Банк, ты готов?

Последние год-полтора российские банки испытывают как никогда сильное регуляторное давление: вступление в силу изменений в 161-ФЗ[1], новая редакция Положения № 382-П[2], новые Положения №№ 672-П[3] и 683-П[4]. Эти нормотворческие инициативы множат текущие печали банков, готовя их к неизбежному: выполнению, начиная с 2021 года, требований ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер”.

Кроме того, информационная безопасность становится еще одним обязательным разделом отчетности кредитных организаций. Очевидно, для решения возложенных на банки как перечисленных, так и других задач (ввод в эксплуатацию АРМ КБР-Н, сбор биометрии, выполнение требований Закона № 187-ФЗ[5]) соответствующим службам надо как можно скорее определиться с приоритетами.

Чтобы добраться из точки “А” в точку “Б”, необходимо знать, где вы находитесь, куда стремитесь попасть и, самое главное, какие препятствия васожидают в пути.Решению поставленных задач, надеюсь, поможет приведенный ниже дорожный атлас банковской службы информационной безопасности.

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 01.07.2018

1. Обеспечить защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России (Положение № 382-П) (п. 3 ст. 27 Закона № 161-ФЗ).

2. Проводить ежегодные тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Осуществлять анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений только с привлечением лицензиатов ФСТЭК России (абз. 3 подп. 2.5.5.1 п. 2.5 Положения № 382-П).

3. Обеспечить проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России (подп. 2.15.2 п. 2.15 Положения № 382-П).

Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение 6 месяцев после получения соответствующего статуса.

4. Информировать Банк России, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации об инцидентах (абз. 2 и 3 подп. 2.13.1 п. 2.13 Положения № 382-П).

5. Устанавливать ограничения на основании заявления клиента по параметрам операций, которые могут осуществляться клиентом с использованием системы интернет-банкинга (подп. 2.8.3 п. 2.8 Положения № 382-П).

6. Если принимается решение, что защита персональных данных (ПДн) будет обеспечиваться с помощью средств криптографической защиты информации (СКЗИ), — обеспечить соответствие применения средств защиты Приказу ФСБ России № 378[6] (абз. 1, подп. 2.9.1 п. 2.9 Положения № 382-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 01.01.2019

По состоянию на 31.12.2018 обеспечить сбор биометрии не менее чем в 20% офисов (Информационное письмо № ИН-03-13/40[7]).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 27.03.2019[8]

1. Приостанавливать исполнение распоряжения о переводе на срок не более 2 рабочих дней при выявлении операции с признаками перевода денежных средств без согласия клиента. При этом признаки перевода без согласия клиента устанавливает Банк России (п. 5.1 ст. 8 Закона № 161-ФЗ).

2. Незамедлительно возобновлять исполнение распоряжения при получении от клиента подтверждения (п. 5.3 ст. 8 Закона № 161-ФЗ) либо возобновлять исполнение распоряжения по истечении 2 рабочих дней после дня уведомления клиента банком при неполучении от клиента обратной связи (п. 9.1 ст. 9 Закона № 161-ФЗ).

3. Реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке (гл. 2 Указания № 4926-У[9]), установленном Банком России (п. 4 ст. 27 Закона № 161-ФЗ).

4. Направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, которые установлены Банком России (п. 6 ст. 27 Закона № 161-ФЗ).

5. Применять полученную от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов без согласия клиента (п. 2.1 гл. 2 Указания № 4926-У).

6. Определить в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам переводов без согласия клиента, на основе анализа характера, параметров и объема совершаемых клиентами операций (абз. 9 п. 2.2 гл. 2 Указания № 4926-У).

7. Реализовывать в отношении клиента — получателя средств, в адрес которого ранее совершались операции по переводу без согласия клиента, в случаях, предусмотренных договором банковского счета, ограничения (абз. 10 п. 2.2 гл. 2 Указания № 4926-У):

— по параметрам операций по осуществлению переводов денежных средств (электронных денежных средств) с использованием платежных карт;

— на получение наличных денежных средств в банкоматах за одну операцию и (или) за определенный период.

8. Создать систему выявления и мониторинга переводов без согласия клиента в платежной системе на основе информации о переводах без согласия клиента (п. 2.3 гл. 2 Указания № 4926-У).

Также должен быть определен порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента для участников платежной системы.

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 06.04.2019

(касается взаимодействия с платежной системой Банка России)

1. ОПКЦ[10] должен разместить объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП[11], в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты, определенный ГОСТ Р 57580.1-2017 (п. 5 Положения № 672-П).

2. Обеспечить реализацию контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП[12] с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров (п. 1.1 Приложения[13] к Положению № 672-П).

3. Обеспечить, чтобы объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП были размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП (п. 1.2 Приложения к Положению № 672-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 01.06.2019

Проводить ежегодные тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры (подп. 3.2 п. 3 Положения № 683-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 29.06.2019

1. Работать на ПК АРМ КБР-Н и АРМ КБР-СПФС (окончание срока миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС — 28.06.2019).

2. Касается взаимодействия с платежной системой Банка России: обеспечить формирование и подписание электронных сообщений участника ССНП и ОПКЦ в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ (п. 9 Положения № 672-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫЛ БЫТЬ ГОТОВ С 01.07.2019

По состоянию на 30.06.2019 обеспечить сбор биометрии не менее чем в 60% офисов (Информационное письмо № ИН-03-13/40).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.01.2020

1. По состоянию на 31.12.2019 обеспечить сбор биометрии не менее чем в 100% офисов (Информационное письмо № ИН-03-13/40).

2. Исполнять требования к прикладному ПО[14] (сертификация ФСТЭК России или анализ уязвимостей по уровню ОУД 4[15] с помощью лицензиата ФСТЭК России) (абз. 2 подп. 2.5.5.1 п. 2.5 Положения № 382-П).

3. Обеспечить разделение контуров подготовки и подтверждения платежных поручений при использовании платежей через интернет. Дополнительной, а в случае, когда разделение контуров невозможно, — и компенсирующей, мерой должны быть ограничения на параметры операций, что актуально для физлиц, которые не захотят применять два устройства: одно для проведения платежей, другое для их подтверждения (подп. 1.5 п. 1 Указания № 4793-У[16]).

4. Касается взаимодействия с платежной системой Банка России: ОПКЦ должен обеспечить защиту электронных сообщений при их передаче в Банк России с применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности (абз. 5 подп. 14.4 п. 14 Положения № 672-П).

5. Исполнять требования к прикладному ПО (сертификация ФСТЭК России или анализ уязвимостей по уровню ОУД 4 с помощью лицензиата ФСТЭК России) (подп. 4.1 п. 4 Положения № 683-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.01.2021

1. Обеспечить реализацию требований ГОСТ Р 57580.1-2017 (подп. 3.1 п. 3 Положения № 683-П):

— системно значимые кредитные организации — усиленный уровень (уровень 1) защиты информации по ГОСТ Р 57580.1-2017;

— остальные кредитные организации — стандартный уровень (уровень 2) защиты информации по ГОСТ Р 57580.1-2017.

2. Проводить оценку соответствия уровню защиты информации, установленному в подп. 3.1 п. 3 Положения № 683-П, не реже одного раза в два года.

Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подп. «б», «д» или «е» п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства РФ от 03.02.2012 № 79 (п. 9 Положения № 683-П).

3. Обеспечить соответствие не ниже уровня 3[17] согласно ГОСТ Р 57580.2-2017 (подп. 9.2 п. 9 Положения № 683-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.07.2021

1. Касается взаимодействия с платежной системой Банка России: участники ССНП и СБП размещают объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей (п. 3 и 4 Положения № 672-П).

2. Применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

3. Касается взаимодействия с платежной системой Банка России: разработать документы, определяющие состав и порядок применения организационных мер защиты информации, а также технических средств защиты информации в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 (п. 6 Положения № 672-П).

4. Касается взаимодействия с платежной системой Банка России: проводить оценку соответствия по Методике национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 (абз. 3 и 4 п. 20 Положения № 672-П).

Оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.

5. Касается взаимодействия с платежной системой Банка России: участники СБП и ОПКЦ должны обеспечить применение средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям (абз. 6 подп. 14.3 п. 14 Положения № 672-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.01.2023

1. Касается взаимодействия с платежной системой Банка России: участники ССНП, участники СБП и ОПКЦ должны обеспечить для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 (абз. 5 п. 20 Положения № 672-П).

2. Обеспечить соответствие не ниже уровня 4[18] согласно ГОСТ Р 57580.2-2017 (подп. 9.2 п. 9 Положения № 683-П).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.01.2024

Оператору значимой платежной системы[19] необходимо обеспечить использование в аппаратных модулях безопасности СКЗИ, реализующих иностранные криптоалгоритмы, имеющих подтверждение ФСБ России (абз. 3 подп. 1.9 п. 1 Указания № 4793-У).

 

К ЧЕМУ БАНК ДОЛЖЕН БЫТЬ ГОТОВ С 01.01.2031

Оператору значимой платежной системы необходимо обеспечить использование в аппаратных модулях безопасности СКЗИ, реализующих отечественные криптоалгоритмы, имеющих подтверждение ФСБ России (абз. 4 подп. 1.9 п. 1 Указания № 4793-У).

 

Примечания

1. Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе».

2. Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

3. Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платежной системе Банка России».

4. Положение Банка России от 17.05.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиентов».

5. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

6. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

7. Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40 «Об особенностях применения мер к банкам при совершении ими действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

8. Банк России до 26.03.2019 (включительно) отложил меры воздействия на банки за невыполнение положений новой редакции Закона № 161-ФЗ (Информационное письмо Банка России от 09.10.2018 № ВН-03-56-3-2/3398).

9. Указание Банка России от 08.10.2018 № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента».

10. ОПКЦ — операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.

11. СБП — система быстрых платежей.

12. ССНП — сервис срочного перевода и сервис несрочного перевода.

13. Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ.

14. Под термином «прикладное ПО», очевидно, подразумевается ПО, которое непосредственно участвует в переводе денежных средств, например: АБС, клиент–банк, мобильный банк, процессинг, ДБО, интернет-банк и др.

15. ОУД 4 предусматривает методическое проектирование, тестирование и просмотр. ОУД 4 применим, когда разработчикам или пользователям требуется независимо получаемый уровень доверия от умеренного до высокого в ОО (объекте оценки) общего назначения и имеется готовность нести дополнительные связанные с безопасностью производственные затраты. Это самый высокий уровень, на который обычно экономически целесообразно ориентироваться для существующих типов продуктов. Анализ поддерживается независимым тестированием ФБО (функции безопасности объекта), свидетельством разработчика об испытаниях, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения.

16. Указание Банка России от 07.05.2018 № 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П».

17. Третий уровень соответствия: организационные и технические меры процесса системы защиты информации (ЗИ) реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и (или) эпизодически.

18. Четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование организационных и технических мер процесса системы ЗИ.

19. К значимым платежным системам можно отнести, например, Visa, MasterCard, НСПК и др.

Валерий Естехин -- Эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

BIS Journal №4(35)/2019

25 декабря, 2019

Смотрите также