ФСБ России от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» [24]. Инициирует создание Национального координационного центра по компьютерным инцидентам (НКЦКИ), определяет его задачи и права;

– Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации…» [25]. Устанавливает набор параметров инцидентов для передачи в НКЦКИ (не позднее 24 часов с момента их обнаружения) и способы передачи информации;

– Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации…» [27]. Определяет способы передачи информации об инциденте другим субъектам КИИ и получения субъектами КИИ сведений об атаках. Обмен информацией с иностранными организациями осуществляет НКЦКИ;

– Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» [30]. Определяет требования к функциональным возможностям и характеристикам технических средств, необходимых для решения задач центров ГосСОПКА;

– Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты…» [28]. Обязывает субъекта КИИ согласовывать с НКЦКИ установку средств ГосСОПКА и уведомлять о приеме их в эксплуатацию. Определяет необходимые для согласования сведения. Срок согласования – до 45 календарных дней;

– Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак…» [26]. Определяет состав плана реагирования на инциденты и принятия мер по ликвидации последствий, разрабатываемого субъектом КИИ. Обязует информировать НКЦКИ о результатах реагирования и ликвидации последствий не позднее 48 часов после завершения мероприятий.

10.3.3. Преступления и наказания

Федеральным законом от 26.07.2017 № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”» [49] внесены изменения, предусматривающие ответственность физических и юридических лиц:

– за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ: принудительные работы до 5 лет/лишение свободы до 5 лет/штраф до 1 млн руб.;

– неправомерный доступ к информации КИИ, если он повлек за собой вред: принудительные работы до 5 лет/лишение свободы до 6 лет/ штраф до 1 млн руб.;

– нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло за собой причинение вреда КИИ: принудительные работы до 5 лет/лишение свободы до 6 лет/запрет занимать должности до 3 лет;

– совершение соответствующего правонарушения группой лиц или с использованием служебного положения: лишение свободы до 8 лет/ запрет занимать должности до 3 лет;

– совершение соответствующего правонарушения, которое повлекло за собой тяжкие последствия: лишение свободы до 10 лет/запрет занимать должности до 5 лет.

К счастью, специалисты «на местах» не предоставлены сами себе в этой ситуации. В различных учебных центрах и центрах повышения квалификации проводятся курсы повышения квалификации по программам (например, [76]), разработанным в соответствии:

– с «Методическими рекомендациями по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации» [11], утвержденными ФСТЭК России 16 апреля 2018 г., и

– примерной программой повышения квалификации «Программа повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [10], утвержденной ФСТЭК России 17 декабря 2018 г.

Разработка программы в соответствии с приведенными документами ФСТЭК России означает, что все положения, модули и темы программы утверждены регуляторами и соответствуют нормативной методической базе.

Вместо заключения

Итак, для обеспечения безопасности электронного банкинга, в котором одинаково заинтересованы клиенты и банки, всем клиентам нужно использовать ненастраиваемое СЭП[222], формирующее доверенную среду или же средства доверенной идентификации с помощью недоверенных устройств. Каждый банк должен создать свою собственную доверенную систему идентификации и аутентификации.

Рационально ли это? Есть ли другой путь?

Клиент хорошо понимает, что он не специалист по ИБ, наслышан об активности хакерских группировок, надеется, что его это не коснется, но хочет свои риски передать кому угодно. В цепочке взаимодействия «клиент-банк» нет третьего, поэтому клиент хочет передать риски банку и, даже не сделав это, верит, что так и есть.

В свою очередь, для банков тоже было бы важно передать не свойственные им функции по идентификации клиентов и их технической защите – конечно, вместе с рисками. Самостоятельно банк в общем случае не может корректно обеспечить защищенность клиента.

Как мы видим, все участники информационного взаимодействия хотят расстаться со своими рисками. Но в текущей конструкции взаимодействия «клиент-банк» такой возможности нет. Противоречие выглядит неразрешимым.

Для его разрешения нужно изменить саму конструкцию. Например, создать единого для всех Национального оператора идентификации (НОИ), который возьмет на себя предоставление доверенной услуги идентификации клиента для всех банков и ответственность за предоставление данной услуги, тем самым снимая с банков не свойственные им функции и блокируя риски. Свои же риски НОИ сможет застраховать.

Страхование информационных рисков [73] – не слишком развитая сегодня практика. Сертификация и аттестация будут при этом иметь важный, но лишь справочный характер. Создать систему, при которой учет требований страховщиков не подменил бы собой оценки наших регуляторов, а дополнил бы их в требуемом разрезе, – важная задача. При этом сам механизм страхования информационных рисков вполне может выступить инструментом регулирования на рынке СЗИ и СКЗИ: страховая премия отразит качество продуктов защиты информации.

11. Точка бифуркации для финансового регулирования в эпоху четвертой промышленной революции

Будущее уже наступило.

Просто оно пока еще неравномерно распределено.

Уильям Гибсон, писатель-фантаст, «отец» киберпанка

11.1. Четвертая промышленная революция

Люди, которые считают, что жизнь человеческая с древних времен меняется только внешне, а не по существу, уподобляют костер, у которого коротали вечера троглодиты, телевизору, развлекающему наших современников. Это уподобление спорно, ибо костер и светит, и греет, телевизор же только светит, да и то лишь с одной стороны.

К. Прутков-инженер

.

Мысль № 111 (из книги Владимира Савченко «Открытие себя») В данной главе имеет смысл обсуждать не технологические тренды, а возможные изменения в финансовом поведении (behavioral finance model), в том числе обусловленные развитием технологий, и последствия этих изменений для финансового регулирования.

Четвертая промышленная революция, более известная как «Индустрия 4.0», получила свое название от инициативы, представленной на Ганноверской выставке 2011 г. и рассматривавшей ее как средство повышения конкурентоспособности обрабатывающей промышленности Германии через усиленную интеграцию «киберфизических систем» (CPS[223]) в заводские процессы. В 2014 г. США последовали примеру Германии и создали некоммерческий консорциум Industrial Internet, в который вошли такие лидеры промышленности, как General Electric, AT&T, IBM