Обзор требований к ИБ в финансовом секторе. Часть 1. Положение Банка России № 382-П

4 июня, 2020

Обзор требований к ИБ в финансовом секторе. Часть 1. Положение Банка России № 382-П

Все мы наблюдаем, что с течением времени усиливается деятельность Банка России в отношении ИБ банковского сектора. Почти каждый год выходят либо новые положения, указания, ГОСТы, либо вносятся изменения в уже существующие нормы. Конечно же, регуляторным требованиям нужно соответствовать. И конечно же, внедряя меря, процессы и технические решения, вы не только только закрываете регуляторные требования, но и повышаете уровень своей информационной безопасности.

Именно этой теме в разрезе проведения оценки соответствия был посвящён вебинар от PwC «Требования к ИБ в финансовом секторе». По словам менеджера отдела анализа и контроля рисков PwC Россия Юрия Веселова, проведение оценки соответствия выявляет наличие четырёх основных проблем. Первая — это сложности с интерпретацией, формулировкой регуляторных норм, поэтому разные организации понимают по-разному эти нормы и затрудняются однозначно их интерпретировать. Вторая — это отсутствие в системах возможности реализации требований ИБ. Третья — недостаточно полно и конкретно описаны процессы. И четвёртая — при разработке мер защиты не всегда учитываются регуляторные требования и рекомендации.

В данное время существует три основных положения Банка России, которые распространяются на кредитные организации с целью обеспечения ИБ в финансовом секторе. Самое первое положение Банка России, Положение 382-П, было выпущено ещё в 2012 году и на данный момент содержит 171 требование, которые распространяются не только на  операторов по переводу денежных средств банков, но также на других участников по переводу денежных средств. В выпущенных в 2018 году изменениях к данному Положению говорится, что для проведения оценки соответствия требуется привлечение внешней организации.

В прошлом году Банком России были выпущены ещё два Положения — 672-П и 863-П. Они уже действуют и их необходимо выполнять. Положение 672-П действует на участников платёжной системы Банка России, то есть в основном на кредитные организации. Положение 683-П — только на кредитные организации. В данных документах пока нет требований по привлечению внешней организации для проведения оценки соответствия.

Все эти положения носят обязательный статус, и все кредитные организации должны их выполнять. Кроме того эти положения вводят и дополнительные требования, например, обеспечение соответствия ГОСТ Р 57580, ГОСТ Р 15408 и проведение анализа уязвимостей.

 

Положение Банка России № 382-П и изменения к нему

Положение Банка России № 382-П было выпущено в 2012 году, в 2018 году к нему были также выпущено указание с новыми требованиями. Что это за новые требования? Основные изменения состоят в том, что кредитным организациям необходимо проводить ежегодное тестирование на проникновение и анализ уязвимостей ИБ. Также оценка соответствия должна проводиться раз в два года с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Ещё одно из новых требований — информирование Банка России о выявленных инцидентах и планируемых мероприятиях по раскрытию инцидентов. «Таким образом, если произошёл инцидент и банк хочет опубликовать пресс-релиз либо какую-либо информацию на своём сайте или других источниках, ему необходимо предварительно уведомить об этом Банк России. Здесь не нужно получать какого-то разрешения, но уведомление должно быть отправлено», — пояснил старший специалист отдела анализа и контроля рисков PwC Россия Олег Валеев.

Также с 1 января 2020 года вступили в силу и два других требования: применение сертифицированного прикладного ПО или ПО, в отношении которого проведён анализ уязвимостей уровня ОУД 4. По мнению Олега Валеева, вопрос сертификации ПО остаточно сложный, поэтому, скорее всего, практически все кредитные организации выберут путь проведения оценки и анализа уязвимостей по уровню ОУД 4. Однако, со слов эксперта, в настоящее время «Профиль защиты» ОУД 4 не утверждён, но уже прошло голосование в Техническом комитете №122, поэтому есть вероятность, что в ближайшее время документ будет выпущен.

Ещё одно из новых требований — реализация раздельных технологий подготовки электронных сообщений по поводу денежных средств и передаче подтверждений на перевод денежных средств или реализация ограничений по параметрам операций. «Если остановиться на этом требовании, то оно не такое и новое, потому что ранее, в других версиях 382-П, реализация ограничений по параметрам операций уже была введена. И те кредитные организации, которые добросовестно исполняли этот пункт, для них он не будет новым», — добавил Олег Валеев.

Он также сказал, что в настоящее время опубликован новый проект Положения Банка России (однако официально он ещё не утвержден), в котором все существующие сейчас требования практически исчезнут и будут введены требования ГОСТ Р 57580.

Продолжение следует...

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам
26.03.2024
Банки попросили не вводить оборотные штрафы за утечки. Опять
26.03.2024
Фейк — он и в Африке фейк. Что хакеры ищут на чёрном континенте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных