Один из наиболее частых вопросов от сотрудников служб информационной безопасности – о сроках прохождения оценки соответствия ГОСТ Р 57580.1. Сам по себе этот ГОСТ не является обязательным к применению, но Банк России ссылается на него в своих нормативно-правовых актах (НПА), тем самым обязывая финансовые организации (а это и кредитные организации, и участники финансовых рынков) использовать ГОСТ для организации защиты информации.

 

Кредитные организации

Сложнее всего разобраться со сроками внедрения ГОСТ и проведения аудита кредитным организациям, так как есть несколько НПА, которые распространяются на них и ссылаются на ГОСТ. При этом везде указаны разные сроки, разные уровни соответствия и разная периодичность проведения аудита. Давайте разберем эти НПА подробнее.

 

Положение Банка России 672-П

Первым таким НПА станет Положение 672-П о защите информации в платёжной системе Банка России, вышедшее в январе 2019 года. Пункты 3 и 4 данного документа говорят о том, что с 1 июля 2021 года участники платёжной системы Банка России (сервисы срочного и несрочного перевода – ССНП, сервисы быстрых платежей – СБП) должны защищать свою инфраструктуру в соответствии с ГОСТ, а также проходить оценку соответствия не реже 1 раза в 2 года.

Если мы посмотрим текст документа, а именно абзац 5 пункта 20, то увидим, что с 1 января 2023 года участник ССНП или СБП должен иметь уровень не ниже четвёртого. А что такое уровень соответствия, и как он определяется? Обратимся к методике оценки соответствия в ГОСТ Р 57580.2, где написано, что это агрегированная оценка выполнения требований в виде шкалы от 1 (минимального) до 5 (максимального) уровня соответствия. Уровень соответствия конкретной организации устанавливается только внешней оценкой соответствия, о периодичности которой и говорит регулятор.

Таким образом, согласно 672-П кредитные организации должны применять ГОСТ с 1 июля 2021 года, а к 1 января 2023 года провести внешнюю оценку соответствия и показать уровень не ниже четвёртого.

 

Положение Банка России 683-П

Следующим НПА станет Положение 683-П о требованиях к защите информации при осуществлении банковской деятельности, вышедшее в апреле 2019 года. Оно также содержит требование о соответствии ГОСТ, но уже с 1 января 2021 года (на полгода раньше), а оценка соответствия должна проходить, не реже 1 раза в 2 года, что совпадает с требованиями 672-П.

Согласно пункту 9.2 Положения 683-П третий уровень соответствия должен быть достигнут к 1 января 2021 года, а четвёртый к 1 января 2023 года. Значит, внешняя оценка соответствия в кредитной организации должна быть проведена первый раз до 1 января 2021 года и второй раз до 1 января 2023 года,что укладывается в указанную периодичность аудита.

 

Положение Банка России 719-П

Однако с выходом положения 719-П (пункт 2.4) кредитные организации, как операторы по переводу денежных средств, должны соответствовать четвёртому уровню уже с 1 января 2022 года (на один год раньше, чем было в 683-П). Есть вероятность, что эти даты будут изменены и гармонизированы Банком России между собой для исключения каких-либо разночтений, но на данный момент необходимо ориентироваться на более раннюю дату.

 

Приказ Министерства цифрового развития №321

Помимо Банка России в своих НПА на ГОСТ Р 57580.1 ссылается Министерство цифрового развития: в приложении №3 к приказу №321 от 25 июня 2018 о порядке обработки биометрических персональных данных есть требование о защите инфраструктуры банков в соответствии с ГОСТ, и в этом требовании нет каких-либо отдельных сроков вступления в действие. Также есть приложение 1 к данному приказу, в котором говорится о ежегодной оценке соответствия ГОСТ информационной инфраструктуры, участвующей в обработке биометрии. Таким образом, при планировании аудитов следует отталкиваться от даты подключения банка к Единой биометрической системе.

Сведём полученную информацию в таблицу:

Оптимизация количества оценок соответствия

На первый взгляд, с учётом требований Банка России кредитным организациям придётся организовать несколько оценок соответствия, однако по совокупности мы можем рекомендовать провести первую оценку для всех объектов, которые попадают в область действия ГОСТ, в том числе для объектов, работающих с ЕБС. Тем самым выполнить 672-П, 683-П и приказ №321, а для последнего дополнительно организовать на следующий год совместно с аудитором (и, вероятно, в рамках одного договора) проверку выполнения требований ГОСТ на инфраструктуре ЕБС, что очевидным образом не потребует больших временных и финансовых ресурсов. Об оптимизации количества внешних аудитов говорит и сам регулятор в своих разъяснениях: например, в ответе Ассоциации банков России на ряд вопросов по информационной безопасности (см. письмо Банка России №56-1-11/265 от 22.05.2020 года, вопрос №28).

 
Некредитные финансовые организации и 684-П

С некредитными финансовыми организациями (НФО) дела обстоят немного проще, так как на них распространяется только Положение 684-П о требованиях к защите информации при осуществлении деятельности в сфере финансовых рынков, которое, аналогично 683-П, содержит требование о соответствии ГОСТ с 1 января 2021 года, но в части уровней соответствия и периодичности аудита есть отличия.

Согласно пункту 8 организации, которые попадают под стандартный уровень защиты, должны пройти первую внешнюю оценку соответствия до 1 января 2022 года, показав третий уровень соответствия, а следующую оценку – до 1 июля 2023 года, достигнув четвёртого уровня, и далее 1 раз в 3 года. При этом НФО, которые обязаны соблюдать усиленный уровень защиты, будут выполнять те же требования по уровню соответствия, но проходить аудит ежегодно.

Следует также иметь в виду, что для НФО даты проведения оценок соответствия и даты вступления в действие требований ГОСТ – разные даты! С 1 января 2021 года НФО должны начать применять ГОСТ у себя и подтвердить это ссылкой на ГОСТ в своих НПА, а уже с 1 января 2022 года показать отчётом от внешнего аудитора, что достигнут уровень соответствия не ниже третьего.

 

Кратко о сроках внешней оценки

Кредитные организации уже сейчас должны пройти первую оценку соответствия ГОСТ Р 57580.1 и подтвердить отчётом внешнего аудитора третий уровень соответствия к началу 2021 года. Некредитные финансовые организации, в свою очередь, должны провести первую внешнюю оценку соответствия до 1 января 2022 года.

27 октября, 2020