Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Банк России: системные изменения в подходах к защите информации в финансовых организациях

    25.09.2019 Булаев Михаил Александрович, ведущий консультант-аналитик

    В 2019 году Центральный банк продолжил систематизировать и совершенствовать подходы к защите информации в финансовых организациях. В первую очередь это обусловлено необходимостью обеспечения устойчивого развития финансового рынка в современных условиях, в том числе и вследствие постоянно возрастающих потерь от киберпреступности, возникающих за счет несанкционированных операций, совершаемых с использованием платежных карт.
    Реализуя свои полномочия, в 2019 году Банк издал ряд нормативных актов, к основным из которых относятся:

    • Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России», принятое на основании полномочий, предоставленных ЦБ РФ п. 19 ч.1 ст. 20 и ч. 9 ст. 20 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;
    • Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» и
    • Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций», принятые на основании ст. 57.4 ст. 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
    Согласно утвержденной ЦБ РФ концепции на основании этих нормативных актов предусматривается перевод финансовой сферы на единые требования к защите информации, установленные национальными стандартами:
         - ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (введен в действие с 1 января 2018 года);
         - ГОСТ Р 57580.2-2018. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия (введен в действие с 1 сентября 2018 года).

    Новые требования, обязательные для финансовых организаций, можно разделить на четыре группы:

    • Требования к объектам информационной инфраструктуры:
              - необходимость обеспечения одного из уровней защиты информации по ГОСТ Р 57580.1-2017;
              - необходимость тестирования ИС на проникновение и анализа уязвимостей;
              - необходимость поведения оценки соответствия уровня защиты информации по методологии ГОСТ 57580.2-2018.
    • Требования к технологии обработки защищаемой информации:
              - требования к подписанию электронных сообщений;
              - требования к технологическим участкам;
              - протоколирование на технологических участках;
              - хранение защищаемой информации.
    • Требования к прикладному программному обеспечению:
              - необходимость применения прикладного программного обеспечения автоматизированных систем и приложений, распространяемых своим клиентам, сертифицированных ФСТЭК на соответствие требованиям по безопасности информации;
              - необходимость проведения анализа уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4.
    • Иные требования:
              - необходимость применения СКЗИ в соответствии с федеральными законами, нормативными актами ФСБ России;
              - требования к регистрация инцидентов защиты информации;
              - требование информирования Банка России об инцидентах;
              - необходимость выдачи рекомендаций для клиентов по защите информации от воздействия вредоносного кода.

    Некоторые комментарии к новым требованиям

    Принятые Положения Банка России устанавливают обязательность применения национальных стандартов ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 для всех организаций финансовой сферы, находящихся под регулированием ЦБ:
         - организаций платежной системы Банка России;
         - кредитных организаций;
         - некредитных финансовых организаций.

    Национальный стандарт ГОСТ Р 57580.1 устанавливает для финансовых организаций три унифицированных уровня защиты информации:
         - уровень 3 - минимальный;
         - уровень 2 - стандартный;
         - уровень 1 - усиленный.

    В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.

    Требуемый уровень защиты информации для конкретной финансовой организации устанавливается соответствующими Положением Банка России - 672-П, 683-П и 684-П в зависимости от:
         - вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
         - объема финансовых операций; ‒ размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
         - значимости финансовой организации для финансового рынка и национальной платежной системы.

    Кроме всего прочего, стандарт ГОСТ Р 57580.1 позволяет унифицировать и упорядочить подход к реализации в финансовых организациях требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных финансовой организации, так:
         - для обеспечения соответствия четвертому уровню защищенности персональных данных рекомендуется использовать требования, установленные ГОСТ Р 57580.1 для уровня 3 - минимальный;
         - для обеспечения соответствия третьему и второму уровням защищенности персональных данных рекомендуется использовать требования, установленные стандартом для уровня 2 - стандартный;
         - для обеспечения соответствия первому уровню защищенности персональных данных рекомендуется использовать требования, установленные настоящим стандартом для уровня 1 - усиленный.

    Одно из нововведений, вступающее в силу с января 2021 года, устанавливает необходимость для некредитных финансовых организаций, реализующих усиленный и стандартный уровни защиты информации, обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых своим клиентам:
         а). сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей,
    или
         б). в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 (по ГОСТ Р ИСО/МЭК 15408-3-2013).

    К моменту опубликования этого материала уже подготовлен проект Методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», которым должны пользоваться сертификационные лаборатории и органы по сертификации средств защиты информации, аккредитованные в системе сертификации средств защиты информации ФСТЭК России.

    Этот профиль определяет требования безопасности к прикладному программному обеспечению автоматизированных систем и приложений финансовых организаций, предназначенных для, осуществления финансовых операций, банковских операций, перевода денежных средств, а также программному обеспечению.

    Функциональные требования безопасности, включенные в профиль, предусматривают:
         - защиту пользовательских данных (ограничение доступа к аппаратным ресурсам платформы, хранилищам чувствительной информации, сетевым коммуникациям);
         - управление безопасностью (использование механизмов конфигурации, определение параметров конфигурации по умолчанию, назначение функций управления);
         - защиту персональной идентификационной информации;
         - защиту функций безопасности (ограничение использования поддерживаемых сервисов, противодействие использованию уязвимостей безопасности, обеспечение целостности при установке и обновлении, ограничение использования сторонних библиотек);
         - использование доверенного пути/канала передачи данных;
         - требования доверия в соответствии с оценочным уровень доверия 4 (ОУД4) по ГОСТ Р ИСО/МЭК 15408-3, усиленный дополнительными компонентами.

    Когда на рынке появится сертифицированное прикладное программное обеспечение автоматизированных систем и приложений финансовых организаций, прогнозировать довольно сложно. Вероятно, процесс сертификации может занять год и более.

    И ещё три важных замечания

    • Банк России прямо не устанавливает, каким образом в конкретной финансовой организации будут реализовываться меры защиты информации и какие конкретные технические решения будут применяться. Финансовые организации сами выбирают способ их реализации.
    • Перечисленные нормативные акты допускают применение несертифицированных средств защиты. Выбор применяемых средств защиты информации (сертифицированных или несертифицированных) должен производиться в зависимости от технической возможности (например, отсутствие их на рынке) и экономической целесообразности (высокая стоимость) их применения.
    • Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, стандартами, правилами профессиональной деятельности, и (или) правилами платежной системы. В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности.

    Возврат к списку