| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В предыдущей
статье мы начали рассматривать Положение ЦБ РФ №683-П. В этой части мы продолжим анализ данного документа и других актуальных норм ЦБ РФ.
В Положении № 683-П пункт 5 посвящен перечислению требований к ЗИ при осуществлении переводов д/с, таких как:
-
использование электронной подписи сообщений;
-
регламентация, реализация и контроль процедур:
-
идентификации, аутентификации и авторизации клиентов;
-
формирования, передачи и приема электронных сообщений;
-
удостоверения права клиентов распоряжаться д/с (в этом случае дополнительно обеспечивается использование электронных подписей и получение подтверждения от клиента о совершенной операции);
-
осуществления банковских операций, учет результатов их осуществления (в этом случае дополнительно обеспечиваются проверка соответствия выходных сообщений входным, проверка соответствия результатов банковской операции данным из электронного сообщения и направление уведомлений клиентам о проведенных операциях);
-
хранения электронных сообщений и информации об осуществленных банковских операциях;
-
обеспечение целостности и достоверности защищаемой информации, включая проверку корректности формирования и заполнения электронного сообщения, контроль дублирования и структурный контроль электронного сообщения, а также непосредственно защиту информации при передаче;
-
регистрация действий работников и клиентов, включая данные о дате и времени совершения операции, уникальный идентификатор субъекта, код технологического участка, результат выполнения операции, сетевой идентификатор использовавшегося устройства.
Указано, что кредитным организациям следует не менее 5 лет хранить информацию, относящуюся к переводам д/с, фактам действий работников и сотрудников, а также инцидентам ЗИ, а при использовании СКЗИ следует руководствоваться соответствующей нормативной базой в области криптографической защиты информации.
Немаловажным пунктом в рассматриваемом документе является его «клиентоориентированность»: кредитные организации обязаны информировать клиентов о возможных рисках использования технических средств при осуществлении платежей и о мерах по минимизации данных рисков.
Отдельным пунктом указаны требования по реагированию на инциденты ЗИ. Так, указано, что кредитные организации должны относить к инцидентам ЗИ все события несанкционированных операций с д/с и неоказания банковских услуг, а также руководствоваться перечнем типов инцидентов, сформированным ЦБ РФ (мы говорили о нем ранее). Инциденты ЗИ следует обрабатывать совместно со службой управления рисками и регистрировать факты, касающиеся инцидента ЗИ (защищаемую информацию, к которой был осуществлен НСД, а также результаты реагирования на инцидент). Кроме этого, организации должны хранить информацию, касающуюся инцидентов ЗИ, не менее 5 лет, а также уведомлять ЦБ РФ о выявленных инцидентах ЗИ и о планах по публикации информации, касающейся инцидентов ЗИ.
С 1 января 2021 года кредитные должны обеспечить проведение оценки соответствия уровню защиты информации (в соответствии с ГОСТ Р 57580.2-2018, о котором мы уже писали) не реже одного раза в два года, при этом следует привлекать стороннюю организацию-лицензиата ФСТЭК России, а выданный по результатам оценки отчет требуется хранить не менее 5 лет.
Перейдем к обзору еще одного документа, выпущенного Центробанком России одновременно с рассмотренным выше документом: Положению № 684-П от 17.04.2019 «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» применяется уже к другому типу финансовых компаний, нежели 683-П, но содержит перекликающиеся нормы. Так, с 1 января 2021 года некредитные финансовые организации обязаны обеспечивать защиту информации в соответствии с ГОСТ Р 57580.1-2017 (мы писали о нем ранее), при этом усиленный уровень ЗИ должны соблюдать центральные контрагенты и центральный депозитарий, а стандартный уровень - специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли, репозитарии, а также крупные страховые организации, брокеры, дилеры, депозитарии, регистраторы и управляющие; все перечисленные организации также обязаны проводить пентесты и анализ уязвимостей. Прочие некредитные финансовые организации ежегодно осуществляют выбор применимого к ним уровня ЗИ самостоятельно - напомним, что ГОСТ Р 57580.1-2017 устанавливает три уровня ЗИ: минимальный (3-ий), стандартный (2-ой) и усиленный (1-ый).
Начиная с 1 января 2021 года оценка определенного некредитными организациями уровня ЗИ осуществляется в соответствии с ГОСТ Р 57580.2-2018 с привлечением сторонних организаций-лицензиатов ФСТЭК России, при этом такая оценка проводится не реже 1 раза в год организациями, выполняющими требования усиленного уровня ЗИ, и не реже 1 раза в 3 года - организациями, выполняющими требования стандартного уровня ЗИ, при этом некредитные финансовые организации обязаны выполнять нормы 3-его уровня соответствия к 01.01.2022 и нормы 4-го уровня - к 01.01.2023. Отчет о проведенной проверке подлежит хранению в течение как минимум 5 лет.
Уже с 1 января 2020 года некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление - они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.
В части описания требований к ЗИ при осуществлении финансовых операций, реагирования на инциденты ЗИ и требований по работе с СКЗИ нормы 684-П полностью повторяют требования 683-П, описанные выше.
Еще одним нормативным актом, касающимся вопросов информационной безопасности в банковской сфере, является Положение № 607-П Банка России от 03.10.2017 «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков». Данный документ регламентирует процессы управления и оценки рисков, а также вводит количественные показатели непрерывности функционирования платежной системы в зависимости от уровня её значимости. Описан порядок обработки инцидентов услуг платежной инфраструктуры, включая объем сохраняемых сведений, касающихся таких инцидентов, и срок их хранения (3 года). Количественные значения показателей непрерывности предоставления услуг платежной системы рассчитываются по формулам, приведенным в Приложении к данному документу, и, в зависимости от полученных количественных значений, система управления рисками в платежной системе может быть пересмотрена. В зависимости от нарушенных пороговые значения показателей непрерывности инцидент услуг платежной инфраструктуры может быть признан влияющим или непосредственно не влияющим на бесперебойность функционирования платежной системы. В документе также дана ссылка на применение Указания №3280-У, которое регламентирует оповещение ЦБ РФ и других участников платежной системы о приостановлении оказания услуг оператором платежной системы.
Как мы видим, регуляторная база для финансовых организаций отличается своим объемом и непрерывной актуализацией. Отвечая текущим вызовам информационной безопасности финансового сектора и регуляторным нормам, компания «Интеллектуальная безопасность» предлагает продукт Security Vision Cyber Risk System, предназначенный для финансовых организаций. Данный продукт помогает в расчете и анализе киберрисков, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками, а также в реагировании на инциденты ЗИ из модуля Security Vision Incident Response Platform, построении ситуационных центров мониторинга информационной безопасности в финансовых учреждениях. Кроме того, Security Vision Cyber Risk System обеспечивает взаимодействие с FinCERT, включая автоматизированный прием электронных сообщений от АСОИ ФинЦЕРТ, и мониторинг ИБ при работе с Единой биометрической системой.
Список требований Положения № 382-П | Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения № 382-П |
Использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации: п. 2.5.5.1 (вступает в силу с 01.01.2020) |
Решение Security Vision сертифицировано ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей |
Повышение осведомленности в области обеспечения защиты информации: п. 2.12 |
Повышение осведомленности (Awareness) в области ИБ |
Выявление и реагирование на инциденты: п. 2.13 |
Комплектация Security Vision Incident Response Platform [IRP]: Витрина дашбордов, Конструктор отчетов, Оповещение и эскалация, Управление жизненным циклом инцидентов, База знаний, Конструктор сценариев реагирования |
Выявление рисков в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2 |
Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов |
Выявление уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств: п. 2.17.2 |
Комплектация Security Vision Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей |
Выявление событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств: п. 2.18.6 |
Ядро корреляции |
Список требований Положения «О требованиях к СУОР» |
Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования Положения «О требованиях к СУОР» |
Использование программного комплекса, обеспечивающего функционирование системы управления операционным риском и отдельных её элементов: п. 1.6 Автоматизация ведения базы событий и процедур управления операционным риском: п. 4.3 |
Комплектация Security Vision Cyber Risk System [CRS]: Управление рисками кибербезопасности, Конструктор активов, Конструктор отчетов, Витрина дашбордов, Оповещение и эскалация |
Выявление и сбор событий операционного риска, включая автоматизированное выявление информации из информационных систем, а также регистрация событий операционного риска в базе событий: п. 3.3 |
Ядро корреляции Комплектация Incident Response Platform [IRP]: База знаний |
Применение средств автоматизации для проведения процедуры качественной оценки операционных рисков: п. 3.5 |
Кластер аналитики BigData |