Штатная техническая возможность проверки на отсутствие вредоносного кода после установки или изменения программного обеспечения отсутствует.
2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.
2.18.1. Оператор по переводу денежных средств обеспечивает проведение классификации терминальных устройств дистанционного банковского обслуживания, к которым относятся банкоматы и платежные терминалы, используемые при осуществлении переводов денежных средств (далее при совместном упоминании — ТУ ДБО), с учетом следующего:
возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
особенностей конструкции ТУ ДБО;
места установки ТУ ДБО.
Оператор по переводу денежных средств фиксирует во внутренних документах отнесение каждого ТУ ДБО к одному из определенных в ходе классификации типов (далее — результаты классификации ТУ ДБО) и проводит пересмотр результатов классификации ТУ ДБО при изменении факторов, влияющих на классификацию ТУ ДБО.
Оператор по переводу денежных средств, наряду с факторами, указанными в абзаце первом пункта 2.3 настоящего Положения, учитывает результаты классификации ТУ ДБО при выборе организационных мер защиты информации, технических средств защиты информации, а также функциональных и конструктивных особенностей ТУ ДБО, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, с целью выполнения требований подпунктов 2.18.3–2.18.8 настоящего пункта.
Классификация ТУ ДБО позволит более адресно и эффективно выбрать для них средства защиты.
2.18.2. Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости установки на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования.
Речь идет о применении антискимминговых устройств.
2.18.3. Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи.
Исходя из определения объектов информационной инфраструктуры (пункт 2.1 Положения 382-П), контроль должен осуществляться только для объектов, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и которые используются для осуществления переводов денежных средств.
2.18.4. Оператор по переводу денежных средств обеспечивает размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений, включающих:
наименование оператора по переводу денежных средств, которому принадлежит ТУ ДБО на правах собственности, аренды, лизинга;
идентификатор ТУ ДБО;
телефонный номер (телефонные номера), адреса электронной почты, предназначенные для связи клиентов, использующих данное ТУ ДБО, с оператором по переводу денежных средств, банковским платежным агентом (субагентом) по вопросам, связанным с использованием данного ТУ ДБО;
порядок действий клиента в случае возникновения подозрения о нарушении порядка штатного функционирования ТУ ДБО, а также в случае выявления признаков событий, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО.
Оператор по переводу денежных средств определяет во внутренних документах порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО, и обеспечивает выполнение указанного порядка.
Необходимо упорядочить информирование держателей карт.
2.18.5. Оператор по переводу денежных средств определяет порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО, включая информацию о конфигурации, определяющей параметры работы технических средств защиты информации, и обеспечивает выполнение указанного порядка.
Необходимо обеспечить безопасное конфигурирование ТУ ДБО (запрет автозапуска, загрузки с внешних носителей, пароли и т. п.).
2.18.6. Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям в том числе относятся:
несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;
несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;
сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).
В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможного минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.
Требует применения дополнительных средств защиты: проактивной защиты программного обеспечения на основе контроля целостности и белых списков, активных антискимминговых устройств с датчиками установки скимминга.
2.18.7. Оператор по переводу денежных средств определяет во внутренних документах и обеспечивает выполнение порядка проведения контроля, предусмотренного подпунктом 2.18.6 настоящего пункта, включая его периодичность, в зависимости от факторов, указанных в абзаце первом пункта 2.3 настоящего Положения, а также в зависимости от:
использования систем удаленного мониторинга состояния ТУ ДБО, применения в соответствии с подпунктом 2.18.2 настоящего пункта технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного на (в) ТУ ДБО оборудования;
результатов классификации ТУ ДБО в соответствии с подпунктом 2.18.1 настоящего пункта.
Контроль может быть непрерывным или периодическим.
2.18.8. Оператор по переводу денежных средств определяет требования к обеспечению привлеченными к деятельности по оказанию услуг по переводу денежных средств банковскими платежными агентами (субагентами) защиты информации при использовании ТУ ДБО. Банковский платежный агент (субагент) обеспечивает выполнение указанных требований.
То есть требования распространяются на банковских агентов и субагентов.
Помимо регулирования вопросов безопасности банкоматов, Банк России в настоящий момент собирает различную статистику, связанную с противоправными действиями, в том числе с использованием банкоматов. В первую очередь это Указание ЦБ РФ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В частности, Приложение 2 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим заполнение данной формы (Код формы по ОКУД 0403203) применительно к банкоматам.
