Skip to content Skip to footer
Поиск

Загрузка результатов

Соответствие требованиям информационной безопасности в финансовых организациях

Соответствие требованиям информационной безопасности в финансовых организациях

В современном мире все больше финансовых сервисов и услуг переходят в цифровой формат. Растет объем операций с использованием электронных средств платежа. Вместе с этим растет и активность злоумышленников. С целью обеспечения защиты финансовых сервисов Банк России разрабатывает требования по информационной безопасности и усиливает их с каждым годом.

Банк России устанавливает требования по информационной безопасности для финансовых организаций в положениях, информационных письмах, методических рекомендациях, стандартах и других нормативных документов. Основные и обязательные требования в области защиты информации для финансовых организаций описаны в Положениях Банка России. На данный момент Банком России утверждены Положения 382-П (719-П), 683-П, 747-П, 757-П.

 

К основным требованиям Положений, которые обязательны для исполнения, можно отнести:

  • Требования к проведению оценки соответствия по ГОСТ Р 57580.1-2017 сторонней организацией, имеющей лицензию на техническую защиту конфиденциальной информации;
  • Требования по ежегодному тестированию на проникновение и анализу уязвимостей информационной инфраструктуры;
  • Требования по безопасности прикладного программного обеспечения (ГОСТ Р ИСО/МЭК 15408-3-2013);
  • Требования по регистрации событий защиты информации, действий работников и клиентов организации;
  • Требования к применению средств криптографической защиты информации и электронной подписи.
sootvetstvie image

Требования для финансовых организаций:

Положение Банка России 382-П действует с 2012 года и утратит силу с 31 декабря 2021 года.

Положение 382-П обязаны соблюдать:

  • Банковские организации
  • Операторы национальных и международных платежных систем
  • Платежные агенты/субагенты/платежные шлюзы
  • Расчетные центры, платежные клиринговые центры, операционные центры.

Одним из основных способов определения уровня информационной безопасности в финансовых организациях является оценка соответствия Положению 382-П, которая должна проводиться на регулярной основе раз в 2 года. Если последняя оценка проведена до 31 декабря 2019 года, то требуется провести оценку соответствия в период действия Положения 382-П.

Положение Банка России 683-П от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента. Положение 683-П обязаны соблюдать все кредитные организации.

В соответствии с Положением 683-П должна защищаться следующая информация:

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций;
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
  • Информация об осуществленных банковских операциях;
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций.

В Положении 683-П содержатся ссылки на иные требования и стандарты, которые необходимо выполнять для обеспечения защиты информации. Дополнительно для соответствия всем требованиям 683-П необходимо обеспечивать защиту по ГОСТ Р 57580, проводить тестирование на проникновение, выполнять анализ исходного кода по ГОСТ 15408 или проводить сертификацию ПО.

23 сентября 2020 года Минюст зарегистрировал новое Положение Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” (Далее - Положение 719-П). Положение 719-П приходит на смену Положению Банка России от 9 июня 2012 г. № 382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” (Далее - Положение 382-П).

Из основных требований Положения 719-П можно выделить следующие:

1) Была расширена область действия Положения 719-П. К субъектам платежной системы:

  • Операторы по переводу денежных средств (ОПДС);
  • Операторы услуг платежной инфраструктуры (ОУПИ);
  • Операторы платежных систем (ОПС);
  • Банковские платежные агенты (субагенты) (БПА).

Добавились новые участники:

  • Операторы услуг информационного обмена (ОУИО);
  • Поставщики платежных приложений (ППП).

2) Установлено обязательное соответствие стандарту ГОСТ Р 57580.1-2017 для всех участников кроме ОПС.

3) Добавлена необходимость для ОПДС ежеквартального вычислять значение показателя, характеризующего уровень переводов денежных средств без согласия клиента (не более 0,005 процента).

4) Добавлена обязанность для ОПДС подтверждать принадлежность клиенту адреса электронной почты, на который ОПДС направляет уведомления о совершенных переводах денежных средств.

5) В случае если защищаемая информация содержит персональные данные их защита должна осуществляться в соответствии с ФЗ №152 и Приказом ФСТЭК №21.

6) Добавлено требование о применения усиленной электронной подписи при взаимодействии ОПДС, БПА, ОУИО и ОУПИ.

7) Добавлены приложения 1 и 2, которые содержат дополнительные технологические меры защиты для БПА, ОУИО и ОУПИ (Приложение 1), а также порядок их применения на технологических участках (Приложение 2)

Впервые Банк России в своих Положениях по защите информации определил ответственность за невыполнение требований защиты информации. Меры, которые может принимать Банк России в случае неисполнения требований Положения 719-П, указаны в п.7.3 Положения и будут приниматься в порядке, установленном:

  • частью двенадцатой ст.74 86-ФЗ – для являющихся кредитными организациями ОПС, ОУПИ и ОПДС;
  • частью четвертой ст.32 161-ФЗ – для не являющихся кредитными организациями ОПС и ОУПИ

3 февраля 2021 года было опубликовано новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». До этого момента защиту информации в платежной системе регулировало Положение 672-П. При выходе Положения 747-П предыдущее утратило свою силу.

Требования Положения 747-П распространяются на прямых участников платежной системы Банка России, имеющих доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств в электронном виде, являющихся кредитными организациями (их филиалами), а также на операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей, оператора услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей.

Как и в Положении 672-П, в новом документе содержится требование проведения оценки соответствия с необходимостью реализации стандартного уровня защиты информации по ГОСТ Р 57580.1-2017. До 1 июля 2021 года необходимо обеспечить уровень соответствия ГОСТу не ниже третьего, а с 1 января 2023 года – не ниже четвертого.

1 июля 2021 года вступило в силу новое Положение № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информацию при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». С вводом нового документа Положение 684-П утрачивает свою силу.

В Положении 757-П, как и в других Положениях Банка России по информационной безопасности, определена информация, которая подлежит защите:

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении финансовых операций в электронном виде, формируемые работниками некредитных организаций и (или) клиентами некредитных организаций;
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении финансовых операций;
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
  • Информация об осуществленных финансовых операциях;
  • Персональные данные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Положение 757-П устанавливает для финансовых организаций требования по обеспечению защиты информации мерами ГОСТ 57580. Основным изменением в новом положении является расширение перечня некредитных финансовых организаций, выполняющих требования усиленного и стандартного уровня защиты информации: к усиленному уровню защиты добавились регистраторы финансовых транзакций, а к среднему операторы инвестиционной платформы, операторы информационных систем, выпускающие цифровые финансовые активы, а также операторы обмена цифровых финансовых активов . В отличии от утратившего силу Положения 684-П, в новом документе дополнительно предъявляются требования к организациям, выполняющим минимальный уровень защиты информации.

С 1 января 2021 года информационная безопасность финансовых организаций должна соответствовать требованиям стандарта ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Ссылки на выполнение требований стандарта содержатся в положениях Банка России 683-П, 684-П, 719-П, 747-П и приказе Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации № 321. Финансовые организации должны обеспечить необходимый уровень защиты, который установлен в зависимости от типа финансовой организации и ее значимости.

Оценка соответствия по ГОСТ Р 57580

Процесс по проведению оценки проводится в соответствии с методологией, описанной в стандарте ГОСТ 57580.2-2018. Периодичность проведения оценки устанавливается Положениями Банка России. Ключевыми особенностями является выделение трех направлений оценки:

  • Выбор организационных и технических мер защиты информации
  • Оценка полноты реализации организационных и технических мер защиты информации
  • Оценка обеспечения защиты информации на этапах жизненного цикла автоматизированных систем.

При проведении оценки проверяемой организации необходимо предоставить свидетельства для проверяющей организации для подтверждения реализации мер защиты. В качестве основных свидетельств, которые проверяющие могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений, параметры конфигураций и настроек технических средств, а также результаты анализа уязвимостей и тестирования на проникновение.

По результатам оценки соответствия проверяющая организация должна подготовить отчет, требования к которому описаны в 8 разделе ГОСТ Р 57580.2-2018. Также отчет должен содержать перечень предоставленных свидетельств, перечень выявленных нарушений защиты информации, а также рекомендации по совершенствованию защиты информации и устранению выявленных нарушений.

 

Как PwC может помочь?

sootvetstvie image

Команда PwC по кибербезопасности финансовых организаций выполняет проекты по обеспечению информационной безопасности для российских и зарубежных финансовых компаний. Мы оказываем следующие услуги в области информационной безопасности в финансовых организациях:

  • Оценка соответствия требованиям Положений Банка России и ГОСТ Р 57580;
  • Разработка модели угроз и нарушителя для определения актуальности мер ГОСТ Р 57580;
  • Разработка дорожной карты по приведению в соответствие требованиям Положений Банка России и ГОСТ Р 57580;
  • Консультации по трактованию требований положений и стандартов по информационной безопасности;
  • Разработка внутренних документов, удовлетворяющих требованиям положений и стандартов.

Контакты

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 967 6153

Мы в социальных сетях