Куперс

Соответствие новым требованиям ЦБ РФ в области информационной безопасности для финансовых организаций

Ни для кого не секрет, что финансовые организации традиционно являются привлекательной мишенью для злоумышленников, в том числе и в киберпространстве. Зачастую между информацией, обрабатываемой в финансовой организации, и деньгами можно смело поставить знак равенства. Именно поэтому вопросу обеспечения информационной безопасности в финансовых организациях традиционно уделяется много внимания со стороны государства.

Основным регулятором, регламентирующим вопросы обеспечения информационной безопасности в банковской сфере, является Центральный банк Российской Федерации (ЦБ РФ).

Наиболее значимые нормативные документы:

• Положение ЦБ РФ № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», регламентирующее вопросы обеспечения информационной безопасности в рамках переводов денежных средств.
• Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) – рекомендательный стандарт, представляющий собой комплекс документов Банка России, описывающих единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учетом требований российского законодательства.

В 2019 году полномочия ЦБ РФ как регулятора в области информационной безопасности были значительно расширены. Под надзор попали не только банки, но и иные финансовые организации. Был выпущен ряд новых нормативных документов, регламентирующих вопросы обеспечения информационной безопасности и защиты информации.

В данной статье предлагается подробнее рассмотреть и структурировать ключевые требования и особенности каждого документа, а также обозначить возможные проблемы, на которые стоит обратить внимание при реализации данных требований, в том числе исходя из опыта компании Angara Technologies Group, полученного в ходе выполнения проектов по оценке и обеспечению соответствия требованиям новых положений ЦБ РФ.

Положения ЦБ РФ 683-П и 684-П

Положение ЦБ РФ от 9 января 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – «Положение 683-П») и Положение ЦБ РФ от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – «Положение 684-П») регламентируют требования к обеспечению защиты информации в финансовых организациях с целью предотвращения несанкционированных переводов денежных средств.

При этом, как следует из названия, Положение 683-П распространяется на кредитные финансовые организации (банки), а Положение 684-П – на иные некредитные финансовые организации, также данное положение устанавливает усиленные требования для организаций, перечень которых определяется частью 1 статьи 76.1 Федерального закона N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Среди таких организаций страховые компании, НПФ, депозитарии и т.д.

Несмотря на то, что указанные Положения являются разными документами, описывающими требования для разных категорий финансовых организаций, их идеология во многом схожа, поэтому в рамках настоящей статьи предлагается рассматривать их вместе.

Область действия обоих документов распространяется на объекты информационной инфраструктуры, представляющие собой информационные (автоматизированные) системы, участвующие в реализации банковских процессов, связанных с переводом денежных средств.

Первый вопрос, который возникает при изучении Положения 683-П – область действия Положения 683-П схожа с уже существующим Положением 382-П, которое также предъявляет требования к защите информации в рамках перевода денежных средств. В чем различия между этими двумя нормативными актами?

Положение 683-П дополняет и усиливает меры защиты, установленные Положением 382-П, в связи с чем они должны применяться одновременно и распространяться на одну и ту же область действия, т.е. на объекты информационной инфраструктуры, задействованные в процессе переводов денежных средств. Среди экспертов в области информационной безопасности существует иное мнение, связанное с тем, что требования Положения 683-П распространяются на все финансовые и банковские операции (не только на переводы денежных средств) и, соответственно, на все банковские системы, автоматизирующие данные операции. Вопрос остается открытым до появления официальных разъяснений Банка России.

Примечание: согласно информации, озвученной Банком России на профильных конференциях, в настоящее время готовятся изменения в Положение 382-П. Предположительно, новая редакция положения перестанет распространяться на кредитные организации, избавив банки от сложившейся правовой неопределенности. Также в Положение 382-П планируется внести требования для новых субъектов национальной платежной системы, таких как платежные агрегаторы, разработчики платежных приложений, операторы информационного обмена (в соответствии с правками, внесенными в последнюю на момент написания статьи редакцию Федерального закона № 161-ФЗ «О национальной платежной системе»).

Среди требований Положений, которые могут вызвать вопросы при их реализации, можно выделить следующие:

• Обязанность финансовой организации соответствовать определенному уровню защиты информации, установленному в соответствии с ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (требование вступает в силу с 2021 года). Данное требование устанавливает «рамочный» характер новых документов ЦБ, теперь детальные технические требования к защите информации предъявляются единым стандартом, а дополнительные требования (преимущественно организационного характера) включены в состав каждого нормативного документа ЦБ РФ. ГОСТ становится основным драйвером развития защиты информации в финансовых организациях. Данному стандарту посвящен отдельный раздел настоящей статьи.
• Сертификация или анализ уязвимостей платежного ПО. Еще одно важное нововведение, которое направлено на повышение уровня защищенности используемого ПО. Важно отметить, что, согласно изначальным срокам, указанным в Положениях, данное требование должно было быть реализовано до 01.01.2020 , но ЦБ РФ было опубликовано информационное письмо № ИН-014-56/105 (ИН-014-56/106 – для некредитных финансовых организаций), согласно которому срок реализации данного требования перенесен на 01.07.2020. Также важно отметить, что, согласно п. 4.1 Положения 683-П и п. 9 Положения 684-П, требование распространяется не на все ПО, используемое в рамках переводов денежных средств, а только на то, которое предоставляется клиентам либо с помощью которого осуществляется прием распоряжений клиентов к исполнению в сети Интернет (например, система ДБО, личный кабинет клиента на сайте финансовой организации с функционалом оплаты и т.д.).
• В то же время не стоит забывать и об аналогичном требовании в Положении 382-П, (п. 2.2.5.1), распространяющем необходимость проведения сертификации / анализа уязвимостей уже на все платежное ПО в организации.
• Еще одним спорным вопросом, возникшим с выходом новых Положений, стал вопрос возможности применения финансовыми организациями средств простой электронной подписи (ПЭП) при подписании клиентом платежных сообщений с использованием систем ДБО или иных систем. Согласно п. 5.1. Положения 683-П и п. 10 Положения 684-П, организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. К счастью, данный вопрос был урегулирован совсем недавно. ЦБ РФ было опубликовано информационное письмо от 30 января 2020 г. № ИН-014-56/4, согласно которому использование ПЭП по-прежнему допускается при соблюдении закрепления в договорах с клиентами соответствующих положений.
• Выделение так называемых «технологических участков». Данное нововведение устанавливает требование документировать, реализовывать и обеспечивать контроль технологии обработки защищаемой информации на всех этапах переводов денежных средств. В документе определены следующие технологические участки:

1. Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций – сюда относится, к примеру, работа клиента с системой ДБО или мобильного банкинга;
2. Формирование (подготовка), передача и прием электронных сообщений – формирование электронного сообщения (платежного поручения) в АБС или ДБО;
3. Удостоверение права клиентов распоряжаться денежными средствами – получение клиентом подтверждающего СМС или использование иных средств, в том числе и ПЭП;
4. Осуществление банковской операции, учет результатов ее осуществления – банковские проводки в АБС;
5. Хранение электронных сообщений и информации об осуществленных банковских операциях.

Несмотря на то, что интуитивно требование вполне понятно, обязанность регламентации технологии обработки информации в контексте ее деления на технологические участки является новой и требует определенных трудозатрат, что также необходимо учитывать, планируя реализацию данного требования.

• Финансовые организации обязаны информировать ЦБ РФ об инцидентах информационной безопасности в соответствии с рекомендуемым форматом и способом, согласованным с ФСБ России и размещенным на сайте ЦБ РФ. Речь в данном пункте идет о стандарте СТО БР БФБО 1.5 – 2018 «О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации». Несмотря на то, что стандарт относится к комплексу стандартов СТО БР ИББС и, следовательно, является рекомендательным, он, в то же время, является единственным документом, размещенным на сайте Банка России, который устанавливает форму и сроки, а также описывает именно те форматы, которые используются при взаимодействии финансовых организаций с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (FinCERT). Таким образом «де-факто» СТО БР БФБО 1.5-2018 является обязательным к исполнению. Следовательно, информирование Банка России о выявленных инцидентах организуется с использованием личного кабинета FinCERT, при этом должны быть учтены рекомендации СТО БР БФБО 1.5-2018.
• Использование средств криптографической защиты информации (СКЗИ) – согласно требованиям Положений, при использовании СКЗИ в том числе необходимо выполнять требования технической документации на СКЗИ, к которой относятся формуляры, инструкции, руководства пользователя и прочие документы. На практике об этом часто забывают, например, не всегда заполняются формуляры СКЗИ, в ряде случаев не используются необходимые технические средства для защиты среды функционирования СКЗИ (сертифицированные средства защиты от несанкционированного доступа, антивирусы и т.д.).

Реализация требований Положений 683-П и 684-П с учетом вышеперечисленных моментов позволит финансовой организации быть как гораздо более защищенной, так и более подготовленной к возможным проверкам ЦБ РФ.

Положение ЦБ РФ 672-П

Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» (далее – «Положение 672-П») регламентирует обеспечение информационной безопасности при переводах денежных средств в рамках платежной системы Банка России.

Положение 672-П введено взамен утратившему силу Положению Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России». Область действия Положения распространяется на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемое кредитными организациями (в том числе филиалами кредитных организаций) в процессе перевода денежных средств в платежной системе ЦБ РФ.

Необходимость разработки нового Положения тесно связана с изменениями, внесеннымив Положение Банка России № 595-П «О платежной системе Банка России», которое, в свою очередь, описывает основные принципы функционирования платежной системы ЦБ РФ. Теперь перевод денежных средств участников платежной системы Банка России может осуществляться с использованием сервиса срочного перевода, сервиса несрочного перевода и сервиса быстрых платежей.

Сервисы срочного перевода и несрочного перевода являются основными сервисами, которые обязаны использовать все кредитные организации. Сервис (система) быстрых платежей (СБП) – это перспективная технология межбанковских переводов с использованием номера мобильного телефона. На момент написания статьи подключение кредитных организаций к СБП является добровольным.

Было введено понятие операционного и платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (ОПКЦ). В соответствии с официальной информацией, размещенной на сайте СБП, таким центром является Национальная система платежных карт (НСПК). Также на сайте СБП доступен для ознакомления список кредитных организаций, подключившихся к СБП.

Все эти изменения нашли свое отражение в Положении 672-П. Еще одним немаловажным изменением является требование обеспечить подписание электронного сообщения (платежного документа), формируемого в автоматизированной системе (например, АБС), средствами электронной подписи также в АБС. Ранее подписание осуществлялось с использованием ПО АРМ КБР. С выходом нового Положения данное ПО, предназначенное для передачи электронных (платежных) сообщений в Банк России, получило новую модификацию – АРМ КБР-Н.

На практике данное требование реализуется, как правило, добавлением специального функционала (модуля) в АБС. Например, в АБС Diasoft таким модулем является модуль ЗЭС – «Защита электронных сообщений».

Положение 672-П, как и рассмотренные ранее нормативные документы ЦБ РФ, требует обеспечить соответствие кредитных организаций требованиям ГОСТ 57580.1, начиная с 2021 года, в частности обеспечить соответствие стандартному (второму) уровню защиты (за исключением ОПКЦ, который должен обеспечить соответствие усиленному (первому) уровню защиты с момента ввода Положения 672-П в действие).

Среди основных проблем, с которыми кредитная организация может столкнуться при реализации требований данного нормативного документа, важно отметить следующие:

• Представляется достаточно сложным определить четкую область действия Положения. Согласно п. 1.1 Приложения 1 к Положению 672-П в кредитной организации должны быть созданы контуры формирования и контроля формирования электронных сообщений, при этом каждый из контуров должен быть реализован с учетом разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров. Исходя из того, что формирование электронного сообщения зачастую осуществляется в основном (расчетном) модуле АБС, следует, что АБС также необходимо рассматривать в рамках контура формирования сообщений, что приводит к тому, что данная система также входит в область действия рассматриваемого Положения. В то же время, действовавшее ранее Положение 552-П распространялось исключительно на АРМ КБР. На момент написания статьи со стороны ЦБ РФ не предоставлено официальных разъяснений по данному вопросу. Пока кредитной организации следует принимать решение, готова ли она включать АБС в область действия новых требований, самостоятельно.
• Другой немаловажный вопрос, на который также следует обратить внимание, заключается в обеспечении защиты информации с использованием СКЗИ. В рамках платежной системы Банка России для работы с АРМ КБР-Н требуется использование СКЗИ «СКАД Сигнатура», произведенного компанией ООО «Валидата». При этом согласно п. 7 Положения 672-П, защита информации с использованием СКЗИ должна осуществляться в том числе в соответствии с требованиями технической документации на СКЗИ. Как показывает практика, зачастую в банках не выполняются требования документа «ВАМБ.00107-01 30 01 «Система криптографической авторизации электронных документов «Сигнатура» версия 5 «Сигнатура-Клиент» (формуляр)», документа «ВАМБ.00106-01 30 01 «Система криптографической авторизации электронных документов «Сигнатура» версия 5 (формуляр)», такие как:

1. Использование межсетевых экранов, сертифицированных по требованиям ФСБ России не ниже 4 класса защиты, для передачи информации, поступающей от СКЗИ и на СКЗИ при использовании выходящих за пределы контролируемой зоны каналов связи;
2. Использование средств антивирусной защиты, сертифицированных ФСБ России по классу Б (для применения на серверах) и классу В (для применения на рабочих станциях).

• Невыполнение данных требований автор связывает в том числе и с тем, что указанных межсетевых экранов практически нет на рынке (по состоянию на 01.03.2020 в реестр сертифицированных средств защиты информации ФСБ включено всего 14 продуктов, соответствующих данным требованиям). В то же время известно, что в рамках проводимых надзорных мероприятий ЦБ РФ проверяет в том числе и реализацию указанных требований, следовательно, кредитным организациям нужно быть готовыми к возможным вопросам, которые могут возникнуть у проверяющих.
• Еще один момент, о котором часто забывают, – требования Положения 672-П не отменяют необходимость выполнения иных требований Банка России. Участок платежной системы Банка России попадает в область действия и рассмотренного ранее Положения 683-П и Положения 382-П, в связи с чем важно учитывать все применимые требования всех указанных документов.

В заключение – несколько слов о Положении 552-П. Несмотря на то, что, как уже говорилось ранее, данное Положение утратило силу, описанные в нем требования по защите информации были перенесены в договор между кредитной организацией и Банком России (форма договора установлена информационным письмом ЦБ РФ от 5 апреля 2018 г. № 04-45/2470 «О договоре об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России». При этом, согласно п. 5.2 договора, данные требования применяются не ко всем кредитным организациям, а к тем, которые являются участниками Системы передачи финансовых сообщений (СПФС) Банка России – им нужно учитывать в своей работе как требования Положения 672-П, так и требования Положения 552-П.

ГОСТ 57580.1

В 2018 году вступил в действие государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – «ГОСТ»). Цель разработки нового стандарта заключалась в необходимости унификации требований к обеспечению защиты информации в финансовых организациях в связи с изменением подхода к нормативному регулированию со стороны Банка России.

В стандарте меры по защите информации разделяются в соответствии с тремя уровнями защиты (третий – «базовый», второй – «стандартный», первый – «усиленный»). Также введено понятие контура безопасности – совокупности объектов информатизации, определяемой областью применения стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).

Необходимость обеспечения того или иного уровня защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:

• вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
• объема финансовых операций;
• размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
• значимости финансовой организации для финансового рынка и национальной платежной системы.

Так, согласно рассмотренным ранее Положениям ЦБ РФ, банки, в рамках переводов денежных средств, обязаны реализовать требования, соответствующие второму (стандартному) уровню (за исключением системно значимых, которые должны реализовать требования для первого (усиленного) уровня).

Еще одно нововведение данного стандарта заключается в том, что он является обязательным к исполнению, даже несмотря на то, что, согласно законодательству РФ о техническом регулировании, стандарты представляют собой рекомендательные документы. Это в корне отличает данный стандарт от СТО БР ИББС, обязанность исполнения которого могла быть установлена только путем ввода в действие приказа руководства кредитной организации о присоединении к стандарту. Обязательность же исполнения ГОСТ конкретными типами финансовых организаций устанавливается нормативными актами ЦБ РФ, рассмотренными ранее.

С какими сложностями можно столкнуться при реализации требований стандарта?

• ГОСТ написан на стыке технического и юридического языков, некоторые формулировки перегружены излишними словесными конструкциями, также не все требования стандарта являются однозначными, формулировка некоторых требований может допускать их расширенное трактование. В качестве примера можно привести требование РД 18: «Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации». На первый взгляд данное требование достаточно тривиально и является реализацией стандартной практики хеширования паролей, однако фраза «передачу куда-либо, кроме средств или систем аутентификации» может трактоваться в том числе как необходимость обеспечить контроль за передаваемыми паролями между сотрудниками организации с использованием организационных методов или средств DLP. Другой пример – требование ПУИ.14: «Запрет хранения и обработки информации конфиденциального характера на объектах доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет». Если трактовать данное требование так, как оно описано, можно прийти к выводу, что все рабочие места пользователей автоматизированной системы (например, АБС) не должны иметь доступа в Интернет, так как в АБС осуществляется обработка конфиденциальной информации. Однако, автор полагает, что речь в данном требовании идет об объектах информационной инфраструктуры, находящихся в сегменте DMZ, в отношении которых должны быть приняты меры по размещению баз данных, в которых осуществляется хранение и обработка конфиденциальной информации, во внутреннем сегменте сети, отделенном от демилитаризованной зоны и иных недоверенных сетей (по аналогии с требованием 1.3.6 стандарта PCI DSS). Таким образом, трактовка того или иного требования будет в существенной мере зависеть от аудитора, проводящего оценку выполнения требований. При этом нужно учитывать, что от лица, проводящего аудит, требуется высокий уровень компетентности и внимательности. Для решения данной проблемы Центральный Банк в настоящее время рассматривает необходимость введения механизма обязательной аккредитации аудиторов, а также организации обучения по курсам, согласованным с ЦБ РФ.
• Управлению информационной безопасности в самом стандарте отведен небольшой раздел, описывающий конкретные меры (преимущественно организационного характера) в соответствии с известным подходом PDCA (Plan – Do – Check – Act, Планирование – Реализация – Контроль – Совершенствование). При этом в стандарте отсутствует требование проведения оценки рисков информационной безопасности, в отличие от того же СТО БР ИББС. По информации от Банка России, в настоящее время завершается разработка отдельного ГОСТ, описывающего процесс управления рисками информационной безопасности (киберрисками). Известно, что управление рисками информационной безопасности в новом стандарте планируется связать с управлением операционными рисками организации. В связи с этим ЦБ РФ опубликован проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», с выходом которого риски нарушения информационной безопасности, а также ИТ-риски будут официально включены в состав операционных.

При всех описанных недостатках новый ГОСТ является значительным шагом вперед в нормативном регулировании ЦБ РФ. Порядок реализации защитных мер приобрел схожесть с порядком, установленным в приказах ФСТЭК России, меры можно исключать, дополнять и адаптировать исходя из структурно-функциональных особенностей защищаемых объектов, наличия или отсутствия конкретных применяемых технологий, а также от наличия актуальных угроз безопасности информации.

В целом, по своей идеологии и детализации требований ГОСТ схож с ранее упомянутым стандартом PCI DSS, а также стандартами общества SWIFT. Стандарт направлен на повышение реальной защищенности финансовых организаций путем применения технических мер, в том числе путем использования продвинутых технических средств защиты информации, таких как системы SIEM, DLP, MDM и другие. ГОСТ также допускает использование компенсирующих защитных мер, однако применять их стоит с осторожностью, так как важно помнить, что с 2021 года Банк России начнет проводить проверочные мероприятия по реализации требований данного стандарта. Соответственно, при использовании компенсирующих мер финансовой организации следует в том числе подготовить достаточные документальные обоснования их применения и быть готовой продемонстрировать их проверяющим.

В настоящей статье были рассмотрены новые нормативные документы Банка России, в том числе их основные требования и положения, которые могут вызывать вопросы при их реализации у финансовых организаций.

По результатам анализа новых документов можно сделать однозначный вывод, что новые положения отражают тенденцию Банка России к усилению нормативного регулирования информационной безопасности, а также смещают фокус с выполнения формальных требований на обеспечение реальной защищенности подведомственных организаций.

Перед направлением электронного обращения в Минстрой России, пожалуйста, ознакомьтесь с изложенными ниже правилами работы данного интерактивного сервиса.

1. К рассмотрению принимаются электронные обращения в сфере компетенции Минстроя России, заполненные в соответствии с прилагаемой формой.

2. В электронном обращении может содержаться заявление, жалоба, предложение или запрос.

3. Электронные обращения, направленные через официальный Интернет-портал Минстроя России, поступают на рассмотрение в отдел по работе с обращениями граждан. Министерство обеспечивает объективное, всестороннее и своевременное рассмотрение обращений. Рассмотрение электронных обращений осуществляется бесплатно.

4. В соответствии с Федеральным законом от 02.05.2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» электронные обращения регистрируются в течение трёх дней и направляются в зависимости от содержания в структурные подразделения Министерства. Обращение рассматривается в течение 30 дней со дня регистрации. Электронное обращение, содержащее вопросы, решение которых не входит в компетенцию Минстроя России, направляется в течение семи дней со дня регистрации в соответствующий орган или соответствующему должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов, с уведомлением об этом гражданина, направившего обращение.

5. Электронное обращение не рассматривается при:
— отсутствии фамилии и имени заявителя;
— указании неполного или недостоверного почтового адреса;
— наличии в тексте нецензурных или оскорбительных выражений;
— наличии в тексте угрозы жизни, здоровью и имуществу должностного лица, а также членов его семьи;
— использовании при наборе текста некириллической раскладки клавиатуры или только заглавных букв;
— отсутствии в тексте знаков препинания, наличии непонятных сокращений;
— наличии в тексте вопроса, на который заявителю уже давался письменный ответ по существу в связи с ранее направленными обращениями.

6. Ответ заявителю обращения направляется по почтовому адресу, указанному при заполнении формы.

7. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Информация о персональных данных заявителей хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

8. Обращения, поступившие через сайт, обобщаются и представляются руководству Министерства для информации. На наиболее часто задаваемые вопросы периодически публикуются ответы в разделах «для жителей» и «для специалистов»

Оценка соответствия по 382-П

Скачать положение ЦБ РФ 382-П последняя редакция на 2020 год

Скачать последнюю редакцию Положения 382-П можно по здесь ( doc, pdf).

Что необходимо для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований. К таким свидетельствам могут относиться:

• Документы (политики, положения, регламенты, инструкции и прочее)
• Результаты проведенных интервью
• Технические данные из информационных систем
• Результаты наблюдения
• Результаты проведенного пентеста
• Отчетные документы по предыдущим аудитам по 382-П

Часть материалов, такие как документы или отчеты по проведенным ранее оценкам соответствия (самооценкам), запрашиваются на предварительном этапе аудита. Все остальные материалы аудитор получает на месте. Проведение аудита на месте осуществляется в соответствии с планом.

От полноты и качества сбора и оформления свидетельств аудита зависит результат оценки соответствия, а также общее качество отчета.

Как проводится оценка соответствия по 382-П?

В зависимости от размера проверяемой организации, этапы могут меняться, при этом принципиально ход оценки соответствия следующий:

1. Запрос и получение документов по платежным сервисам и информационной безопасности
2. Анализ документов и частичное заполнение Формы 1 382-П
3. Определение платежных систем и ролей
4. Проведение аудита на месте (в присутствии представителя проверяемой организации):
   • Проведение интервью с сотрудниками по направлениям ИТ, ИБ и расчетов
   • Сбор технических данных информационных систем и средств защиты
   • Наблюдение за порядком оказания платежных услуг
5. Подготовка отчета (заполнение Формы 1 и Формы 2)

Работы могут быть разделены на Предварительный аудит, результатом которого являются рекомендации по устранению несоответствий, и Итоговый аудит, результаты которого могут быть направлены в Банк России.

Что включает в себя отчет по 382-П?

Отчет по проведенной оценке соответствия должен включать в себя:

1. Заполненную форму 1, установленную Приложением 1 к 382-П;
2. Заполненную форму 2, установленную Приложением 1 к 382-П;
3. Сроки проведения настоящей оценки соответствия.

Дополнительно может быть разработана отчетная форма 0403202 в соответствии с 2831-У для отправки в Банк России.

Что делать с отчетом после проведения оценки соответствия?

Центральный Банк Российской Федерации направил кредитным организациям Письмо № 56-2-6/46 от 30 января 2020г., в соответствии с которым предлагается отчитывающимся операторам после проведения оценки соответствия и направления в Банк России отчетности по форме 0403202 в соответствии с пунктом 2 Указания Банка России № 2831-У дополнительно направлять в адрес Департамента информационной безопасности Банка России следующую информацию:

• отчет, сформированный в целях документального подтверждения проведенной за последние два года оценки соответствия, утвержденный исполнительными органами управления и оформленный в соответствии с подпунктом 2.15.3 пункта 2.15 Положения Банка России № 382-П в формате документа Word (.doc);
• заполненную таблицу по форме 1 приложения 1 к Положению Банка России № 382 -П в формате электронной таблицы Excel (.xls).

Вышеуказанную информацию необходимо направлять через личный кабинет в соответствии с главой 2 Указания Банка России от 03.11.2017 года № 4600-У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета».

Также необходимо обратить внимание на то, что дата отчёта указанная в заголовочной части формы 0403202 в качестве даты, по состоянию на которую проведена оценка соответствия, должна совпадать с датой утверждения отчёта о результатах проведения оценки соответствия и именно она указывается при отправке отчетности по форме 0403202.

Дополнительные услуги по 382-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

• Проведение комплекса работ по обеспечению защиты информации при переводах денежных средств
• Выявление и анализ уязвимостей в прикладном ПО (п. 2.5.5.1. 382-П)
• Выявление и анализ уязвимостей в рамках модернизации инфраструктуры (п. 2.5.5.1. 382-П)

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П
• Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Заказать аудит по 382-П

Для уточнения стоимости и сроков звоните или пишите нам:

382-п

382-П — Положение Банка России № 382-П от 09.06.2012 г. — содержит требования по защите информации, которые следует применять финансовым организациям при переводе денежных средств, в т.ч. меры по выявлению и реагированию на инциденты информационной безопасности. Данное Положение было разработано во исполнение норм информационной безопасности, указанных в Федеральном законе №161 от 27.06.2011 г. «О национальной платежной системе».

В финансовой отрасли, особенно в ее банковском секторе, вопросы информационной безопасности играют крайне важную роль, поскольку именно банки являются наиболее привлекательным объектом кибератак. Поэтому обеспечение кибербезопасности финансовой сферы находится в зоне пристального внимания государственных органов. Финансовые организации обязаны соблюдать требования не только двух основных регуляторов в области информационной безопасности — ФСТЭК России и ФСБ России, но и требования по информационной безопасности, которые выдвигает Центральный банк Российской Федерации (Банк России).

Положение Банка России №382-П от 09.06.2012 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» является обязательным для исполнения банками, операторами как российских платежных систем, так и международных платежными систем, действующих на территории РФ, а также расчетными центрами, платежными клиринговыми центрами и другими организациями. Оценка соответствия финансовой организации требованиям 382-П должна проводиться минимум раз в два года. Согласно требованиям 382-П, проводить аудит могут организации, получившие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ).

Аттестация по Положению Банка России № 382-П

Что требует закон?

Указанное положение было разработано на основании 161-ФЗ «О национальной платежной системе» и установило требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем и операторы услуг платежной инфраструктуры должны обеспечивать защиту информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств (далее — оператор) обязан обеспечить выполнение банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований по обеспечению защиты информации.

Оператор также обязан обеспечивать контроль выполнения банковскими платежными агентами (субагентами) требований по защите информации.

382-П: выполнять самому или привлечь лицензиата

Жесткого требования о привлечении лицензиата 382-П (далее – положение) не устанавливает.
Но практика показывает, что оператор не всегда способен провести все необходимые работы самостоятельно. Например, проектирование системы защиты информации, анализ уязвимостей и тестирование на проникновение автоматизированных информационных систем – сложнейшие виды работ, для реализации которых необходимы не только знания, но и практика.

Благо, пунктом 2.5.5.1. положения предусмотрена возможность привлечения на договорной основе лицензиата ФСТЭК России.

При этом нужно учесть, что оператору самому не требуется получать лицензию ФСТЭК России, если он осуществляет работы по защите информации только для своих нужд. Если же оператор оказывает услуги другим юридическим лицам, лицензия необходима, т.к. деятельность по защите информации в соответствии с постановлением Правительства № 79 «О лицензировании деятельности по технической защите информации» является лицензируемой.

В таком случае у оператора должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации с пунктами:

• контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
  • средствах и системах информатизации;
• контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
• проектирование в защищенном исполнении:
  • средств и систем информатизации;
• установка, монтаж, испытания, ремонт средств защиты информации программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

382-П: аттестация

Начнем с того, что 382-П не устанавливает требование по аттестации автоматизированных информационных систем (далее – АИС) оператора.

Однако в соответствии с пунктом 2.15.1. оператор обязан проводить оценку выполнения требований по обеспечению защиты информации при осуществлении переводов денежных средств (далее — оценка соответствия).

Оценка соответствия проводится оператором самостоятельно или с привлечением сторонних организаций не реже одного раза в 2 (два) года, а также по требованию Банка России.

Поэтому работы по оценке соответствия оператор вправе заказать у лицензиата ФСТЭК России. Доверие к таким работам выше, чем при самостоятельной оценке, так как лицензиат ФСТЭК является внешним аудитором и осуществляет свою деятельность на основании лицензии, выданной регулятором в области защиты информации – ФСТЭК России.

На выходе оператор получает подтверждающие документы установленного образца:

• программа и методики аттестационных испытаний,
• протокол аттестационных испытаний,
• заключение аттестационных испытаний,
• аттестат соответствия.

Внимание! Для осуществления работ по аттестации у лицензиата ФСТЭК в лицензии должны быть следующие виды работ:

• Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
  • средствах и системах информатизации.
• Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
• Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
  • средств и систем информатизации.

Стоимость оценки соответствия ориентировочно составляет 250 тыс.руб. и больше в зависимости от ряда критериев, указанных ниже.

382-П: тестирование на проникновение

В соответствии с пунктом 2.5.5.1. положения оператор обязан проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Что под этим подразумевается?

С данными понятиями хорошо знакомы лицензиаты ФСТЭК России, так как в соответствии с постановлением Правительства такие работы относятся к лицензируемому виду деятельности и осуществляются в рамках работ по аттестации объектов информатизации (по требованиям ФСТЭК России). Например, в рамках работ по защите и аттестации государственных информационных систем (по 17 приказу ФСТЭК) обязательно проводятся работы по анализу уязвимостей информационных систем.

Под тестированием на проникновение понимается легальная услуга по реализации попыток преодоления системы защиты, которая включает:

• изучение объекта (изнутри и(или) снаружи);
• выявление уязвимостей (выборочно: только тех, которые необходимы для достижения выбранных целей) так же, как это проводится в случае реального взлома;
• попытки взлома (реализация попыток несанкционированного доступа);
• проникновение и расширение привилегий в случае успеха проникновения в АИС;
• документирование хода и результатов работ.

Цена работ по тестированию на проникновение зависит от ряда критериев (см. ниже) и, как правило, составляет от 250 тыс. руб. до 2,5 млн. руб.

382-П: анализ уязвимостей

Общепринятый порядок проведения анализа уязвимостей выглядит следующим образом:

• изучение объекта (изнутри и(или) снаружи), составление перечня используемого ПО с указанием версии;
• поиск уязвимостей ПО по международным базам уязвимостей;
• поиск уязвимостей ПО по базе уязвимостей ФСТЭК России;
• ручное и инструментальное тестирование уязвимостей (попытка их реализации);
• документирование хода и результатов работ.

Типовой набор документов, фиксирующих (подтверждающих) проведение данной процедуры, следующий:

• программа и методики проведения анализа уязвимостей,
• протокол проведения анализа уязвимостей,
• заключение по результатам анализа уязвимостей.

Цена работ формируется не так просто. Если плюс-минус километр, то стоимость составит от 250 тыс. и до 5 млн. для одной автоматизированной информационной системы в зависимости ряда критериев (см. ниже).

382-П: цена вопроса

В первую очередь давайте четко обозначим, какие виды работ подразумевает 382-П:

• приведение системы защиты автоматизированной информационной системы (АИС) в соответствие требованиям безопасности,
• анализ уязвимостей АИС,
• тестирование на проникновение АИС,
• оценка соответствия требованиям безопасности информации.

А теперь давайте по каждому пункту поподробнее.
Общепринятый порядок приведения системы защиты информации в соответствие требованиям безопасности выглядит следующим образом:

1. Обследование (сбор и анализ исходных данных) АИС и системы защиты информации (СЗИ) в составе АИС в частности. На выходе составляются следующие отчетные документы:

• • отчет об обследовании,
  • модель угроз и нарушителя безопасности информации,
  • техническое задание на создание/доработку системы защиты.

Стоимость подготовки по данному этапу, как правило, составляет 250 тыс. и больше в зависимости от ряда факторов (см. ниже).

1. Разработка или доработка системы защиты. Также это называется проектированием системы защиты — разработкой технического проекта на создание/доработку системы защиты информации. На выходе составляется технический проект, включающий, как минимум, следующие отчетные документы:

• • пояснительная записка к техническому проекту,
  • ведомость технического проекта,
  • спецификация оборудования,
  • структурная схема комплекса технических средств.

Стоимость подготовки по данному этапу, как правило, начинается от 350 тыс. и зависит от ряда факторов (см. ниже).

1. Внедрение системы защиты информации, включая:

• • закупку, установку и настройку средств защиты информации в соответствии с техническим проектом;
  • разработку организационно-распорядительной документации (положения, регламенты, инструкции и др.);
  • внедрение режимных (организационных) мер;
  • обучение персонала по работе с системой защиты информации.

Стоимость подготовки по данному этапу, не включая стоимость средств защиты информации, как правило, составляет от 450 тыс. и больше в зависимости от ряда факторов (см. ниже).

Обычно операторы реализуют систему защиты по собственным соображениям, опираясь на международные стандарты и практику. Но каждому оператору также необходимо понимать, что существуют и Российские требования по безопасности с которыми нужно считаться.

Поэтому даже если система защиты уже фактически разработана и введена в действие, то привести ее в соответствие требованиям ЦБ РФ просто необходимо.

Точную стоимость по указанным выше услугам можно сформировать только после оценки АИС по следующим критериям:

• масштаб АИС;
• программно-аппаратное обеспечение АИС (типы аппаратных платформ и программное обеспечение);
• технологии обработки и передачи информации (терминальный доступ, беспроводной доступ, SAAS и др);
• географическое распределение АИС (филиалы, оперкассы);
• проводились ли ранее работы по безопасности информации.

Скачать коммерческое предложение на аттестацию по 382-ПСКАЧАТЬ PDF

382-П: камни преткновения

В процессе реализации требований по безопасности информации оператор может столкнуться с такими проблемами:

1. Большинство операторов не понимают и не знают, какие конкретно организационно-распорядительные документы необходимо разработать для соответствия требованиям.
2. Большинство операторов не понимают, как трактовать требование пункта 2.5.5.1: «использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4»
3. Большинство операторов не понимают, что такое тестирование на проникновение, как оно проводится и как его выполнить с минимальными для себя рисками.
4. Большинство операторов не понимают, что такое анализ уязвимостей автоматизированной информационной системы, и как его грамотно сделать.
5. Специалисты оператора не всегда способны провести все указанные работы по безопасности собственными силами.

Благо подпунктом 2.5.5.1. положения предусмотрена возможность привлечения специализированной организации — лицензиата ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Но нужно учесть, что не все лицензиаты ФСТЭК специализируются одновременно на всех вышеуказанных направлениях деятельности. Рекомендуем вам запрашивать у лицензиатов подтверждение опыта выполненных работ в виде портфолио (референс-листы/перечень выполненных проектов) по требуемой вам работе (подготовке).

382-П: пакет организационно-распорядительной документации (ОРД)

Минимальный пакет документации диктуется пунктом 2.2. положения и выглядит следующим образом:

1. Положение по обеспечению информационной безопасности (ИБ) при назначении и распределении ролей лиц, в том числе связанных с осуществлением переводов денежных средств;
2. Положение по обеспечению ИБ на различных стадиях жизненного цикла объектов информационной инфраструктуры (ОИИ);
3. Требования по обеспечению ИБ при осуществлении доступа к ОИИ;
4. Положение по обеспечению ИБ средствами антивирусной защиты (по предотвращению и обнаружению компьютерных вирусов и другого вредоносного ПО);
5. Положение по обеспечению ИБ при использовании сети Интернет, в том числе при осуществлении переводов денежных средств;
6. Положение по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ);
7. Положение по обеспечению ИБ с использованием технологических мер защиты информации (в том числе банковских платежных и информационных технологических процессов);
8. Положение о службе информационной безопасности;
9. Положение по повышению осведомленности в области обеспечения защиты информации;
10. Положение по выявлению и реагированию на инциденты, связанные с нарушениями требований к обеспечению защиты информации;
11. Положение по определению и реализации порядка обеспечения защиты;
12. Положение по оценке выполнения требований по обеспечению защиты информации;
13. Положение по информированию оператора платежной системы об обеспечении защиты информации;
14. Положение по совершенствованию системы защиты информации.

Конечно, перечень ОРД может быть шире, но практика прохождения проверки ЦБ РФ показывает, что указанного пакета документов вполне достаточно.

382-П: лайфхак

Обозначим некоторые хитрости соответствия требованиям по безопасности, установленным положением:

• Перечень организационно-распорядительной документации в целом определяет пункт 2.2. положения. Пакета ОРД по указанному пункту достаточно для прохождения проверки ЦБ РФ.
• По пункту 2.5.5.1 установлено сложное требование: «использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4». Данное требование в действительности означает, что софт, на базе которого построено ДБО у оператора, должен быть сертифицирован во ФСТЭК России, или проведена его соответствующая оценка лицензиатом ФСТЭК России. И данные работы по факту должен заказывать и в итоге оплачивать вендор (разработчик) ДБО, а не оператор, так как при проведении указанных работ по сертификации/оценке софта требуется доступ к исходным кодам софта и проектной (программной) документации на него.
• Подвидов работ по тестированию на проникновение несколько. Существует тестирование «изнутри» и «снаружи». Так как положение не предъявляет детальных требований по тестированию на проникновение, то, чтобы отделаться малой кровью, можно провести оценку только «изнутри». Но, само собой, лучше проводить полное тестирование (по всем векторам), чтобы исключить лишние вопросы со стороны ЦБ РФ.
• Так как анализ уязвимостей автоматизированной информационной системы (АИС) является сложнейшим видом оценки АИС, для его осуществления нужно не только понимание темы и специальный сертифицированный инструментарий, но и практика проведения данных работ. Благодаря пункту 2.5.5.1. данные работы можно заказать у специализированной организации с соответствующей лицензией — лицензиата ФСТЭК России на техническую защиту конфиденциальной информации.

Что предлагаем мы?

Мы предлагаем помощь операторам в реализации любого из видов указанных работ или все вместе:

• приведение системы защиты автоматизированной информационной системы (АИС) в соответствие требованиям безопасности,
• анализ уязвимостей АИС,
• тестирование на проникновение АИС,
• оценка соответствия требованиям безопасности информации.

Стоимость определяется индивидуально в зависимости от ряда критериев, которые нужно обсудить.

Вы можете узнать стоимость работ по аттестации по 382-П по телефону:
8(800)-550-44-71 ЗАКАЗАТЬ ЗВОНОК