683-П. Изменения в Положении Банка России и как их соблюдать

Еще с июня 2019 года, пару лет назад, вступило в действие Положение ЦБ РФ № 683-П, оно пришло на смену неактуального Положения 382-П. В конце прошлого года, то есть 01.10.2022, начали действовать новые требования, о которых многие забыли или же все еще не поняли, что они из себя представляют. В этой статье мы постараемся ответить на самые частые вопросы и объяснить как суть новых изменений, так и смысл Положения 683-П.

Основные требования Положения 683-П (382-П) и что оно из себя представляет

Положение 683-П направлено на обеспечение ИБ в кредитной организации и обеспечении контроля защиты информации в ней с помощью специальных правил. Вот некоторые из них:

  • Одним из ключевых нововведений является требование проведения оценки соответствия информационной системы стандарту ГОСТ 57580. Это способствует более глубокому и системному анализу информационной безопасности.

  • Положение устанавливает обязательства кредитных организаций по обеспечению защиты информации. Это включает в себя физическую защиту серверов и данных, криптографическое обеспечение, а также контроль доступа к информации.
  • Кредитные организации должны разработать и внедрить процедуры по управлению инцидентами информационной безопасности. Это помогает реагировать на угрозы и атаки в режиме реального времени.
  • Важным аспектом является обучение сотрудников в области информационной безопасности и соблюдение профессиональной квалификации.
  • Положение устанавливает четкий уровень ответственности руководства кредитных организаций за обеспечение информационной безопасности.

Требования Положения № 683-П (382-П) к защите денежных средств от несанкционированного перевода

В Положении 683-П есть отдельные требования, которые должны защитить денежные средства от незаконного перевода и использования. Вот основные из них:

1. Проведение пентеста (тестирования на проникновение)

Что это такое: пентест — это процесс контролируемого взлома или тестирования системы, приложения, сети или другой информационной системы с целью выявления уязвимостей.

Почему это необходимо: пентест позволяет выявить слабые места в системе, которые могут быть использованы злоумышленниками для несанкционированного доступа или атаки. Регулярное проведение пентестов помогает обнаруживать и устранять уязвимости, обеспечивая высокий уровень безопасности.

2. Использование сертифицированного программного обеспечения

Что это такое: это программное обеспечение, которое прошло сертификацию в соответствии с определенными стандартами безопасности (ФСТЭК РФ № 76, или оценку соответствия по ОУД 4).

Почему это необходимо: сертифицированное ПО обеспечивает высокий уровень безопасности, так как прошло проверку на соответствие стандартам. Использование такого ПО снижает риски для информационной системы.

3. Гарантирование конфиденциальности и целостности электронных сообщений

Что это такое: это означает, что электронные сообщения должны оставаться конфиденциальными (недоступными для сторонних) и не изменяться без разрешения.

Почему это необходимо: гарантирование конфиденциальности и целостности сообщений защищает от утечек информации и несанкционированных модификаций, что является критическим для кредитных организаций.

4. Использование технологий для защиты информации

Что это такое: это включает в себя меры и технологии для предотвращения стороннего доступа к конфиденциальным данным.

Почему это необходимо: это важно для предотвращения утечек и несанкционированного доступа к информации, которая должна оставаться внутри организации.

5. Предоставление рекомендаций клиентам по защите информации

Что это такое: кредитные организации должны давать клиентам советы по безопасности информации.

Почему это необходимо: это помогает клиентам защитить свою информацию и снизить риски несанкционированного доступа к своим счетам и данным.

6. Установление процедур работы с инцидентами защиты информации

Что это такое: это процессы и процедуры для реагирования на угрозы и атаки на информационную систему.

Почему это необходимо: быстрое реагирование на инциденты помогает минимизировать ущерб от атак и восстанавливать нормальную работу системы.

7. Оценка соответствия уровню защиты информации:

Что это такое: это процесс проверки, соответствует ли уровень защиты информации установленным стандартам.

Почему это необходимо: это гарантирует, что организация соблюдает стандарты безопасности и обеспечивает защиту на высоком уровне.

8. Обеспечение уровня соответствия требованиям в зависимости от времени

Что это такое: кредитные организации должны обеспечивать определенный уровень соответствия требованиям, который устанавливается в зависимости от времени (не ниже третьего до 31.12.2022 года и не ниже четвертого с 01.01.2023 года).

Почему это необходимо: это обеспечивает адаптацию к изменяющимся угрозам и требованиям безопасности в постепенном режиме.

Что такое ГОСТ Р 57580, упомянутый в Положении № 683-П (382-П)?

ГОСТ Р 57580 — это российский государственный стандарт, который устанавливает требования к системам управления информационной безопасностью (СУИБ) в организациях. Этот стандарт был введен с целью помочь организациям обеспечить надежную защиту своей информации и соблюдение стандартов безопасности в контексте современных угроз информационной безопасности.

Стандарт определяет цели и задачи СУИБ, такие как обеспечение конфиденциальности, целостности и доступности информации, а также управление рисками и соблюдение законодательства. ГОСТ Р 57580 описывает ключевые принципы, которые организации должны соблюдать при управлении информационной безопасностью.

Стандарт устанавливает общую структуру СУИБ, включая роли и обязанности персонала, процессы и процедуры, а также мониторинг и оценку уровня безопасности. ГОСТ Р 57580 требует проведения оценки рисков информационной безопасности, чтобы выявить потенциальные угрозы и уязвимости, а также разработки мер по их снижению и управлению. Стандарт предписывает установление процедур и механизмов управления инцидентами информационной безопасности для реагирования на нарушения безопасности и атаки.

Стандарт также регулирует оценку соответствия системы управления информационной безопасностью установленным требованиям и стандартам.

На какие организации распространяется оценка по ГОСТ Р 57580 согласно Положению № 683-П?

Согласно Положению № 683-П, оценка соответствия ГОСТ Р 57580 применяется к различным категориям кредитных организаций в зависимости от их системной значимости. Уровень защиты информации зависит от системной значимости кредитной организации и ее роли в финансовой системе, при этом более системно значимые организации подвергаются более строгим требованиям по безопасности.

Вот как разделена эта оценка по уровням защищенности:

Усиленный (первый) уровень защищенности применяется к следующим категориям кредитных организаций:

  • Значимые организации, которые оказывают влияние на работу финансовой системы: это организации, которые играют ключевую роль в финансовой системе и могут оказывать серьезное воздействие на экономику страны. Они обязаны соблюдать наивысшие стандарты информационной безопасности.
  • Организации, которые являются операторами для системно-значимых: эти организации управляют важными элементами платежных систем и также подпадают под высшие требования по безопасности.
  • Кредитные организации, значимые на рынке платежных услуг: это организации, играющие важную роль в области платежей и финансовых услуг, и они потенциально могут оказывать влияние на рынок.

Стандартный (второй) уровень защищенности применяется ко всем остальным кредитным организациям, которые не относятся к усиленному уровню защищенности. Этот уровень требует более общих мер безопасности, но также подразумевает соблюдение ГОСТ Р 57580 и других стандартов безопасности.

Какие категории информации организации обязаны защищать в соответствии с Положением Банка России № 683-П?

Информация, которую необходимо защищать, связано с банковскими операциями и переводами денежных средств, что соответствует основной сути Положения. Вот некоторые из категорий:

  • Электронная почта, чаты, и другие формы электронного обмена сообщениями могут содержать конфиденциальную информацию и требуют защиты от несанкционированного доступа и воздействия.
  • Криптографические ключи используются для шифрования и расшифрования данных. Их утечка или компрометация может привести к нарушению конфиденциальности данных.
  • Данные, используемые для идентификации и аутентификации клиентов при проведении банковских операций, такие как логины, пароли, пин-коды и другие формы идентификации.
  • Данные о банковских операциях, включая суммы, даты и детали транзакций, также требуют защиты, чтобы предотвратить несанкционированный доступ или манипуляции.

Изменения в Положении № 683-П от Центрального Банка для финансовых организаций

В октябре 2022 года стали необходимыми для выполнения изменения в Положении 683-П, вот основные из них:

  • Организации должны внимательно проверять ПО, которое они собираются использовать. ПО должно либо обладать сертификацией ФСТЭК, что является достаточно дорогой процедурой, либо пройти оценку соответствия по ОУД4, при этом для системно-значимых организаций уровень сертификации должен быть не ниже четвертого, тогда как всем остальным позволителен уровень не ниже пятого.
  • Добавлены конкретные правила в защиту целостности электронных сообщений, включая некоторые требования об электронной подписи, криптографической защите информации и так далее.
  • Дополнительные меры защиты идентификации должны применяться организациями повсеместно, к примеру, они должны требовать ввод одноразовых кодов, чтобы подтвердить личность и правильность совершаемой операции, проверять личность клиента с помощью мобильных номеров и так далее.
  • Клиенты теперь должны иметь возможность установить ограничения на совершение операций со средствами.
  • Были приведены конкретные списки инцидентов ИБ, о которых необходимо уведомлять регулятора. Также добавлена общая информация по инцидентам: как реагировать, информировать, проводить мероприятия по укреплению защиты и так далее.
Реклама. ПАО "НБД-Банк". ИНН: 5200000222. erid: 2SDnjc1g1Jp
Реклама. ООО Первоисточник. ИНН 4345507889. erid: Kra23a1p3
Реклама. ООО Первоисточник. ИНН 4345507889. erid: Kra23xqiG
Реклама. ООО Первоисточник. ИНН 4345507889. erid: Kra23Yhhn