Library
|
Your profile |
Financial Law and Management
Reference:
Gorian E.
The Role of the Financial Regulatory Authority in Cybersecurity Provision: Experience of Singapore
// Financial Law and Management.
2018. № 2.
P. 25-38.
DOI: 10.7256/2454-0765.2018.2.27704 URL: https://en.nbpublish.com/library_read_article.php?id=27704
The Role of the Financial Regulatory Authority in Cybersecurity Provision: Experience of Singapore
DOI: 10.7256/2454-0765.2018.2.27704Received: 16-10-2018Published: 15-02-2019Abstract: The object of the research is the relations that may arise in the process of cybersecurity provision. Based on the example of Singapore, the center of financial and economic life of the Southeast Asia, Goryan defines the role of the financial regulatory authority, Monetary Authority of Singapore (MAS), in the provision of cybersecurity of the financial and banking sectors. The author describes peculiarities of the legal status of MAS that determine the coordination role in the institutional mechanism of cybersecurity provision. He also studies the key documents of MAS as the grounds for the legal mechanism of cybersecurity provision in Singapore. In order to receive the most valid results, the author has applied a set of general research methods (structured systems approach, formal law method and hermeneutical method) and special research methods (comparative law and formal law methods). The monetary and financial management of Singapore covers such aspects of security as confidentiality and privacy of information by issuing special acts and mandatory regulations for financial institutions. There is a draft law on cyber hygiene that would be mandatory for all financial institutions and define mandatory safety requirements for financial services. Non-observance of these regulations would result in revocation of a license. Organisational and legal mechanisms are actively used, too, such as the Agency of Cybersecurity of Singapore, research institutions and heads of cybersecurity departments at major financial enterprises and banks of the world. All this defines the key role of the financial regulatory authority in the provision of information security of the financial and banking sectors. Keywords: financial regulatory authority, cybersecurity, financial institution, legal mechanism, legal status, Singapore, ASEAN, information system operator, information and telecommunication network, critical information infrastructureАктуальность темы исследования. Атаки на компьютерные системы осуществляются в отношении наиболее важных для общества и государства секторов: энергетический, транспортный, финансовый, банковский и проч. Такие информационные системы имеют статус критических информационных инфраструктур и находятся под постоянным наблюдением специализированных институтов, уполномоченных государством на обеспечение их информационной безопасности. Но усилий одних таких институтов недостаточно, они обеспечивают всего лишь неприкосновенность и бесперебойное функционирование компьютерных систем, однако иные вопросы безопасности (например, конфиденциальность данных) остаются под ответственностью субъектов, которые используют эти системы. Особое место среди таких субъектов занимают финансовые институты, доверие к которым и зависит от обеспечения конфиденциальности и гарантийных обязательств. Координирующую роль в финансовом и банковском секторе играет финансовый регулятор, устанавливающий правила осуществления деятельности финансовыми институтами, в том числе в сфере обеспечения безопасности их функционирования. Чем более и значительным для международной экономики является государство, тем более серьезные атаки совершаются на его финансовые институты. Сингапур по праву является таковым: будучи самым развитым с точки зрения информационных технологий в мире государством, он является также ключевым международным финансовым и торговым центром. Это делает его идеальной мишенью для кибератак, последствия которых гораздо серьезнее, чем обычное нарушение общественного и экономического благополучия Сингапура – под удар попадает вся цепочка международных поставок и банковская сфера, а в перспективе – международная экономика. Поэтому Сингапур постоянно совершенствует свое законодательство с учетом возникающих вызовов. Так, Сингапур – первое государство АСЕАН, принявшее в 1993 году Акт о злоупотреблениях в компьютерных сетях и кибербезопасности (Computer Misuse and Cybersecurity Act 1993 в редакции 2017 года). Каталог нормативно-правовых актов в рассматриваемой сфере включает также Акт о защите персональных данных 2012 года (Personal Data Protection Act 2012), Национальный план действий в отношении киберпреступности 2016 года (National Cybercrime Action Plan 2016), Стратегию национальной кибербезопасности 2016 года (National Cybersecurity Strategy 2016) и Акт о кибербезопасности 2018 года (Cybersecurity Act 2018). Помимо успешной реализации своей внутренней политики в сфере кибербезопасности, во внешней политике Сингапур является лидером и «мягко направляет» интеграционные процессы в АСЕАН [1]: на его территории размещена штаб-квартира Глобального комплекса инноваций Интерпола (INTERPOL Global Complex for Innovation, IGCI) - научно-исследовательского центра, который занимается вопросами киберпреступности, инновационной подготовки, оперативной поддержки и партнерства; Сингапур лоббирует комплектование штатов в IGCI сотрудниками правоохранительных органов государств-членов АСЕАН; совместно с Японией и Великобританией учредил и спонсирует некоммерческую организацию сотрудничества - The CyberGreen Institute [2], занимающееся сбором и обработкой статистических данных о кибератаках, а также предоставляющее необходимую информацию и разрабатывающее методологию оптимального смягчения последствий кибератак заинтересованным операторам связи, национальным группам реагирования на кибератаки (Cyber Security Incident Response Teams, CSIRTs), национальным и международным субъектам, определяющим политику в сфере кибербезопасности. Поэтому изучение опыта Сингапура по обеспечению кибербезопасности вообще и деятельности его финансового регулятора в рассматриваемой сфере в частности необходимо для совершенствования российского механизма кибербезопасности. Все вышесказанное свидетельствует об актуальности темы исследования. Постановка проблемы исследования. Национальные правовые механизмы обеспечения кибербезопасности включают в себя, как правило, два блока – нормативно-правовой и институционный. Институционный блок механизма формируют представители публичного и частного секторов, обеспечивающие безопасность CII. Поскольку государства устанавливают самостоятельно перечень CII, некоторые секторы в разных государствах могут иметь или не иметь статус CII. Финансовый и банковский секторы, бесспорно, имеют статус CII практически во всех государствах, но не все государства обеспечивают безопасность этих секторов на должном уровне. Выделяют четыре уровня обеспечения безопасности CII (в порядке возрастания): на первом уровне в качестве CII определены только транспортный и энергетический секторы, план действий по их защите отсутствует; на втором уровне сектор информационно-коммуникационных технологий определяется как приоритетный для защиты; на третьем уровне государство разрабатывает общую методологическую основу для определения требующих защиты секторов CII, утверждает план действий и возлагает обязанности на ответственных субъектов; на четвертом, самом последнем уровне, устанавливаются конкретные критерии идентификации секторов CII и принимаются конкретные меры для их защиты [3, c. 6]. Важнейшим фактором защиты CII является эффективное сотрудничество между государственным сектором (государственными и уполномоченными агентствами) и частным сектором, контролирующим CII (его представители определяются как операторы CII). В такой ситуации представители государственного сектора несут ответственность за координацию действий в рамках конкретного сектора CII. Финансовый регулятор выполняет функции по координированию и управлению отношениями в рамках финансового и банковского сектора CII, поэтому определение его роли в обеспечении информационной безопасности указанных сегментов CII является научно и практически обоснованным. Поскольку Сингапур является одним из крупнейших финансово-экономических центров мира, необходимо изучить его опыт правового регулирования деятельности институтов, на которые возложены функции по обеспечению кибербезопасности, в частности финансового регулятора – Валютно-финансового управления (MAS). Цели и задачи исследования. Цель нашего исследования – охарактеризовать роль финансового регулятора Сингапура – Валютно-финансового управления (Monetary Authority of Singapore, далее – MAS), в обеспечении кибербезопасности. Задачи исследования заключаются в определении правового статуса MAS, его функций и характере сотрудничества с частным сектором в указанной сфере. Методология. С целью получения наиболее достоверных научных результатов будет использован ряд общенаучных (системно-структурный, формально-логический и герменевтический методы) и специальных юридических методов познания (сравнительно-правовой и формально-юридический методы). Их использование имеет комплексный характер. Предмет исследования, источниковая база исследования, противоречия в имеющихся исследованиях и авторская позиция. Предмет исследования составляют основные нормативно-правовые акты в сфере деятельности финансового регулятора Сингапура по обеспечению кибербезопасности, а также ряд научных исследований по теме. Выбранная нами для исследования тема мало представлена в российской научной литературе. Следует отметить, что отечественные научные исследования о роли российского финансового регулятора в обеспечении информационной безопасности банковской и финансовой систем публикуются регулярно, но компаративистические исследования в указанной сфере практически отсутствуют. Упоминание о зарубежном опыте участия финансовых регуляторов в механизме обеспечения кибербезопасности можно найти в работах И.И. Аминова [4], В.В. Масленникова [5], Н.С. Молодцова [6] и А.К. Трифоновой [7]. Характеристика национального правового механизма обеспечения кибербезопасности Сингапура была дана нами в отдельном исследовании [8]. В зарубежной научной литературе вопросы обеспечения кибербезопасности рассматриваются в аспектах разработки специфичных моделей защиты критических информационных систем (Critical Information Infrastructure, далее – CII) [9], а также вовлечения частного сектора в функционирование нациального механизма вплоть до делегирования частным акторам публичных функций [10, 11]. Интересный массив экспертных и аналитических работ представлен публикациями практикующих специалистов в сфере кибербезопасности (такие работы размещаются на официальных сайтах как раз тех компаний, которые упоминались выше). Поэтому в нашем исследовании мы будем обращаться к таким работам: они находятся в открытом доступе и отражают оперативную реакцию участников отношений в сфере обеспечения кибербезопасности. Основная часть. В своей Стратегии кибербезопасности от 2016 года Сингапур выделяет четыре основные направления: (i) построение устойчивой инфраструктуры для усиления CII путем тесного сотрудничества частного сектора и представителей публичного сектора, уполномоченных на обеспечение кибербезопасности; (ii) создание безопасного киберпространства путем привлечения не только правительственных субъектов, но и гражданского общества, и предпринимателей; (iii) развитие динамичной экосистемы кибербезопасности за счет увеличения количества специалистов в результате сотрудничества частного сектора и образовательных заведений; (iv) усиление международного сотрудничества, особенно в рамках АСЕАН [12]. Ввиду отсутствия на международном уровне консолидированной позиции по определению содержания CII как основного объекта, требующего обеспечения кибербезопасности на национальном уровне, на сегодняшний день сложилась практика самостоятельного определения каждым государством CII путем перечисления секторов, важным для национальной безопасности. Например, в рамках ЕС установлен примерный перечень из 11 важнейших секторов: энергетика, информационно-коммуникационные технологии, водоснабжение, продовольствие, здравоохранение, финансы, общественный порядок и безопасность, гражданская администрация, транспорт, химическая и ядерная промышленность, космос и исследования [13]. В свою очередь, государства-члены ЕС определяют национальные секторы CII, исходя из своих особенностей: Австрия из предложенного Еврокомиссией списка исключила химическую и ядерную промышленность, Франция исключила химическую и ядерную промышленность, но включила промышленность как отдельный сектор; Италия и Греция исключили почти все секторы за исключением энергетики и транспорта; Великобритания исключила общественный порядок, химическую и ядерную промышленность, космос и исследования, но включила службы экстренной помощи [3, с. 5]. Как правило, государства определяют секторы CII и ключевые факторы их защиты в соответствующих стратегиях и закрепляют механизм обеспечения кибербезопасности в специальном законе. В список секторов CII Сингапур включил услуги (государственные и аварийные службы, здравоохранение, средства массовой информации, банковские и финансовые услуги), коммунальные услуги (энергетика, вода и телекоммуникации) и транспорт (наземный транспорт, морской и портовый, гражданский авиация) [12]. Акт о кибербезопасности 2018 года определяет секторы CII в рамках термина «существенные службы» (essential services), который означает любые службы, необходимые для национальной безопасности, обороны, внешних отношений, экономики, общественного здравоохранения, общественной безопасности и общественного порядка. Все эти службы перечислены в Перечне 1 к упомянутому Акту (всего 46 в списке): они имеют отношение к энергетике, инфокоммуникациям, водоснабжению, здравоохранению, банковскому и финансовому обеспечению, безопасности и экстренной помощи, авиации, наземному транспорту, морскому транспорту, средствам массовой информации и услугам, связанным с функционированием правительства. В банковской и финансовой сфере выделены такие CII, как 1) банковские услуги, включая депозиты и снятие наличных, корпоративное кредитование, управление денежными средствами и платежные услуги; 2) клиринговые и расчетные услуги по платежам; 3) ценные бумаги, клиринговые, расчетно-депозитарные услуги; 4) торговля деривативами, клиринговые и расчетные услуги; 5) услуги, связанные с поддержанием денежно-кредитной и финансовой стабильности; 6) эмиссия; 7) услуги, связанные с расчетами и платежами для правительства [14]. В 1970 году Парламент Сингапура принял Акт о Валютно-финансовом управлении Сингапура (Monetary Authority of Singapore Act 1970), в соответствии с которым MAS приступил к реализации своих полномочий по регулированию сектора финансовых услуг 1 января 1971 года. MAS получил полномочия банка и финансового агента правительства для содействия монетарной стабильности, чья кредитная и обменная политика должна способствовать росту экономики. С апреля 1977 года MAS получил полномочия по регулированию страховой сферы. Регулирующие функции во исполнение Закона о ценных бумагах 1973 года (Securities Industry Act 1973) были переданы финансовому регулятору в сентябре 1984 года. На сегодняшний день MAS регулирует отношения в сфере банковского дела, страхования, ценных бумаг и финансового сектора в целом [15]. В качестве финансового регулятора и центрального банка Сингапура MAS разрабатывает денежно-кредитную политику и осуществляет макроэкономическое исследование возникающих тенденций и потенциальных уязвимостей. Он управляет обменным курсом, иностранными резервами и ликвидностью в банковском секторе. MAS курирует все финансовые институты Сингапура - банки, страховые компании, финансовые консалтинговые компании, фондовую биржу, посредников на рынке капитала и проч. Реализуя мандат на создание надежного и прогрессивного сектора финансовых услуг в Сингапуре, MAS формирует финансовую отрасль Сингапура путем поддержания устойчивой системы корпоративного управления и строгого соблюдения международных стандартов бухгалтерского учета. MAS тесно сотрудничает с другими правительственными и международными финансовыми учреждениями в целях развития и продвижения Сингапура в качестве регионального и международного финансового центра. Для осуществления своих полномочий и регулирования вышеуказанных отношений MAS использует следующие инструменты. Во-первых, это принимаемые Парламентом акты (acts), которые определяют компетенцию MAS, например, Акт о банковской деятельности (Banking Act) или Акт о финансовых консультантах (Financial Advisers Act). Они имеют силу закона и публикуются в правительственной газете (Government Gazette). Во-вторых, это принимаемые непосредственно MAS подзаконные акты (subsidiary legislation), которые конкретизируют положения соотвествующих актов и излагают подробные требования, которые должны соблюдаться финансовыми институтами или иными субъектами (например, представителями финансовых консультантов). Они также публикуются в правительственной газете (Government Gazette). В качестве примеров можно привести Регламент о страховании (Insurance (Actuaries) Regulations) и Регламент о финансовых компаниях (Finance Companies (Advertisements) Regulations). Третью группу инструментов формируют инструкции (directions), содержащие обязательные к исполнению специфические указания финансовым институтам или особым субъектам. Они имеют силу закона, поскольку MAS определяет правовые последствия в виде привлечения к ответственности в случае определенного нарушения инструкции. Инструкции делятся на директивы (directives) и предписания (notices). Директивы содержат юридически обязательные требования к отдельному финансовому институту или указанному лицу. Исключение относится к определенному классу инструментов - Директивам для торговых банков, которые, по сути, являются «предписаниями», но по историческим причинам используется термин «директивы». Предписания (notices) содержат юридически обязательные требования к определенному классу финансовых институтов или лиц, например, Предписание для банков (MAS 603) о филиалах и банкоматах (Notice to Banks (MAS 603) on Branches and Automated Teller Machines) или Предписание страховщикам жизни (MAS 307) об инвестиционной политике страхования жизни (Notice to Life Insurers (MAS 307) on Investment-linked Life Insurance Policies). Четвертую группу инструментов финансового регулятора Сингапура составляют «руководства» (guidelines). Они устанавливают принципы, так называемые «стандарты лучшей практики», которые регулируют поведение финансовых институтов или лиц, например, Руководство по управлению технологическими рисками для финансовых институтов (Technology Risk Management Guidelines for Financial Institutions) и Руководство по стандартам поведения для страховых брокеров (Guidelines on Standards of Conduct for Insurance Brokers). Нарушение таких предписаний не является правонарушением и не влечет гражданско-правовых санкций, однако степень соблюдения таких руководств влияет на общую оценку риска для конкретного института или лица. Кодексы (codes) представляют собой систему правил, регламентирующих осуществление определенных видов деятельности. Хотя их положения не имеют силы закона, их нарушение может повлечь определенные последствия (выговор или публичное порицание). Объем и характер последствий определяется в соответствии с Актами, во исполнение которых разработан тот или иной кодекс. Например, при применении Кодекса о слияниях и поглощениях (Code on Take-overs and Mergers) необходимо обращаться к разделу VIII и секции 321 Акта о ценных бумагах и фьючерсах (Securities and Futures Act), Кодекса о схемах коллективных инвестиций (Code on Collective Investment Schemes) – к разделу XIII, подразделу 2 и секции 321 Акта о ценных бумагах и фьючерсах (Securities and Futures Act), Кодекса поведения для кредитных рейтинговых агентств (Code of Conduct for Credit Rating Agencies) – к секции 321 Акта о ценных бумагах и фьючерсах (Securities and Futures Act). Практические предписания (practice notes) предназначены для руководства финансовых институтов или лиц, ответственных за административные процедуры, в случаях лицензирования, отчетности и подтверждения соответствия. Примером может служить Практическое предписание о подаче документов, касающихся предложений о долевых и долговых обязательствах (Practice Note on Lodgment of Documents relating to Offers of Shares and Debentures). Нарушение практического предписания не является правонарушением, если процедура, указанная в практическом предписании, не предусмотрена актом или регламентом. Циркуляры (circulars) – документы, адресованные конкретным лицам для их информирования, или опубликованные на официальном сайте MAS для широкой общественности. Циркуляры не имеют силы закона. Примером может служить Циркуляр для банков по аутсорсингу операций с наличными и чеками в других банках (MAS Circular to Banks on Outsourcing of Cash And Cheque-Related Transactional Services to Another Bank). Для регулирования отношений в сфере кибербезопасности финансовым регулятором Сингапура испольуются следующие инструменты: Руководство по управлению технологическими рисками 2013 года (Technology Risk Management Guidelines), Руководство по аутсорсингу (Guidelines on Outsourcing 2016 revised 5 October 2018), Инструкция по уведомлению об инцидентах и отчетности в MAS (Instructions on Incident Notification and Reporting to MAS) и Предписание по управлению технологическими рисками (Notice on Technology Risk Management CMG-N02 2013). Рассмотрим их подробнее. В 2001 году MAS утвердило Руководство по интернет-банкингу и управлению технологическими рисками (Internet Banking and Technology Risk Management (IBTRM) Guidelines). Со временем этот документ неоднократно пересматривался: дважды в 2001 году (версии 1.0 и 1.1), в 2002 (версия 1.2), 2003 (версия 2.0) и 2008 (версия 3.0) годах. В связи с появлением новых технических инноваций – мобильных технологий, виртуализации систем, - финансовые институты смогли расширить свои бизнес-предложения и охват клиентов. Изобилие аутсорсинговых услуг в сфере информационных технологий привело к большой востребованности их у представителей финансового и банковского секторов. На фоне растущей зависимости от сложных информационных систем и операций в финансовом секторе наблюдался повышенный риск кибератак и системных сбоев. Поэтому MAS неоднократно указывал в циркулярах на необходимость усиления работы по управлению технологическими рисками и готовности справиться с инцидентами в области информационной безопасности и сбоями системы. В связи с этим в 2012-2013 годах Руководство по интернет-банкингу и управлению технологическими рисками было пересмотрено и расширено для лучшего управления существующими и устранения возникающих технологических рисков, с которыми сталкиваются финансовые институты. В новую редакцию руководства были включены все циркуляры по безопасности и защите данных и конечных устройств, обеспечению надежности, доступности и восстановимости информационных систем и проч., в результате документ был издан как Руководство по управлению технологическими рисками (Technology Risk Management Guidelines 2013) [16]. Вместе с указанным руководством MAS издала предписание по управлению технологическими рисками (Notice on Technology Risk Management CMG-N02 2013) [17], в котором изложила требования к управлению рисками в финансово-банковском секторе, среди которых были указаны высокий уровень надежности, доступности и возможности восстановления CII, а также обязанность внедрения информационно-технических средств защиты информации о клиентах от несанкционированного доступа или раскрытия. Следует отметить тот факт, что рассматриваемое руководство MAS в отличие от таких стандартов безопасности как ISO 27001 и BASEL II усиливает требования к финансовым институтам в части борьбы с киберугрозами: необходимо усовершенствовать механизмы киберзащиты, оперативно реагировать на инциденты и держать на постоянном контроле процессы управления рисками. Финансовым институтам настоятельно рекомендуется внедрять технологии управления технологическими рисками и методы обеспечения безопасности, включая учет и анализ инцидентов в области ИТ-безопасности, контроль над восстановлением и надежностью системы, уведомлениями о сбоях основных систем и защитой информации о клиентах. В частности, руководство MAS возлагает следующие обязанности на финансовые институты: 1) достижение нулевого времени простоя системы CII; 2) восстановление CII в течение 4 часов, относящихся к допустимому времени восстановления системы (Recovery Time Objective, RTO); 3) информирование MAS об инцидентах и серьезных неисправностях системы в течение 30 минут после их обнаружения; 4) отправка в MAS отчетов о причинах и об анализе воздействия киберинцидентов течение 1 месяца с момента происшествия; 5) показатель ежегодного внепланового простоя CII должен составлять менее 4 часов; 6) постоянная защита данных клиентов и информации о клиентах. Руководство по управлению технологическими рисками состоит из 14 разделов и 6 приложений: 1) введение; 2) сфера применения руководства; 3) контроль технологических рисков руководством финансовых институтов (распределение ролей и ответственности; политика, стандарты и процедуры в сфере информационных технологий; подбор кадров; повышение безопасности в сфере информационных технологий); 4) структура технологии управления рисками (активы информационных систем; идентификация рисков; оценка рисков; ликвидация рисков; мониторинг и отчетность по рискам); 5) управление рисками информационно-технологического аутсорсинга (предварительная экспертиза; облачные технологии); 6) приобретение и развитие информационных систем (управление информационно-технологическими проектами; тестирование и требования к безопасности; проверка исходного кода; расширение системы конечных пользователей); 7) управление информационно-технологическими услугами (управление изменениями; перенос программ; управление инцидентами; управление проблемами; управление производительностью); 8) надежность, доступность и восстанавливаемость системы (доступность систем; план аварийного восстановления; тестированиие аварийного восстановления; управление восстановлением данных); 9) управление безопасностью оперативной инфраструктуры (предотвращение утери данных; управление обновлением технологий; управление конфигурацией сетей и безопасности; оценка уязвимости и тестирование на проницаемость; управление патчами; мониторинг безопасности); 10) защита центров данных и контроль (оценка рисков уязвимости и угроз; физическая безопасность; устойчивость центров данных); 11) контроль доступа (управление доступом пользователей; управление привилегированным доступом); 12) финансовые услуги онлайн (безопасность онлайн-систем; безопасность мобильных онлайн-услуг и платежей); 13) безопасность платежных карт: банкоматы, кредитные и дебетовые карты (мошенничество с платежными картами; безопасность банкоматов и платежных киосков); 14) аудит в сфере информационных технологий (планирование аудита и отслеживание восстановлений). Приложение А устанавливает стандарты проверок систем безопасности и исходного кода; Приложение В – требования к устойчивости систем хранения; Приложение С посвящено использованию криптографии; Приложение D регулирует порядок использования защиты «отказ в обслуживании»; Приложение Е содержит рекомендации по мерам безопасности для онлайн-систем, а Приложение F - по защите и обучению клиентов. В 2004 MAS издало первую версию Руководства по аутсорсингу (Guidelines on Outsourcing), которое пересматривалось в 2005, 2014-2016 и 2018 годах [18]. Поскольку с годами механизмы аутсорсинга становятся более сложными, то, как частный сектор (Ассоциация банков Сингапура (Association of Banks in Singapore) и Ассоциация инвестиционного менеджмента Сингапура (Investment Management Association of Singapore, IMAS)), так и государственный в лице MAS пересматривает требования к аутсорсингу. Основные изменения в Руководстве MAS по аутсорсингу включают следующее: 1) больше внимания уделяется внутренней системе управления рисками аутсорсинга; 2) усиливается ответственность высшего руководства финансовых учреждений; 3) устанавливается новое требование о ведении реестра аутсорсинга (Outsourcing Register); 4) отменяется ожидание уведомления MAS о существенных процессах, передаваемых на аутсорсинг; 5) дается новый перечень процессов, передаваемых на аутсорсинг, и дается более широкое определение таковых; 6) пересматривается определение «существенный процесс, передаваемый на аутсорсинг» со включением положений, связанных с информацией о клиентах; 7) вводятся дополнительные предписания, которые должны быть включены в контракты на аутсорсинг; 8) устанавливаются новые положения об облачном сервисе как форме аутсорсинга [19]. Руководство по аутсорсингу предусмартивает обязанность финансовых институтов в течение установленного срока провести самооценку на предмет соответствия положениям руководства и устранить имеющиеся несоответствия. Руководство по аутсорсингу состоит из 6 разделов и 3 приложений: 1) введение; 2) сфера применения руководства; 3) термины и определения; 4) обязательство перед MAS по аутсорсингу (соблюдение положений руководства; уведомление о неблагоприятных событиях); 5) практики управления рисками (введение; ответственность руководства финансового учреждения; оценка рисков; оценка поставщиков услуг; соглашение об аутсорсинге; конфиденциальность и безопасность; управление непрерывностью финансовых операций; мониторинг и контроль соглашений об аутсорсинге; аудит и проверки; аутсорсинг вне пределов Сингапура; аутсорсинг в рамках финансовой группы; аутсорсинг внутреннего аудита внешними аудиторами); 6) облачные технологии. Приложение 1 содержит открытый перечень процессов, передаваемых на аутсорсинг, а также перечни процессов, которые не могут быть квалифицированы как аутсорсинговые и, следовательно, переданы на аутсорсинг. Приложение 2 устанавливает критерии определения «существенных процессов», которые могут быть переданы на аутсорсинг. Приложение 3 устанавливает обязанность финансовых институтов вести реестр процессов, переданных на аутсорсинг, по форме, установленной MAS. В соответствии с п. 4.1.1 устанавливается обязанность ежегодного уведомления MAS о содержании такого реестра. Заслуживает внимания полномочия финансового регулятора потребовать изменений или вернуть процесс из аутсорсинга, или сменить аутсорсингового контрагента в следующих случаях (п. 4.1.3): (a) неспособность или невозможность демонстрации удовлетворительного уровня осознания характера и степени риска, возникающего в результате аутсорсинга; (b) неспособность или невозможность применения своевременных и адекватных мер для устранения риска, возникающего в результате аутсорсинга; (c) возникновение неблагоприятных последствий для финансового института из-за передачи процессов на аутсорсинг; (d) трудности в реализации финансовым регулятором своих полномочий в отношении финансового института или в осуществлении надзорных функций в отношении услуг, предоставляемых финансовым институтом; (e) безопасность и конфиденциальность информации о клиенте учреждения снижается из-за изменений в среде управления поставщика услуг. Инструкция по уведомлению об инцидентах и отчетности в MAS (Instructions on Incident Notification and Reporting to MAS) [20] предусматривает обязанность финансового института сообщить о киберинциденте в MAS максимум в течение одного часа. Первое уведомление должно быть сделано по телефону (в нерабочее время – по телефону горячей линии) ответственному сотруднику MAS, второе уведомление оформяется в виде отчета о причинах и последствиях инцидента. Инструкция устанавливает перечень сведений, которые должны быть сообщены в первом уведомлении, а предписание по управлению технологическими рисками (Notice on Technology Risk Management CMG-N02 2013) [17] устанавливает 14-дневный срок для составления подробного отчета о причинах и последствиях инцидента установленного образца, который можно скачать с сайта MAS. В сентябре 2018 года MAS опубликовал проект предписания по кибергигиене [21], который должен усилить обязанности финансовых институтов по обеспечению безопасности финансовых услуг. Поскольку предлагаемые финансовым регулятором меры уже закреплены в Руководстве по управлению техническими рисками, MAS планирует придать им обязательный характер, введя ответственность за неисполнение следующих требований: 1) своевременное устранение недостатков системы безопасности; 2) создание и внедрение надежной системы безопасности для информационных систем; 3) развертывание устройств безопасности для защиты системных соединений; 4) установка антивирусного программного обеспечения для снижения риска заражения вредоносными программами; 5) ограничение использования учетной записи системного администратора, который может изменять конфигурации системы; 6) усиление аутентификации пользователей для учетных записей системного администратора в CII. Ужесточение ответственности финансовых институтов MAS объясняет необходимостью недопущения повторения крупнейшего в истории Сингапура киберинцидента 10 июля 2018 года – взлома базы данных кластера публичных медицинских учреждений Сингапура SingHealth, в результате чего персональные данные 1,5 миллионов пациентов, включая медицинские предписания премьер-министра Сингапура Ли Сиен Лунга, были скомпрометированы. Ответственные за 11 секторов CII операторы приступили к пересмотру своих подключений к ненадежным внешним сетям и обеспечению лучшей защиты для имеющихся соединений [22]. Упомянутый проект предписания по кибергигиене вынесен на публичное обсуждение, что означает сбор предложений, замечаний и рекомендаций в течение месяца с даты опубликования, а затем проведение публичных слушаний, по результатам которого конечная версия предписания будет утверждена и получит обязательный к исполнению характер. Ведущие компании, предлагающие услуги в сфере кибербезопасности, уже высказались положительно по поводу проекта. По их мнению, изменения, предлагаемые MAS, в перспективе благотворно отразятся на деятельности финансового и банковского секторов. Время, отведенное для приведения систем безопасности к соответствию требованиям MAS, достаточно как для крупных, так и малых и средних финансовых институтов. Несмотря на то, что малые и средние финансовые институты не имеют таких материально-технических, кадровых и организационных ресурсов, какими владеют крупные компании, тем не менее, наличие на рынке специализированных компаний по предоставлению услуг в сфере кибербезопасности позволяет всем без исключения финансовым учреждениям выполнять требования MAS [23]. Кроме уже рассмотренных инструментов MAS активно использует организационно-правовые механизмы обеспечения кибербезопасности финансового и банковского сектора. Например, в 2017 году под эгидой финансового регулятора и Агенства кибербезопасности Сингапура (Singapore Cyber Security Agency) был запущен проект управления киберрисками [24], в котором принимают участие предствители публичного и частного секторов. Проект осуществляется на базе Наньянгского технологического университета (Nanyang Technological University) и направлен на систематический сбор данных и моделирование киберрисков. Он направлен на разработку средств оценки киберугроз и использование инструментов страхования киберрисков. Цели проекта заключаются в следующем: 1) исследование определения киберриска с целью разработки соответствующей классификации, которая учитывает возникающие информационные риски и варианты юрисдикции; 2) создание пакета данных (big data) об ущербе, связанного с киберинцидентом, включая анализ факторов риска и перевод big data в оценочные страховые претензии на основе «стандартизованного» набора определенных формулировок контракта; 3) разработка набора сценариев кибер-событий для количественной оценки воздействия и изучения риска накопления в системных событиях; 4) разработка стандартных моделей потерь для разных сценариев кибератак для ведения актуарных расчетов; 5) разработка методологии невмешательственной оценки уровня кибербезопасности финансовых институтов для поддержания их рейтинга и интеграции с процессами андеррайтинга. В том же 2017 году MAS сформировал Консультативную комиссию по кибербезопасности (Cyber Security Advisory Panel, CSAP), состоящую из ведущих международных экспертов в сфере кибербезопасности, назначаемых на 2 года с возможностью продления членства. CSAP разрабатывает рекомендации для MAS и финансовых институтов для усиления безопасности финансовой системы Сингапура. Среди действующих членов комиссии – руководители подразделений кибербезопасности в сфере финансовых услуг таких компаний как Accenture Security, IronNet Cybersecurity Inc., JP Morgan Chase & Co, London Stock Exchange Group, F-Secure, Pricewaterhousecoopers Risk Services Pte Ltd, FireEye Inc, Standard Chartered Bank, CyberArk, IBM Resilient, а также руководитель Агентства кибербезопасности Сингапура [25]. В сентябре 2018 года CSAP выступил с рекомендациями для финансовых институтов и MAS по усилению мер безопасности информационных систем. В частности, малым и средним финансовым институтам, использующим облачные технологии, следует пользоваться услугами публичных облачных провайдеров, имеющих сильную защиту от кибератак. В то же время ограниченность количества облачных провайдеров, чьими услугами пользуется большое количество финансовых институтов, тоже является фактором риска, поэтому финансовые институты должны принимать меры по обеспечению безопасности данных, хранимых в облаке и передаваемых в облачный сервис. В свою очередь, провайдеры облачных услуг должны обеспечивать прозрачность процедур применения мер безопасности информационных систем и данных для своих пользователей. Кроме того, CSAP проводит консультационные встречи с Постоянным комитетом по кибербезопасности Ассоциации банков Сингапура, а также с представителями Ассоциации страхования жизни и Ассоциации общего страхования Сингапура [26]. Выводы. Вышесказанное позволяет сделать следующие выводы. Информационные системы, обслуживающие банковские и финансовые услуги, относятся к критической информационной инфраструктуре, а основная обязанность по обеспечению их информационной безопасности возложена на специальный институциональный механизм, в котором центральную роль играет Агентство кибербезопасности Сингапура. Однако такие вопросы безопасности как конфиденциальность и неприкосновенность данных решаются в рамках деятельности Валютно-финансового управления Сингапура (MAS), который уполномочен на издание специальных нормативно-правовых актов и обязательных предписаний для финансовых институтов: Руководство по управлению технологическими рисками 2013 года (Technology Risk Management Guidelines), Руководство по аутсорсингу (Guidelines on Outsourcing 2016 revised 5 October 2018), Инструкция по уведомлению об инцидентах и отчетности в MAS (Instructions on Incident Notification and Reporting to MAS) и Предписание по управлению технологическими рисками (Notice on Technology Risk Management CMG-N02 2013). В процессе принятия находится обязательное для всех финансовых институтов предписание по кибергигиене, определяющее требования по безопасности финансовых услуг в качестве обязательных, невыполнение которых приводит к отзыву лицензии. Активно используются и организационно-правовые механизмы, включающие, помимо MAS, Агентство кибербезопасности Сингапура, научно-образовательные учреждения и руководителей подразделений по кибербезопасности крупнейших финансовых и банковских учреждений мира. Это определяет роль финансового регулятора как ключевую в обеспечении информационной безопасности финансового и банковского секторов. На наш взгляд, опыт Сингапура в рассматриваемой сфере является полезным для совершенствования финансовой и банковской системы России. References
1. Dobberstein N. Cybersecurity in ASEAN: An Urgent Call to Action / N. Dobberstein, D. Gerdemann, G. Pereira, G. Hoe [Elektronnyi resurs] // ATKearney: ofitsial'nyi sait. – Rezhim dostupa: http://www.southeast-asia.atkearney.com/paper/-/asset_publisher/dVxv4Hz2h8bS/content/cybersecurity-in-asean-an-urgent-call-to-action
2. Cybergreen [Elektronnyi resurs] // The CyberGreen Institute: ofitsial'nyi sait. – Rezhim dostupa: https://www.cybergreen.net 3. Mattioli R. Methodologies for the identification of Critical Information Infrastructure assets and services: Guidelines for charting electronic data communication networks / R. Mattioli, C. Levy-Bencheton. – Heraklion: European Union Agency for Network and Information Security (ENISA), 2014. – 43 p. 4. Aminov I.I. Preduprezhdenie kiberprestuplenii v finansovoi sfere / I.I. Aminov // Alleya nauki. 2018. T. 5. № 6 (22). S. 754-758. 5. Maslennikov V.V. Novye finansovye tekhnologii menyayut nash mir / V.V. Maslennikov, M.A. Fedotova, A.N. Sorokin // Vestnik Finansovogo universiteta. 2017. T. 21. № 2 (98). S. 6-11. 6. Molodtsov N.S. Komp'yuternye virusy. Virusnye ataki 2017 goda / N.S. Molodtsov, O.S. Klimenko // Nauka cherez prizmu vremeni. 2018. № 4 (13). S. 35-38. 7. Trifonova A.K. Kiberataki na bankovskii sektor: novye riski i puti preodoleniya / A.K. Trifonova, R.D. Beskrovnyi // Ekonomika. Biznes. Banki. 2017. № S2. S. 83-89. 8. Goryan E.V. Vedushchaya rol' Singapura v obespechenii kiberbezopasnosti v ASEAN: promezhutochnye rezul'taty i perspektivy dal'neishego rasshireniya / E.V. Goryan // Territoriya novykh vozmozhnostei. Vestnik Vladivostokskogo gosudarstvennogo universiteta ekonomiki i servisa. 2018. T. 10. №3. S. 101-116. 9. Bobro D. Methodological aspects of critical infrastructure protection [Elektronnyi resurs] // Research Gate: ofitsial'nyi sait. - Rezhim dostupa: https://www.researchgate.net/publication/322715607_The_National_Institute_for_Strategic_Studies_methodological_aspects_of_critical_infrastructure_protection 10. Farrand B. Blurring Public and Private: Cybersecurity in the Age of Regulatory Capitalism / B. Farrand, H. Carrapico // Security Privatization: How Non-Security-Related Private Businesses Shape Security Governance. – Basel: Springer International Publishing AG, 2018. - Pp.197-217. 11. Matania E. Structuring the national cyber defence: in evolution towards a Central Cyber Authority / E. Matania, L. Yoffe, T. Goldstein // Journal of Cyber Policy. 2017. № 2(1). Pp. 16-25. 12. Singapore’s Cybersecurity Strategy 2016 [Elektronnyi resurs] // Cyber Security Agency of Singapore: ofitsial'nyi sait. – Rezhim dostupa: https://www.csa.gov.sg/news/publications/singapore-cybersecurity-strategy 13. Green Paper on a European Programme for Critical Infrastructure Protection. COM 576 final (2005). 14. Cybersecurity Act 2018 [Elektronnyi resurs] // Cyber Security Agency of Singapore: ofitsial'nyi sait. – Rezhim dostupa: https://www.csa.gov.sg/legislation/cybersecurity-act 15. Monetary Authority of Singapore Act 1970 (revised edition 1999) [Elektronnyi resurs] // Singapore Statutes Online: ofitsial'nyi sait. – Rezhim dostupa: https://sso.agc.gov.sg/Act/MASA1970 16. Technology Risk Management Guidelines 2013 [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/TRM%20Guidelines%20%2021%20June%202013.pdf 17. Notice on Technology Risk Management CMG-N02 from 21 June 2013 [Last revised on 3 October 2018] [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulations%20Guidance%20and%20Licensing/Securities%20Futures%20and%20Fund%20Management/Regulations%20Guidance%20and%20Licensing/Notices/Notice%20on%20Technology%20Risk%20Management%20CMGN02.pdf 18. Guidelines on Outsourcing 2016 revised 5 October 2018) [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/Outsourcing%20Guidelines_Jul%202016%20revised%20on%205%20Oct%202018.pdf 19. Long J.-A., Kaur G. MAS Outsourcing Guidelines: Upcoming Remediation Deadline (26 July 2017) [Elektronnyi resurs] // Lexology: ofitsial'nyi sait. – Rezhim dostupa: https://www.lexology.com/library/detail.aspx?g=b8ea2219-75b2-4062-ac0c-edb016429904 20. Instructions on Incident Notification and Reporting to MAS [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/Instructions%20on%20Incident%20Notification%20and%20Reporting%20to%20MAS.pdf 21. Consultation Paper on Notice on Cyber Hygiene 6 September 2018 [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/~/media/MAS/News%20and%20Publications/Consultation%20Papers/Consultation%20Paper%20on%20Notice%20on%20Cyber%20Hygiene.pdf 22. MAS proposes legally binding cyber-security measures for all Singapore financial institutions [Elektronnyi resurs] // The Straits Times: ofitsial'nyi sait. – Rezhim dostupa: https://www.straitstimes.com/business/banking/mas-proposes-6-cyber-security-measures-all-singapore-financial-institutions-must 23. Chua L. Cybersecurity for Financial Sector SMEs in Singapore is about to be impacted by the MAS [Elektronnyi resurs] // HORANGI: ofitsial'nyi sait. – Rezhim dostupa: https://blog.horangi.com/cybersecurity-for-financial-sector-smes-in-singapore-is-about-to-be-impacted-by-the-mas 24. Cyber Risk Management Project (CyRiM) [Elektronnyi resurs] // Nanyang Technological University: ofitsial'nyi sait. – Rezhim dostupa: http://irfrc.ntu.edu.sg/Research/cyrim/Pages/Project-Brief.aspx 25. MAS Sets Up International Advisory Panel for Cyber Security [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/News-and-Publications/Media-Releases/2017/MAS-Sets-Up-International-Advisory-Panel-for-Cyber-Security.aspx 26. MAS’ Cyber Security Advisory Panel Proposes Ways to Enhance Financial Sector Cyber Resilience [Elektronnyi resurs] // Monetary Authority of Singapore: ofitsial'nyi sait. – Rezhim dostupa: http://www.mas.gov.sg/News-and-Publications/Media-Releases/2018/MAS-Cyber-Security-Advisory-Panel-Proposes-Ways-to-Enhance-Financial-Sector-Cyber-Resilience.aspx |