам.

Вопрос для обсуждения:

Какие, по вашему мнению, риски информационной безопасности могут влиять на онлайн- и офлайн-расчеты и какие методы минимизации этих рисков могут быть использованы?