ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 23 декабря 2013 г. N 251-Т
ОБ УГРОЗАХ,
СВЯЗАННЫХ С СОСТАВЛЕНИЕМ И НАПРАВЛЕНИЕМ В БАНК РОССИИ
ПОДЛОЖНЫХ РАСПОРЯЖЕНИЙ ПОСРЕДСТВОМ НЕСАНКЦИОНИРОВАННОГО
ВМЕШАТЕЛЬСТВА В РАБОТУ АРМ КБР
В связи с поступлением от территориальных учреждений Банка России (далее - ТУ Банка России) информации о фактах направления от имени кредитных организаций в Банк России распоряжений о переводе денежных средств в электронном виде, сформированных вне автоматизированных систем кредитных организаций, но в формате, установленном для обмена с Банком России (далее - подложные распоряжения), которые явились, в том числе следствием взлома злоумышленниками локальных вычислительных сетей кредитных организаций, хищения информации о конфигурации, определяющей параметры работы технических средств, и настройках применяемого программного обеспечения, а также атак на объекты информационной инфраструктуры кредитной организации с использованием вредоносного кода, Банк России сообщает следующее.
Инциденты информационной безопасности <1> (далее - инцидент) возникали в кредитных организациях, в которых существовала возможность доступа к автоматизированному рабочему месту клиента Банка России (далее - АРМ КБР) по локальной вычислительной сети кредитных организаций с других персональных компьютеров (автоматизированных рабочих мест), имевших подключение к информационно-телекоммуникационной сети "Интернет".
--------------------------------
<1> Термин "Инциденты информационной безопасности" приводится в пункте 3.46 Стандарта Банка России СТО ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".
Анализ информации по имевшим место инцидентам показывает, что в результате атаки злоумышленников с использованием вредоносного кода происходит нарушение штатного функционирования объектов информационной инфраструктуры кредитной организации и создаются условия для скрытой доставки (направления) на АРМ КБР подложных распоряжений клиентов кредитной организации с последующим направлением указанных подложных распоряжений в Банк России и их исполнением в связи с положительными результатами проведения Банком России процедур приема к исполнению подложных распоряжений.
С учетом характера нарушения штатного функционирования объектов информационной инфраструктуры кредитной организации (степень поражения технических средств и применяемого программного обеспечения) и его длительности возникает риск зачисления денежных средств на банковский счет получателя по подложному распоряжению даже при оперативном выявлении кредитной организацией факта направления подложного распоряжения из-за невозможности отозвать подложное распоряжение в связи с нарушением штатного функционирования объектов информационной инфраструктуры кредитной организации.
Снижение риска возникновения указанных инцидентов может быть обеспечено следующим:
обеспечением в кредитной организации внутреннего контроля за выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств при эксплуатации объектов информационной инфраструктуры, установленных подпунктом 2.10.4 пункта 2.10 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение N 382-П);
разработкой и применением в кредитной организации мер, обеспечивающих выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с подпунктом 2.14.5 пункта 2.14 Положения N 382-П, а также требований к защите информации, установленных договором об обмене электронными сообщениями, заключаемым между Банком России и клиентом Банка России согласно пункту 1.4 Положения Банка России от 29 июня 2012 года N 384-П "О платежной системе Банка России";
своевременным информированием ТУ Банка России о выявленных фактах несоблюдения требований к защите информации, компрометации ключей кода аутентификации (электронной подписи) (далее - ключ КА (ЭП), прекращения полномочий пользователей по доступу к ключам КА (ЭП), о случаях технических неисправностей или о наличии (возникновении) иных обстоятельств, препятствующих обмену электронными сообщениями;
применением в деятельности кредитной организации комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" БР ИББС;
разработкой кредитной организацией мер по контролю за соблюдением требований эксплуатационной документации АРМ КБР, задействованных в технологическом процессе обработки и передачи распоряжений о переводе денежных средств в электронном виде, а также рекомендаций по их настройкам и режимам эксплуатации, получаемых от Банка России в соответствии с договором об обмене электронными сообщениями.
Доведите содержание настоящего письма до сведения кредитных организаций.
Г.И.ЛУНТОВСКИЙ