Еще с июня 2019 года, пару лет назад, вступило в действие Положение ЦБ РФ № 683-П, оно пришло на смену неактуального Положения 382-П. В конце прошлого года, то есть 01.10.2022, начали действовать новые требования, о которых многие забыли или же все еще не поняли, что они из себя представляют. В этой статье мы постараемся ответить на самые частые вопросы и объяснить как суть новых изменений, так и смысл Положения 683-П.
Основные требования Положения 683-П (382-П) и что оно из себя представляет
Положение 683-П направлено на обеспечение ИБ в кредитной организации и обеспечении контроля защиты информации в ней с помощью специальных правил. Вот некоторые из них:
-
Одним из ключевых нововведений является требование проведения оценки соответствия информационной системы стандарту ГОСТ 57580. Это способствует более глубокому и системному анализу информационной безопасности.
- Положение устанавливает обязательства кредитных организаций по обеспечению защиты информации. Это включает в себя физическую защиту серверов и данных, криптографическое обеспечение, а также контроль доступа к информации.
- Кредитные организации должны разработать и внедрить процедуры по управлению инцидентами информационной безопасности. Это помогает реагировать на угрозы и атаки в режиме реального времени.
- Важным аспектом является обучение сотрудников в области информационной безопасности и соблюдение профессиональной квалификации.
- Положение устанавливает четкий уровень ответственности руководства кредитных организаций за обеспечение информационной безопасности.
Требования Положения № 683-П (382-П) к защите денежных средств от несанкционированного перевода
В Положении 683-П есть отдельные требования, которые должны защитить денежные средства от незаконного перевода и использования. Вот основные из них:
1. Проведение пентеста (тестирования на проникновение)
Что это такое: пентест — это процесс контролируемого взлома или тестирования системы, приложения, сети или другой информационной системы с целью выявления уязвимостей.
Почему это необходимо: пентест позволяет выявить слабые места в системе, которые могут быть использованы злоумышленниками для несанкционированного доступа или атаки. Регулярное проведение пентестов помогает обнаруживать и устранять уязвимости, обеспечивая высокий уровень безопасности.
2. Использование сертифицированного программного обеспечения
Что это такое: это программное обеспечение, которое прошло сертификацию в соответствии с определенными стандартами безопасности (ФСТЭК РФ № 76, или оценку соответствия по ОУД 4).
Почему это необходимо: сертифицированное ПО обеспечивает высокий уровень безопасности, так как прошло проверку на соответствие стандартам. Использование такого ПО снижает риски для информационной системы.
3. Гарантирование конфиденциальности и целостности электронных сообщений
Что это такое: это означает, что электронные сообщения должны оставаться конфиденциальными (недоступными для сторонних) и не изменяться без разрешения.
Почему это необходимо: гарантирование конфиденциальности и целостности сообщений защищает от утечек информации и несанкционированных модификаций, что является критическим для кредитных организаций.
4. Использование технологий для защиты информации
Что это такое: это включает в себя меры и технологии для предотвращения стороннего доступа к конфиденциальным данным.
Почему это необходимо: это важно для предотвращения утечек и несанкционированного доступа к информации, которая должна оставаться внутри организации.
5. Предоставление рекомендаций клиентам по защите информации
Что это такое: кредитные организации должны давать клиентам советы по безопасности информации.
Почему это необходимо: это помогает клиентам защитить свою информацию и снизить риски несанкционированного доступа к своим счетам и данным.
6. Установление процедур работы с инцидентами защиты информации
Что это такое: это процессы и процедуры для реагирования на угрозы и атаки на информационную систему.
Почему это необходимо: быстрое реагирование на инциденты помогает минимизировать ущерб от атак и восстанавливать нормальную работу системы.
7. Оценка соответствия уровню защиты информации:
Что это такое: это процесс проверки, соответствует ли уровень защиты информации установленным стандартам.
Почему это необходимо: это гарантирует, что организация соблюдает стандарты безопасности и обеспечивает защиту на высоком уровне.
8. Обеспечение уровня соответствия требованиям в зависимости от времени
Что это такое: кредитные организации должны обеспечивать определенный уровень соответствия требованиям, который устанавливается в зависимости от времени (не ниже третьего до 31.12.2022 года и не ниже четвертого с 01.01.2023 года).
Почему это необходимо: это обеспечивает адаптацию к изменяющимся угрозам и требованиям безопасности в постепенном режиме.
Что такое ГОСТ Р 57580, упомянутый в Положении № 683-П (382-П)?
ГОСТ Р 57580 — это российский государственный стандарт, который устанавливает требования к системам управления информационной безопасностью (СУИБ) в организациях. Этот стандарт был введен с целью помочь организациям обеспечить надежную защиту своей информации и соблюдение стандартов безопасности в контексте современных угроз информационной безопасности.
Стандарт определяет цели и задачи СУИБ, такие как обеспечение конфиденциальности, целостности и доступности информации, а также управление рисками и соблюдение законодательства. ГОСТ Р 57580 описывает ключевые принципы, которые организации должны соблюдать при управлении информационной безопасностью.
Стандарт устанавливает общую структуру СУИБ, включая роли и обязанности персонала, процессы и процедуры, а также мониторинг и оценку уровня безопасности. ГОСТ Р 57580 требует проведения оценки рисков информационной безопасности, чтобы выявить потенциальные угрозы и уязвимости, а также разработки мер по их снижению и управлению. Стандарт предписывает установление процедур и механизмов управления инцидентами информационной безопасности для реагирования на нарушения безопасности и атаки.
Стандарт также регулирует оценку соответствия системы управления информационной безопасностью установленным требованиям и стандартам.
На какие организации распространяется оценка по ГОСТ Р 57580 согласно Положению № 683-П?
Согласно Положению № 683-П, оценка соответствия ГОСТ Р 57580 применяется к различным категориям кредитных организаций в зависимости от их системной значимости. Уровень защиты информации зависит от системной значимости кредитной организации и ее роли в финансовой системе, при этом более системно значимые организации подвергаются более строгим требованиям по безопасности.
Вот как разделена эта оценка по уровням защищенности:
Усиленный (первый) уровень защищенности применяется к следующим категориям кредитных организаций:
- Значимые организации, которые оказывают влияние на работу финансовой системы: это организации, которые играют ключевую роль в финансовой системе и могут оказывать серьезное воздействие на экономику страны. Они обязаны соблюдать наивысшие стандарты информационной безопасности.
- Организации, которые являются операторами для системно-значимых: эти организации управляют важными элементами платежных систем и также подпадают под высшие требования по безопасности.
- Кредитные организации, значимые на рынке платежных услуг: это организации, играющие важную роль в области платежей и финансовых услуг, и они потенциально могут оказывать влияние на рынок.
Стандартный (второй) уровень защищенности применяется ко всем остальным кредитным организациям, которые не относятся к усиленному уровню защищенности. Этот уровень требует более общих мер безопасности, но также подразумевает соблюдение ГОСТ Р 57580 и других стандартов безопасности.
Какие категории информации организации обязаны защищать в соответствии с Положением Банка России № 683-П?
Информация, которую необходимо защищать, связано с банковскими операциями и переводами денежных средств, что соответствует основной сути Положения. Вот некоторые из категорий:
- Электронная почта, чаты, и другие формы электронного обмена сообщениями могут содержать конфиденциальную информацию и требуют защиты от несанкционированного доступа и воздействия.
- Криптографические ключи используются для шифрования и расшифрования данных. Их утечка или компрометация может привести к нарушению конфиденциальности данных.
- Данные, используемые для идентификации и аутентификации клиентов при проведении банковских операций, такие как логины, пароли, пин-коды и другие формы идентификации.
- Данные о банковских операциях, включая суммы, даты и детали транзакций, также требуют защиты, чтобы предотвратить несанкционированный доступ или манипуляции.
Изменения в Положении № 683-П от Центрального Банка для финансовых организаций
В октябре 2022 года стали необходимыми для выполнения изменения в Положении 683-П, вот основные из них:
- Организации должны внимательно проверять ПО, которое они собираются использовать. ПО должно либо обладать сертификацией ФСТЭК, что является достаточно дорогой процедурой, либо пройти оценку соответствия по ОУД4, при этом для системно-значимых организаций уровень сертификации должен быть не ниже четвертого, тогда как всем остальным позволителен уровень не ниже пятого.
- Добавлены конкретные правила в защиту целостности электронных сообщений, включая некоторые требования об электронной подписи, криптографической защите информации и так далее.
- Дополнительные меры защиты идентификации должны применяться организациями повсеместно, к примеру, они должны требовать ввод одноразовых кодов, чтобы подтвердить личность и правильность совершаемой операции, проверять личность клиента с помощью мобильных номеров и так далее.
- Клиенты теперь должны иметь возможность установить ограничения на совершение операций со средствами.
- Были приведены конкретные списки инцидентов ИБ, о которых необходимо уведомлять регулятора. Также добавлена общая информация по инцидентам: как реагировать, информировать, проводить мероприятия по укреплению защиты и так далее.
