Обзор требований к ИБ в финансовом секторе. Часть 2. Положения Банка России № 683-П и № 672-П
Тема проведения оценки соответствия многогранная и объёмная — необходимо учитывать сразу несколько Положений Банка России. Разобраться в обилие документов и требований помогали специалисты PwC в рамках недавнего вебинара «Требования к ИБ в финансовом секторе». Первую часть обзора требований мы недавно публиковали. Во второй части мы сконцентрируемся на Положениях Банка России № 683-П и № 672-П.
Положение Банка России № 683-П
Положение Банка России № 683-П от 2019 года устанавливает требования к обеспечению защиты информации в целях противодействия осуществлению переводов денежных средств без согласия клиентов. Часть требований заимствовано из Положения 382-П, например, ежегодное тестирование на проникновения и анализ уязвимостей, формирование для клиентов рекомендаций по защите информации, классификация и регистрация инцидентов, а также информирование о них Банка России. Однако у ряда требований, несмотря на схожесть, есть свои нюансы по формулировкам.
В качестве примера можно привести требование применения сертифицированного прикладного ПО или ПО, в отношении которого проведён анализ уязвимостей по уровню ОУД 4. «В 382-П — это ПО для осуществления перевода денежных средств, и здесь будут вводить такие системы, как дистанционное банковское обслуживание, автоматизированные банковские системы. А в 683-П дана другая формулировка — это ПО, которое распространяется клиентам для совершения действий в целях осуществления банковских операций, а также ПО, используемое для приёма электронных сообщений. То есть здесь формулировка требования немного уже и сюда включаются только системы дистанционного банковского обслуживания либо сервера по приему электронных сообщений», — пояснил Олег Валеев. Также стоит отметить, что в плане надзора со стороны Банка России исполнение данного требования отложено до 1 июля 2021 года, то есть ЦБ не будет применять каких-либо надзорных мер в случае если кредитная организация не будет выполнять этот пункт, потому что есть некоторые сложности, так как «Профиль защиты» еще официально не выпущен.
В то же время в Положении 683-П есть и новые требования. Так, появилось требование по технологии обработки защищаемой информации для процессов. Все эти процессы поделены на пять технологических участка, и для каждого их них должна быть обеспечена регламентация, реализация и контроль:
- идентификация, аутентификация и авторизация клиента;
- формирование, передача и приём электронных сообщений;
- удостоверение права клиентов распоряжаться денежными средствами;
- осуществление банковской операции и учёт её результатов;
- хранение электронных сообщений и информации об осуществлённых банковских операциях.
«При формировании требований рекомендуется также обратить внимание на положение Банка России 383-П, которое было выпущено вместе с Положением 382-П. Оно содержит ряд описаний тех требований, которые в 683-П опубликованы, но не поясняются, а в Положении 383-П есть пояснения к этим требованиям», — акцентировал Олег Валеев. Он также сказал, что ещё необходимо привлекать свои бизнес-подразделения, потому что некоторые технологические участки им хорошо знакомы и они, соотвественно, могут оказать хорошую помощь.
Ещё среди новых требований — обязательная оценка соответствия по ГОСТ Р 57580.1-2017. В Положении устанавливается методология как должна проходить оценка и вводятся также положения ГОСТ Р 57580.2-2018, периодичность проведения оценки, необходимый уровень соответствия, а также требования к проверяющей организации (она должна обладать лицензией ФСТЭК на техническую защиту конфиденциальной информации).
«При выполнении требований 683-П стоит также обратить внимание и на комментарии Банка России, который выпускает разъяснения по своим требованиям и положениям. К сожалению, по Положению 683-П их не так много, но они есть. Также есть разъяснения по Положению 684-П, которое является аналогичным для некредитных финансовых организаций», — добавил Олег Валеев.
По его словам, есть требование, что кредитные организации должны обеспечивать подписание электронных сообщений способом, который позволяет обеспечить целость и подтвердить составление указанного электронного сообщения уполномоченным на это лицо. И здесь при выполнении этого требования у кредитных организаций возник вопрос, потому что обеспечить целостность и подтвердить составление указанного сообщения возможно только с применением квалифицированной электронной подписи. Это так трактуется на первый взгляд. Но Банк России выпустил информационное письмо, в котором определил, что кредитные организации могут использовать электронную подпись, аналог собственноручной подписи, коды, пароли и другие средства. При этом кредитные организации вправе определить в договорах с клиентами возможность использования простой электронной подписи, а не квалифицированной электронной подписи. То есть здесь требования в целом становятся проще для выполнения банками.
Другое требование 683-П — это технология обработки защищаемой информации, применяемая на технологическом участке «удостоверение права клиентов распоряжаться денежными средствами». Оно обеспечивает получение от клиента подтверждения о совершённой банковской операции. Ещё в Положении 382-П был пункт по выявлению фальсифицированных электронных сообщений — многие банки внедряли антифрод-системы и в соответствии с риском направляли и подтверждали только те электронные сообщения, которые вызывали некое подозрение. Сейчас же, согласно недавно выпущенному комментарию Банка России, это положение распространяется на все банковские операции, а не только на подозрительные.
Относительно подхода к определению области оценки в Положении 683-П говорится, что защите подлежат документы, составленные при осуществлении банковских операций в электронном виде, необходимая для авторизации клиентов информация, информация об осуществлённых банковских операциях и СКЗИ, используемые при осуществлении банковских операций (криптографические ключи).
Если говорить про методологию оценки соответствия по 683-П, то можно сказать, что она не определена, как это было изначально в положении 382-П. Однако, по словам эксперта, в сентябре 2019 года Банк России с целью изучения, как кредитные и некредитные организации выполняют требования положения 683-П, выборочно направил в кредитные и некредитные организации письмо, в котором был порядок проведения оценки выполнения требований к обеспечению защиты информации. В методике было 6 уровней — от нулевого до пятого (оптимизирующегося). «Данный подход можно сравнить с моделью Capability Maturity Model Integration (CMMI), которая описывает модель зрелости и совершенствования процессов. И если есть интерес, то можно использовать лучшие практики, эту модель с целью лучшего понимания и соответствия требованиям Положения», — пояснил Олег Валеев.
Положение Банка России № 672-П
Положение Банка России 672-П устанавливает требования к защите информации в платёжной системе Банка России. Оно пришло на смену Положению 552-П, действовавшему с 2016 по 2019 год. Новый документ утратил многие требования, которые были ранее, но основная часть требований из 552-П мигрировала в договор по обмену электронными сообщениями с Банком России.
В область оценки входят такие системы как АРМ КБР-Н или его аналоги, а также АБС или отдельны модули для подписания и шифрования ЭС в ССНП и СБП. Кроме того, Положение 672-П вводит обязательное применение ГОСТ Р 57580, оценку по методологии ГОСТ Р 57580.2-2018 и уровни соответствия, которые кредитные организации должны обеспечить до 1 января 2023 года.
Продолжение следует...
.png)