Обзор требований к ИБ в финансовом секторе. Часть 1. Положение Банка России № 382-П

Обзор требований к ИБ в финансовом секторе. Часть 1. Положение Банка России № 382-П

Все мы наблюдаем, что с течением времени усиливается деятельность Банка России в отношении ИБ банковского сектора. Почти каждый год выходят либо новые положения, указания, ГОСТы, либо вносятся изменения в уже существующие нормы. Конечно же, регуляторным требованиям нужно соответствовать. И конечно же, внедряя меря, процессы и технические решения, вы не только только закрываете регуляторные требования, но и повышаете уровень своей информационной безопасности.

Именно этой теме в разрезе проведения оценки соответствия был посвящён вебинар от PwC «Требования к ИБ в финансовом секторе». По словам менеджера отдела анализа и контроля рисков PwC Россия Юрия Веселова, проведение оценки соответствия выявляет наличие четырёх основных проблем. Первая — это сложности с интерпретацией, формулировкой регуляторных норм, поэтому разные организации понимают по-разному эти нормы и затрудняются однозначно их интерпретировать. Вторая — это отсутствие в системах возможности реализации требований ИБ. Третья — недостаточно полно и конкретно описаны процессы. И четвёртая — при разработке мер защиты не всегда учитываются регуляторные требования и рекомендации.

В данное время существует три основных положения Банка России, которые распространяются на кредитные организации с целью обеспечения ИБ в финансовом секторе. Самое первое положение Банка России, Положение 382-П, было выпущено ещё в 2012 году и на данный момент содержит 171 требование, которые распространяются не только на  операторов по переводу денежных средств банков, но также на других участников по переводу денежных средств. В выпущенных в 2018 году изменениях к данному Положению говорится, что для проведения оценки соответствия требуется привлечение внешней организации.

В прошлом году Банком России были выпущены ещё два Положения — 672-П и 863-П. Они уже действуют и их необходимо выполнять. Положение 672-П действует на участников платёжной системы Банка России, то есть в основном на кредитные организации. Положение 683-П — только на кредитные организации. В данных документах пока нет требований по привлечению внешней организации для проведения оценки соответствия.

Все эти положения носят обязательный статус, и все кредитные организации должны их выполнять. Кроме того эти положения вводят и дополнительные требования, например, обеспечение соответствия ГОСТ Р 57580, ГОСТ Р 15408 и проведение анализа уязвимостей.

Положение Банка России № 382-П и изменения к нему

Положение Банка России № 382-П было выпущено в 2012 году, в 2018 году к нему были также выпущено указание с новыми требованиями. Что это за новые требования? Основные изменения состоят в том, что кредитным организациям необходимо проводить ежегодное тестирование на проникновение и анализ уязвимостей ИБ. Также оценка соответствия должна проводиться раз в два года с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Ещё одно из новых требований — информирование Банка России о выявленных инцидентах и планируемых мероприятиях по раскрытию инцидентов. «Таким образом, если произошёл инцидент и банк хочет опубликовать пресс-релиз либо какую-либо информацию на своём сайте или других источниках, ему необходимо предварительно уведомить об этом Банк России. Здесь не нужно получать какого-то разрешения, но уведомление должно быть отправлено», — пояснил старший специалист отдела анализа и контроля рисков PwC Россия Олег Валеев.

Также с 1 января 2020 года вступили в силу и два других требования: применение сертифицированного прикладного ПО или ПО, в отношении которого проведён анализ уязвимостей уровня ОУД 4. По мнению Олега Валеева, вопрос сертификации ПО остаточно сложный, поэтому, скорее всего, практически все кредитные организации выберут путь проведения оценки и анализа уязвимостей по уровню ОУД 4. Однако, со слов эксперта, в настоящее время «Профиль защиты» ОУД 4 не утверждён, но уже прошло голосование в Техническом комитете №122, поэтому есть вероятность, что в ближайшее время документ будет выпущен.

Ещё одно из новых требований — реализация раздельных технологий подготовки электронных сообщений по поводу денежных средств и передаче подтверждений на перевод денежных средств или реализация ограничений по параметрам операций. «Если остановиться на этом требовании, то оно не такое и новое, потому что ранее, в других версиях 382-П, реализация ограничений по параметрам операций уже была введена. И те кредитные организации, которые добросовестно исполняли этот пункт, для них он не будет новым», — добавил Олег Валеев.

Он также сказал, что в настоящее время опубликован новый проект Положения Банка России (однако официально он ещё не утвержден), в котором все существующие сейчас требования практически исчезнут и будут введены требования ГОСТ Р 57580.

Продолжение следует...