Один из наиболее частых вопросов от сотрудников служб информационной безопасности – о сроках прохождения оценки соответствия ГОСТ Р 57580.1. Сам по себе этот ГОСТ не является обязательным к применению, но Банк России ссылается на него в своих нормативно-правовых актах (НПА), тем самым обязывая финансовые организации (а это и кредитные организации, и участники финансовых рынков) использовать ГОСТ для организации защиты информации.

 

Кредитные организации

Сложнее всего разобраться со сроками внедрения ГОСТ и проведения аудита кредитным организациям, так как есть несколько НПА, которые распространяются на них и ссылаются на ГОСТ. При этом везде указаны разные сроки, разные уровни соответствия и разная периодичность проведения аудита. Давайте разберем эти НПА подробнее.

 

Положение Банка России 672-П

Первым таким НПА станет Положение 672-П о защите информации в платёжной системе Банка России, вышедшее в январе 2019 года. Пункты 3 и 4 данного документа говорят о том, что с 1 июля 2021 года участники платёжной системы Банка России (сервисы срочного и несрочного перевода – ССНП, сервисы быстрых платежей – СБП) должны защищать свою инфраструктуру в соответствии с ГОСТ, а также проходить оценку соответствия не реже 1 раза в 2 года.

Если мы посмотрим текст документа, а именно абзац 5 пункта 20, то увидим, что с 1 января 2023 года участник ССНП или СБП должен иметь уровень не ниже четвёртого. А что такое уровень соответствия, и как он определяется? Обратимся к методике оценки соответствия в ГОСТ Р 57580.2, где написано, что это агрегированная оценка выполнения требований в виде шкалы от 1 (минимального) до 5 (максимального) уровня соответствия. Уровень соответствия конкретной организации устанавливается только внешней оценкой соответствия, о периодичности которой и говорит регулятор.

Таким образом, согласно 672-П кредитные организации должны применять ГОСТ с 1 июля 2021 года, а к 1 января 2023 года провести внешнюю оценку соответствия и показать уровень не ниже четвёртого.

 

Положение Банка России 683-П

Следующим НПА станет Положение 683-П о требованиях к защите информации при осуществлении банковской деятельности, вышедшее в апреле 2019 года. Оно также содержит требование о соответствии ГОСТ, но уже с 1 января 2021 года (на полгода раньше), а оценка соответствия должна проходить, не реже 1 раза в 2 года, что совпадает с требованиями 672-П.

Согласно пункту 9.2 Положения 683-П третий уровень соответствия должен быть достигнут к 1 января 2021 года, а четвёртый к 1 января 2023 года. Значит, внешняя оценка соответствия в кредитной организации должна быть проведена первый раз до 1 января 2021 года и второй раз до 1 января 2023 года,что укладывается в указанную периодичность аудита.

 

Положение Банка России 719-П

Однако с выходом положения 719-П (пункт 2.4) кредитные организации, как операторы по переводу денежных средств, должны соответствовать четвёртому уровню уже с 1 января 2022 года (на один год раньше, чем было в 683-П). Есть вероятность, что эти даты будут изменены и гармонизированы Банком России между собой для исключения каких-либо разночтений, но на данный момент необходимо ориентироваться на более раннюю дату.

 

Приказ Министерства цифрового развития №321

Помимо Банка России в своих НПА на ГОСТ Р 57580.1 ссылается Министерство цифрового развития: в приложении №3 к приказу №321 от 25 июня 2018 о порядке обработки биометрических персональных данных есть требование о защите инфраструктуры банков в соответствии с ГОСТ, и в этом требовании нет каких-либо отдельных сроков вступления в действие. Также есть приложение 1 к данному приказу, в котором говорится о ежегодной оценке соответствия ГОСТ информационной инфраструктуры, участвующей в обработке биометрии. Таким образом, при планировании аудитов следует отталкиваться от даты подключения банка к Единой биометрической системе.

Сведём полученную информацию в таблицу:

Оптимизация количества оценок соответствия

На первый взгляд, с учётом требований Банка России кредитным организациям придётся организовать несколько оценок соответствия, однако по совокупности мы можем рекомендовать провести первую оценку для всех объектов, которые попадают в область действия ГОСТ, в том числе для объектов, работающих с ЕБС. Тем самым выполнить 672-П, 683-П и приказ №321, а для последнего дополнительно организовать на следующий год совместно с аудитором (и, вероятно, в рамках одного договора) проверку выполнения требований ГОСТ на инфраструктуре ЕБС, что очевидным образом не потребует больших временных и финансовых ресурсов. Об оптимизации количества внешних аудитов говорит и сам регулятор в своих разъяснениях: например, в ответе Ассоциации банков России на ряд вопросов по информационной безопасности (см. письмо Банка России №56-1-11/265 от 22.05.2020 года, вопрос №28).

 
Некредитные финансовые организации и 684-П

С некредитными финансовыми организациями (НФО) дела обстоят немного проще, так как на них распространяется только Положение 684-П о требованиях к защите информации при осуществлении деятельности в сфере финансовых рынков, которое, аналогично 683-П, содержит требование о соответствии ГОСТ с 1 января 2021 года, но в части уровней соответствия и периодичности аудита есть отличия.

Согласно пункту 8 организации, которые попадают под стандартный уровень защиты, должны пройти первую внешнюю оценку соответствия до 1 января 2022 года, показав третий уровень соответствия, а следующую оценку – до 1 июля 2023 года, достигнув четвёртого уровня, и далее 1 раз в 3 года. При этом НФО, которые обязаны соблюдать усиленный уровень защиты, будут выполнять те же требования по уровню соответствия, но проходить аудит ежегодно.

Следует также иметь в виду, что для НФО даты проведения оценок соответствия и даты вступления в действие требований ГОСТ – разные даты! С 1 января 2021 года НФО должны начать применять ГОСТ у себя и подтвердить это ссылкой на ГОСТ в своих НПА, а уже с 1 января 2022 года показать отчётом от внешнего аудитора, что достигнут уровень соответствия не ниже третьего.

 

Кратко о сроках внешней оценки

Кредитные организации уже сейчас должны пройти первую оценку соответствия ГОСТ Р 57580.1 и подтвердить отчётом внешнего аудитора третий уровень соответствия к началу 2021 года. Некредитные финансовые организации, в свою очередь, должны провести первую внешнюю оценку соответствия до 1 января 2022 года.

27 октября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных