Ни для кого не секрет, что финансовые организации традиционно являются привлекательной мишенью для злоумышленников, в том числе и в киберпространстве. Зачастую между информацией, обрабатываемой в финансовой организации, и деньгами можно смело поставить знак равенства. Именно поэтому вопросу обеспечения информационной безопасности в финансовых организациях традиционно уделяется много внимания со стороны государства.
Основным регулятором, регламентирующим вопросы обеспечения информационной безопасности в банковской сфере, является Центральный банк Российской Федерации (ЦБ РФ).
Наиболее значимые нормативные документы:
В 2019 году полномочия ЦБ РФ как регулятора в области информационной безопасности были значительно расширены. Под надзор попали не только банки, но и иные финансовые организации. Был выпущен ряд новых нормативных документов, регламентирующих вопросы обеспечения информационной безопасности и защиты информации.
В данной статье предлагается подробнее рассмотреть и структурировать ключевые требования и особенности каждого документа, а также обозначить возможные проблемы, на которые стоит обратить внимание при реализации данных требований, в том числе исходя из опыта компании Angara Technologies Group, полученного в ходе выполнения проектов по оценке и обеспечению соответствия требованиям новых положений ЦБ РФ.
Положения ЦБ РФ 683-П и 684-П
Положение ЦБ РФ от 9 января 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – «Положение 683-П») и Положение ЦБ РФ от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – «Положение 684-П») регламентируют требования к обеспечению защиты информации в финансовых организациях с целью предотвращения несанкционированных переводов денежных средств.
При этом, как следует из названия, Положение 683-П распространяется на кредитные финансовые организации (банки), а Положение 684-П – на иные некредитные финансовые организации, также данное положение устанавливает усиленные требования для организаций, перечень которых определяется частью 1 статьи 76.1 Федерального закона N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Среди таких организаций страховые компании, НПФ, депозитарии и т.д.
Несмотря на то, что указанные Положения являются разными документами, описывающими требования для разных категорий финансовых организаций, их идеология во многом схожа, поэтому в рамках настоящей статьи предлагается рассматривать их вместе.
Область действия обоих документов распространяется на объекты информационной инфраструктуры, представляющие собой информационные (автоматизированные) системы, участвующие в реализации банковских процессов, связанных с переводом денежных средств.
Первый вопрос, который возникает при изучении Положения 683-П – область действия Положения 683-П схожа с уже существующим Положением 382-П, которое также предъявляет требования к защите информации в рамках перевода денежных средств. В чем различия между этими двумя нормативными актами?
Положение 683-П дополняет и усиливает меры защиты, установленные Положением 382-П, в связи с чем они должны применяться одновременно и распространяться на одну и ту же область действия, т.е. на объекты информационной инфраструктуры, задействованные в процессе переводов денежных средств. Среди экспертов в области информационной безопасности существует иное мнение, связанное с тем, что требования Положения 683-П распространяются на все финансовые и банковские операции (не только на переводы денежных средств) и, соответственно, на все банковские системы, автоматизирующие данные операции. Вопрос остается открытым до появления официальных разъяснений Банка России.
Примечание: согласно информации, озвученной Банком России на профильных конференциях, в настоящее время готовятся изменения в Положение 382-П. Предположительно, новая редакция положения перестанет распространяться на кредитные организации, избавив банки от сложившейся правовой неопределенности. Также в Положение 382-П планируется внести требования для новых субъектов национальной платежной системы, таких как платежные агрегаторы, разработчики платежных приложений, операторы информационного обмена (в соответствии с правками, внесенными в последнюю на момент написания статьи редакцию Федерального закона № 161-ФЗ «О национальной платежной системе»).
Среди требований Положений, которые могут вызвать вопросы при их реализации, можно выделить следующие:
Несмотря на то, что интуитивно требование вполне понятно, обязанность регламентации технологии обработки информации в контексте ее деления на технологические участки является новой и требует определенных трудозатрат, что также необходимо учитывать, планируя реализацию данного требования.
Реализация требований Положений 683-П и 684-П с учетом вышеперечисленных моментов позволит финансовой организации быть как гораздо более защищенной, так и более подготовленной к возможным проверкам ЦБ РФ.
Положение ЦБ РФ 672-П
Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» (далее – «Положение 672-П») регламентирует обеспечение информационной безопасности при переводах денежных средств в рамках платежной системы Банка России.
Положение 672-П введено взамен утратившему силу Положению Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России». Область действия Положения распространяется на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемое кредитными организациями (в том числе филиалами кредитных организаций) в процессе перевода денежных средств в платежной системе ЦБ РФ.
Необходимость разработки нового Положения тесно связана с изменениями, внесеннымив Положение Банка России № 595-П «О платежной системе Банка России», которое, в свою очередь, описывает основные принципы функционирования платежной системы ЦБ РФ. Теперь перевод денежных средств участников платежной системы Банка России может осуществляться с использованием сервиса срочного перевода, сервиса несрочного перевода и сервиса быстрых платежей.
Сервисы срочного перевода и несрочного перевода являются основными сервисами, которые обязаны использовать все кредитные организации. Сервис (система) быстрых платежей (СБП) – это перспективная технология межбанковских переводов с использованием номера мобильного телефона. На момент написания статьи подключение кредитных организаций к СБП является добровольным.
Было введено понятие операционного и платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (ОПКЦ). В соответствии с официальной информацией, размещенной на сайте СБП, таким центром является Национальная система платежных карт (НСПК). Также на сайте СБП доступен для ознакомления список кредитных организаций, подключившихся к СБП.
Все эти изменения нашли свое отражение в Положении 672-П. Еще одним немаловажным изменением является требование обеспечить подписание электронного сообщения (платежного документа), формируемого в автоматизированной системе (например, АБС), средствами электронной подписи также в АБС. Ранее подписание осуществлялось с использованием ПО АРМ КБР. С выходом нового Положения данное ПО, предназначенное для передачи электронных (платежных) сообщений в Банк России, получило новую модификацию – АРМ КБР-Н.
На практике данное требование реализуется, как правило, добавлением специального функционала (модуля) в АБС. Например, в АБС Diasoft таким модулем является модуль ЗЭС – «Защита электронных сообщений».
Положение 672-П, как и рассмотренные ранее нормативные документы ЦБ РФ, требует обеспечить соответствие кредитных организаций требованиям ГОСТ 57580.1, начиная с 2021 года, в частности обеспечить соответствие стандартному (второму) уровню защиты (за исключением ОПКЦ, который должен обеспечить соответствие усиленному (первому) уровню защиты с момента ввода Положения 672-П в действие).
Среди основных проблем, с которыми кредитная организация может столкнуться при реализации требований данного нормативного документа, важно отметить следующие:
В заключение – несколько слов о Положении 552-П. Несмотря на то, что, как уже говорилось ранее, данное Положение утратило силу, описанные в нем требования по защите информации были перенесены в договор между кредитной организацией и Банком России (форма договора установлена информационным письмом ЦБ РФ от 5 апреля 2018 г. № 04-45/2470 «О договоре об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России». При этом, согласно п. 5.2 договора, данные требования применяются не ко всем кредитным организациям, а к тем, которые являются участниками Системы передачи финансовых сообщений (СПФС) Банка России – им нужно учитывать в своей работе как требования Положения 672-П, так и требования Положения 552-П.
ГОСТ 57580.1
В 2018 году вступил в действие государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – «ГОСТ»). Цель разработки нового стандарта заключалась в необходимости унификации требований к обеспечению защиты информации в финансовых организациях в связи с изменением подхода к нормативному регулированию со стороны Банка России.
В стандарте меры по защите информации разделяются в соответствии с тремя уровнями защиты (третий – «базовый», второй – «стандартный», первый – «усиленный»). Также введено понятие контура безопасности – совокупности объектов информатизации, определяемой областью применения стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Необходимость обеспечения того или иного уровня защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
Так, согласно рассмотренным ранее Положениям ЦБ РФ, банки, в рамках переводов денежных средств, обязаны реализовать требования, соответствующие второму (стандартному) уровню (за исключением системно значимых, которые должны реализовать требования для первого (усиленного) уровня).
Еще одно нововведение данного стандарта заключается в том, что он является обязательным к исполнению, даже несмотря на то, что, согласно законодательству РФ о техническом регулировании, стандарты представляют собой рекомендательные документы. Это в корне отличает данный стандарт от СТО БР ИББС, обязанность исполнения которого могла быть установлена только путем ввода в действие приказа руководства кредитной организации о присоединении к стандарту. Обязательность же исполнения ГОСТ конкретными типами финансовых организаций устанавливается нормативными актами ЦБ РФ, рассмотренными ранее.
С какими сложностями можно столкнуться при реализации требований стандарта?
При всех описанных недостатках новый ГОСТ является значительным шагом вперед в нормативном регулировании ЦБ РФ. Порядок реализации защитных мер приобрел схожесть с порядком, установленным в приказах ФСТЭК России, меры можно исключать, дополнять и адаптировать исходя из структурно-функциональных особенностей защищаемых объектов, наличия или отсутствия конкретных применяемых технологий, а также от наличия актуальных угроз безопасности информации.
В целом, по своей идеологии и детализации требований ГОСТ схож с ранее упомянутым стандартом PCI DSS, а также стандартами общества SWIFT. Стандарт направлен на повышение реальной защищенности финансовых организаций путем применения технических мер, в том числе путем использования продвинутых технических средств защиты информации, таких как системы SIEM, DLP, MDM и другие. ГОСТ также допускает использование компенсирующих защитных мер, однако применять их стоит с осторожностью, так как важно помнить, что с 2021 года Банк России начнет проводить проверочные мероприятия по реализации требований данного стандарта. Соответственно, при использовании компенсирующих мер финансовой организации следует в том числе подготовить достаточные документальные обоснования их применения и быть готовой продемонстрировать их проверяющим.
В настоящей статье были рассмотрены новые нормативные документы Банка России, в том числе их основные требования и положения, которые могут вызывать вопросы при их реализации у финансовых организаций.
По результатам анализа новых документов можно сделать однозначный вывод, что новые положения отражают тенденцию Банка России к усилению нормативного регулирования информационной безопасности, а также смещают фокус с выполнения формальных требований на обеспечение реальной защищенности подведомственных организаций.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных