Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Рассмотрев в предыдущей публикации положения 382-П, следует проанализировать и другие Положения ЦБ (переходя от более старым к более новым), а также поговорить про Постановление Правительства №584. Начнем с последнего.
Постановление Правительства №584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:
· назначение ответственного за ЗИ работника или подразделения;
· включение требований по ЗИ в должностные инструкции работников платежной системы;
· определение угроз безопасности (т.е. моделирование угроз) и анализ уязвимостей;
· анализ и управление рисками нарушения требований к ЗИ;
· применение СЗИ;
· выявление и реагирование на инциденты ИБ;
· обеспечение ЗИ при использовании сети Интернет;
· определение порядка доступа к компонентам платежной системы;
· организация и проведение контроля и оценки выполнения требований к ЗИ не реже 1 раза в 2 года.
Работы по ЗИ и оценка соблюдения требований к ЗИ могут осуществляться операторами и агентами платежных систем самостоятельно или с привлечением лицензиатов ФСТЭК России. Отдельно указано, что требования к ЗИ должны быть реализованы на всех этапах создания и эксплуатации собственных информационных систем, а в случае приобретения таких систем - на этапах ввода в эксплуатацию и непосредственно при эксплуатации.
В целом, рассмотренное Постановление Правительства носит декларативный характер по сравнению с документами ЦБ РФ, которые содержат детальные требования по ЗИ и рекомендации по их исполнению.
Положение Банка России №379-П от 31.05.2012 «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» было принято практически одновременно с 382-П, однако утратило силу в связи с принятием Положения Банка России №607-П от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». В 607-П речь идет об управлении рисками и непрерывностью предоставления услуг в платежной системе. В данном документе, в частности, говорится о необходимости проводить оценку рисков не реже 1 раза в год, а пересматривать систему риск-менеджмента - не реже 1 раза в 2 года. Приводится перечень количественных показателей доступности услуг платежной инфраструктуры, бесперебойности функционирования платежной системы и частоты инцидентов (т.е. событий, приведших к нарушению предоставления платежных сервисов, возникших в том числе вследствие нарушений ЗИ), а также методы расчета этих показателей. Рассчитанные показатели затем используются при оценке системы управления рисками в платежной системе, при этом для оценки рисков следует применять стандарт ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска». Период хранения сведений об инцидентах равен 3 годам, а форма отчетности оператора платежной системы определена в Указании ЦБ РФ №3280-У от 11.06.2014 «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры». Кроме этого, в 607-П подчеркивается важность разработки, тестирования и актуализации планов обеспечения непрерывности деятельности и восстановления работоспособности.
По сути аналогичный Положению №607-П документ принят и для самого Банка России - речь идет о Положении Банка России №680-П от 27.03.2019 «О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи». В данном документе указаны конкретные количественные и временные показатели бесперебойности функционирования платежной системы Банка России, а также указано, что Центробанк будет обязан выполнять нормы стандарта ГОСТ Р 57580.2-2018 (мы говорили о нем ранее) не ниже 4-го уровня соответствия к 01.01.2021. В целом, 680-П является очень глубоким риск-ориентированным документом, который можно взять за образец при проработке норм указанного ранее Положения №607-П.
Положение ЦБ РФ №380-П от 31.05.2012 «О порядке осуществления наблюдения в национальной платежной системе» устанавливает правила наблюдения Банком России за деятельностью субъектов НПС. Мониторинг осуществляется путем направления Центробанком запросов субъектам НПС об оказываемых ими платежных услугах и тарифах, характеристиках ИТ-инфраструктуры, показателях бесперебойности оказания платежных услуг, уровне обеспечения ЗИ (в т.ч. о выявленных инцидентах ИБ), введении новых услуг и о жалобах клиентов. На основании полученных данных ЦБ РФ затем осуществляет анализ в целях формирования показателей функционирования субъектов НПС и корректировки нормативных документов, а также для повышения осведомленности самих субъектов НПС и вынесения им рекомендаций. Отдельная глава посвящена оценке и корректировке деятельности значимых платежных систем (платежная система признается значимой на основании положений ст.22 161-ФЗ), в т.ч. в разрезе совершенствования обеспечения ЗИ при осуществлении переводов д/с. На основе результатов мониторинга Банк России формирует обобщенный обзор результатов наблюдения в НПС, включая значимые платежные системы, который подлежит опубликованию.
Положение ЦБ РФ №381-П от 09.06.2012 «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России» было заменено Положением ЦБ РФ №640-П от 16.04.2018 «О порядке осуществления Банком России надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального закона от 27 июня 2011 года №161-ФЗ «О национальной платежной системе» и принимаемых в соответствии с ним нормативных актов Банка России». Положение №640-П формулирует права Банка России при осуществлении надзора за соблюдением требований 161-ФЗ, такие как анализ документов и информации и проведение инспекционных проверок (в соответствии с Инструкцией ЦБ РФ №184-И), а также устанавливает способы воздействия на операторов для устранения выявленных недостатков. При этом Центробанк вправе осуществлять проверку соблюдения операторами требований к обеспечению ЗИ при осуществлении переводов д/с.
Перейдем к более новым документам, разработанным ЦБ РФ. Положение № 683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» предъявляет требования по защите электронных сообщений банков и их клиентов, клиентской аутентификационной информации, информации об осуществленных банковских операциях, а также ключевой информации применяемых СКЗИ. Положение ЦБ РФ №683-П требует реализации разных уровней защиты информации для кредитных организаций в зависимости от их значимости: системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем и кредитные организации, значимые на рынке платежных услуг, должны выполнять меры по защите информации в соответствии с усиленным (1-ым) уровнем защиты, определенным в стандарте ГОСТ Р 57580.1-2017 (мы уже писали о нем), а иные - в соответствии со стандартным (2-ым) уровнем защиты. При этом, кредитные организации обязаны выполнять нормы 3-его уровня соответствия с 01.01.2021 и нормы 4-го уровня - с 01.01.2023. Далее, по 683-П кредитные организации обязаны проводить ежегодные пентесты и анализ уязвимостей инфраструктуры. Кроме того, банки обязаны использовать применяемое для осуществления банковских операций ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 382-П, о которых мы писали ранее). При этом в части ПО, не применяемого для банковских операций, банки могут самостоятельно принимать решение о необходимости сертификации, анализа уязвимостей и контроля отсутствия НДВ. Отдельно указано, что для проведения анализа уязвимостей кредитные организации должны привлекать лицензиатов ФСТЭК России.
