Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 16. Обзор российского законодательства в области информационной безопасности финансовых организаций - окончание



В предыдущей статье мы начали рассматривать Положение ЦБ РФ №683-П. В этой части мы продолжим анализ данного документа и других актуальных норм ЦБ РФ.

  • В Положении № 683-П пункт 5 посвящен перечислению требований к ЗИ при осуществлении переводов д/с, таких как: использование электронной подписи сообщений;
  • регламентация, реализация и контроль процедур:
    • идентификации, аутентификации и авторизации клиентов;
    • формирования, передачи и приема электронных сообщений;
    • удостоверения права клиентов распоряжаться д/с (в этом случае дополнительно обеспечивается использование электронных подписей и получение подтверждения от клиента о совершенной операции);
    • осуществления банковских операций, учет результатов их осуществления (в этом случае дополнительно обеспечиваются проверка соответствия выходных сообщений входным, проверка соответствия результатов банковской операции данным из электронного сообщения и направление уведомлений клиентам о проведенных операциях);
    • хранения электронных сообщений и информации об осуществленных банковских операциях;
  • обеспечение целостности и достоверности защищаемой информации, включая проверку корректности формирования и заполнения электронного сообщения, контроль дублирования и структурный контроль электронного сообщения, а также непосредственно защиту информации при передаче;
  • регистрация действий работников и клиентов, включая данные о дате и времени совершения операции, уникальный идентификатор субъекта, код технологического участка, результат выполнения операции, сетевой идентификатор использовавшегося устройства.

Указано, что кредитным организациям следует не менее 5 лет хранить информацию, относящуюся к переводам д/с, фактам действий работников и сотрудников, а также инцидентам ЗИ, а при использовании СКЗИ следует руководствоваться соответствующей нормативной базой в области криптографической защиты информации.

Немаловажным пунктом в рассматриваемом документе является его «клиентоориентированность»: кредитные организации обязаны информировать клиентов о возможных рисках использования технических средств при осуществлении платежей и о мерах по минимизации данных рисков.

Отдельным пунктом указаны требования по реагированию на инциденты ЗИ. Так, указано, что кредитные организации должны относить к инцидентам ЗИ все события несанкционированных операций с д/с и неоказания банковских услуг, а также руководствоваться перечнем типов инцидентов, сформированным ЦБ РФ (мы говорили о нем ранее). Инциденты ЗИ следует обрабатывать совместно со службой управления рисками и регистрировать факты, касающиеся инцидента ЗИ (защищаемую информацию, к которой был осуществлен НСД, а также результаты реагирования на инцидент). Кроме этого, организации должны хранить информацию, касающуюся инцидентов ЗИ, не менее 5 лет, а также уведомлять ЦБ РФ о выявленных инцидентах ЗИ и о планах по публикации информации, касающейся инцидентов ЗИ.

С 1 января 2021 года кредитные должны обеспечить проведение оценки соответствия уровню защиты информации (в соответствии с ГОСТ Р 57580.2-2018, о котором мы уже писали) не реже одного раза в два года, при этом следует привлекать стороннюю организацию-лицензиата ФСТЭК России, а выданный по результатам оценки отчет требуется хранить не менее 5 лет.

Перейдем к обзору еще одного документа, выпущенного Центробанком России одновременно с рассмотренным выше документом: Положение № 684-П от 17.04.2019 «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» применяется уже к другому типу финансовых компаний, нежели 683-П, но содержит перекликающиеся нормы. Так, с 1 января 2021 года некредитные финансовые организации обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1-2017 (мы писали о нем ранее), при этом усиленный уровень ЗИ должны соблюдать центральные контрагенты и центральный депозитарий, а стандартный уровень - специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли, репозитарии, а также крупные страховые организации, брокеры, дилеры, депозитарии, регистраторы и управляющие; все перечисленные организации также обязаны проводить пентесты и анализ уязвимостей. Прочие некредитные финансовые организации ежегодно осуществляют выбор применимого к ним уровня ЗИ самостоятельно - напомним, что ГОСТ Р 57580.1-2017 устанавливает три уровня ЗИ: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).

Начиная с 1 января 2021 года оценка определенного некредитными организациями уровня ЗИ осуществляется в соответствии с ГОСТ Р 57580.2-2018 с привлечением сторонних организаций-лицензиатов ФСТЭК России, при этом такая оценка проводится не реже 1 раза в год организациями, выполняющими требования усиленного уровня ЗИ, и не реже 1 раза в 3 года - организациями, выполняющими требования стандартного уровня ЗИ, при этом некредитные финансовые организации обязаны выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023. Отчет о проведенной проверке подлежит хранению в течение как минимум 5 лет.

Уже с 1 января 2020 года некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление - они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.

В части описания требований к ЗИ при осуществлении финансовых операций, реагирования на инциденты ЗИ и требований по работе с СКЗИ нормы 684-П полностью повторяют требования 683-П, описанные выше.

Еще одним нормативным актом, касающимся вопросов информационной безопасности в банковской сфере, является Положение № 607-П Банка России от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». Данный документ регламентирует процессы управления и оценки рисков, а также вводит количественные показатели непрерывности функционирования платежной системы в зависимости от уровня её значимости. Описан порядок обработки инцидентов услуг платежной инфраструктуры, включая объем сохраняемых сведений, касающихся таких инцидентов, и срок их хранения (3 года). Количественные значения показателей непрерывности предоставления услуг платежной системы рассчитываются по формулам, приведенным в Приложении к данному документу, и, в зависимости от полученных количественных значений, система управления рисками в платежной системе может быть пересмотрена. В зависимости от нарушенных пороговые значения показателей непрерывности инцидент услуг платежной инфраструктуры может быть признан влияющим или непосредственно не влияющим на бесперебойность функционирования платежной системы. В документе также дана ссылка на применение Указания №3280-У, которое регламентирует оповещение ЦБ РФ и других участников платежной системы о приостановлении оказания услуг оператором платежной системы.

Как мы видим, регуляторная база для финансовых организаций отличается своим объемом и непрерывной актуализацией. Отвечая текущим вызовам информационной безопасности финансового сектора и регуляторным нормам, компания «Интеллектуальная безопасность» предлагает продукт Security Vision Cyber Risk System, предназначенный для финансовых организаций. Данный продукт помогает в расчете и анализе киберрисков, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками, а также в реагировании на инциденты ЗИ из модуля Security Vision Incident Response Platform, построении ситуационных центров мониторинга информационной безопасности в финансовых учреждениях. Кроме того, Security Vision Cyber Risk System обеспечивает взаимодействие с FinCERT, включая автоматизированный прием электронных сообщений от АСОИ ФинЦЕРТ, и мониторинг ИБ при работе с Единой биометрической системой.

Список требований Положения № 382-П Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения № 382-П

Использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации: п. 2.5.5.1 (вступает в силу с 01.01.2020)

Решение Security Vision сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей

Повышение осведомленности в области обеспечения защиты информации: п. 2.12

Повышение осведомленности (Awareness) в области ИБ

Выявление и реагирование на инциденты: п. 2.13

Комплектация Security Vision Incident Response Platform [IRP]: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования

Выявление рисков в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов

Выявление уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2

Комплектация Security Vision Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей

Выявление событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств: п. 2.18.6

Ядро корреляции

 

 

Список требований Положения «О требованиях к СУОР»

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения «О требованиях к СУОР»

Использование программного комплекса, обеспечивающего функционирование системы управления операционным риском и отдельных её элементов: п. 1.6

Автоматизация ведения базы событий и процедур управления операционным риском: п. 4.3

Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация

Выявление и сбор событий операционного риска, включая автоматизированное выявление информации из информационных систем, а также регистрация событий операционного риска в базе событий: п. 3.3

Ядро корреляции

Комплектация Incident Response Platform [IRP]: База знаний

Применение средств автоматизации для проведения процедуры качественной оценки операционных рисков: п. 3.5

Кластер аналитики BigData