8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Новости » Обзор СТО БР БФБО-1.9-2024: Безопасность финансовых (банковских) операций

Обзор СТО БР БФБО-1.9-2024: Безопасность финансовых (банковских) операций

11 февраля 2025
Обзор СТО БР БФБО-1.9-2024: Безопасность финансовых (банковских) операций

 

28 декабря Банк России ввел в действие СТО БР БФБО-1.9-2024.

Требования по применению нового стандарта в настоящий момент времени несут рекомендательный характер, однако не исключено, что в будущем при разработке новых или модернизации существующих нормативных документов ЦБ укажет в них прямое требование о необходимости обеспечения защиты QR-кодов в соответствии с новым стандартом.

Стандарт определяет правила, необходимые для обеспечения защиты платежных QR-кодов и контроля их применения. В рамках стандарта рассматриваются меры защиты информации, необходимые для защиты статических и динамических QR-кодов, формируемых плательщиком или получателем денежных средств.

Также стандарт развивает Положения ЦБ № 683-П и № 821-П в рамках обеспечения защиты информации при осуществлении переводов денежных средств с использованием QR-кодов.

При построении защищенной информационной инфраструктуры в соответствии с требованиями настоящего стандарта организации необходимо руководствоваться существующей моделью угроз, так как в случае неактуальности приведенных в стандарте угроз, реализация мер защиты информации, необходимых для нейтрализации угроз будет являться необязательной.

Основные положения стандарта СТО БР БФБО-1.9-2024

В стандарте полностью описывается жизненный цикл процесса использования QR-кодов в рамках передачи электронных сообщений, начиная с формирования, передачи и обработки запроса для генерации QR-кода, продолжая его формированием и предоставлением плательщиком или получателем и заканчивая сканированием и получением из QR-кода данных, необходимых для дальнейшего выполнения перевода денежных средств.

Новый стандарт разделяет типы QR-кодов в зависимости от состава обрабатываемой информации и лица, которое осуществляет формирование QR-кода.

Таким образом, QR-код может быть сформирован плательщиком или получателем и содержать в себе реквизиты для получения денежных средств или ссылку на ресурс, осуществляя доступ к которому можно выполнить перевод денежных средств.

Также стандарт подразумевает два сценария использования платежных QR-кодов:

  • Динамический, при котором QR-код формируется для проведения разовой операции и после ее осуществления взаимодействие с ним не представляется возможным
  • Статический, при котором QR-код является постоянным, вне зависимости от количества переводов денежных средств, которые были осуществлены с его помощью

Помимо этого стандарт описывает основные методы размещения QR-кодов (онлайн или офлайн), а также основные устройства (носители), которые можно использовать для размещения QR-кодов (бумага, наклейки, банкоматы, терминалы и т.д.).

Безопасность QR-кодов в стандарте СТО БР БФБО-1.9-2024 от ЦБ

Стандарт рассматривает угрозы, которые могут быть реализованы на этапе перевода денежных средств при применении QR-кодов, при этом актуальность угроз также рассматривается в соответствии с типами QR-кодов.

После описания типовых угроз стандарт определяет типовые меры защиты информации, реализация которых позволит обеспечить защиту информации при использовании QR-кодов.

Меры защиты информации разделяются по сценарию использования QR-кода. Каждая мера защиты информации, приведенная в стандарте, имеет краткое описание меры.

В основном меры можно разделить на следующие группы:

  • Меры по защите информационной инфраструктуры – в данную группу попадают меры по применению СКЗИ, меры по соблюдению требований ГОСТ 57580.1 в информационной инфраструктуре, в рамках которой осуществляются переводы денежных средств и т. д.
  • Меры по защите ПО, при помощи которого осуществляется взаимодействие с QR-кодами – в данную группу мер входят требования по обеспечению контроля целостности ПО, выполнения его своевременных обновлений и т. д.
  • Меры по защите QR-кодов – в данную группу входят меры по обеспечению контроля состава и содержимого QR-кодов, меры, предъявляющие требования к размещению QR-кодов и т. д.
  • Меры по регламентации процессов защиты при использовании QR-кодов – согласно стандарту, в организации должен быть регламентирован состав данных, разрешенных для включения в QR-код, рекомендации по информационной безопасности при использовании QR-кодов и иные документы, регламентирующие защиту информации

Необходимость соблюдения стандарта СТО БР БФБО-1.9-2024

В приложениях к документу подробно описаны различные сценарии использования QR-кодов при осуществлении финансовых операций совместно с мерами защиты, которые должны реализовываться в рамках каждого из сценария.

ИТОГ: новый стандарт регламентирует правила по обеспечению защиты информации при осуществлении финансовых операций с использованием QR-кодов.

Реализация приведенных в стандарте мер защиты информации не должна вызвать большое количество сложностей, тем более если в организации в настоящий момент обеспечивается защита информации, в том числе при осуществлении переводов денежных средств с использованием QR-кодов.

Хоть стандарт в настоящий момент является рекомендательным, не исключено, что в ближайшее время, требования, отраженные в документе, могут стать актуальными, поэтому организации стоит рассмотреть возможные сценарии использования QR-кодов, которые реализуются в её информационной инфраструктуре и обеспечить выполнение требований, которые представлены в данных сценариях.