Проверки ЦБ — вопрос не новый, он знаком всем специалистам ИБ банка, так как, наверное, каждый из них хоть раз в жизни такую проверку проходил. Описывать порядок проведения проверки не стоит. Процесс понятный и страшный одновременно, вызывающий стресс и ведущий к дурным воспоминаниям. Вечером — ожидаемый, но всегда внезапный — запрос от проверяющих, и ты, «вырывая на себе волосы», «в холодном поту», пытаешься закрыть все пункты в этом запросе. Что-то уже есть, а чего-то нет, и это что-то придётся сделать до утра.
ЭТО НЕ НАШ МЕТОД!
И многие, заранее предвкушая такое «счастье», пытаются уволиться во время проверки, сразу после осознания реальных масштабов постигшего их бедствия. А дальше — хоть «трава не расти». «Пусть банк сам решает свои проблемы. Я просил руководство. Мне не дали. Ну вот и всё. Пока!» — такой монолог в момент стресса возникает в голове практически каждого ИБэшника.
НО. Товарищи, это не наш метод! Зачем портить себе карьеру на пустом месте? Ведь в банке работают люди, которые не виноваты, что руководитель службы ИБ не смог донести до руководства размеры бедствия и объёмы предстоящих штрафов. Поэтому будем спасать себя и выручать хороших людей!
ЧТО ДЕЛАТЬ?
Первое, что необходимо сделать, когда узнал о проведении проверки ЦБ:
ЧЕГО ОНИ ХОТЯТ?
И главное, надо понимать, что проверяющие из ЦБ хотят написать красивый отчёт со стандартными нарушениями, без колоссальных усилий и копаний в инфраструктуре банка, а не наказать вас по всей строгости закона за невыполнения всех нормативных документов.
НА ЧТО ОБРАТИТЬ ВНИМАНИЕ
Кредитно-финансовая сфера — самая зарегулированная в области информационной безопасности. Основные действующие положения по защите информации для банков на сегодняшний день — 683-П, 719-П, 802-П. Положения новые, недостаточно проработанные и изученные со стороны специалистов ИБ банков.
Как же провести самооценку выполнения требования положений, на что необходимо обратить внимание, чтобы соответствовать многочисленным требованиям ЦБ.
Рассмотрим требования по Положениям.
ПОЛОЖЕНИЕ № 683-П
Положение от 17 апреля 2019 г. № 683-П«Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
В данном положении устанавливаются требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств:
Требуется обратить пристальное внимание на выполнение пункта 5.2 683-П, а именно: регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной выше, при совершении следующих действий:
Кредитно-финансовые организации должны определить объекты информационной безопасности, которые задействованы на каждом технологическом участке. Обеспечить фиксацию указанных действий (событий) и хранение. А также обеспечить способ оперативного предоставления указанных данных в случае требования регулятора, обеспечив наличие следующих обязательных полей:
ПОЛОЖЕНИЕ № 719-П
Положение от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Особое внимание необходимо обратить при прочтении пункта 2.8 на конструкцию «и (или)»:
При осуществлении переводов денежных средств с использованием сети Интернет и размещении программного обеспечения, используемого клиентами операторов по переводу денежных средств при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых операторами по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, операторы по переводу денежных средств должны обеспечить реализацию технологических мери (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договорами операторов по переводу денежных средств с клиентами.
Кредитно-финансовая организация в своих бизнес-процессах, в которых осуществляются переводы денежных средств, должна реализовать и регламентировать реализацию технологических мер. Или вместо этого установить и прописать во внутренних документах лимиты по параметрам операций.
ПОЛОЖЕНИЕ № 787-П
Положение от 12 января 2022 г. № 787-П «Об обязательных для кредитных организаций требованиях к операционной надёжности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».
Рассмотрим пункт 6.1 «Кредитные организации должны обеспечивать организацию учёта и контроля состава следующих элементов»:
Кредитно-финансовая организация должна организовать учёт, производить актуализацию и назначать ответственных сотрудников (пример: служба ИБ, служба автоматизации или оба эти подразделения).
ПОЛОЖЕНИЕ № 802-П
Положение от 25 июля 2022 г. № 802-П «О требованиях к защите информации в платёжной системе Банка России».
В данном положении следует быть внимательным к пункту 1.2 Приложения:
«Участник ССНП должен разместить объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП».
Именно предоставление фактов согласования со службой информационной безопасности и утверждения требуется Регулятором. По этой причине следует заранее продумать, как правильно оформить и утвердить:
При выполнении требований к защите информации в платёжной системе Банка России следует помнить о необходимости выполнения требований эксплуатационной (технической документации) СКЗИ, программного обеспечения и иных требований.
Так, для СКЗИ СИГНАТУРА формуляр ВАМБ.00107-06 93 01 рекомендуется выполнение 25 пунктов настроек, которые легко забыть реализовать в полном объёме и так же легко проверить регулятору.
Выше представлены только основные требования, которые были выставлены кредитно-финансовым организациям при проведении проверок ЦБ. Будем держать руку на пульсе и собирать в дальнейшем требования при проверке, освещать их на конференциях и в статьях.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных