Банк России: системные изменения в подходах к защите информации в финансовых организациях
25.09.2019
Булаев Михаил Александрович, ведущий консультант-аналитик
В 2019 году Центральный банк продолжил систематизировать и совершенствовать подходы к защите информации в финансовых организациях. В первую очередь это обусловлено необходимостью обеспечения устойчивого развития финансового рынка в современных условиях, в том числе и вследствие постоянно возрастающих потерь от киберпреступности, возникающих за счет несанкционированных операций, совершаемых с использованием платежных карт.
Реализуя свои полномочия, в 2019 году Банк издал ряд нормативных актов, к основным из которых относятся:
- Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России», принятое на основании полномочий, предоставленных ЦБ РФ п. 19 ч.1 ст. 20 и ч. 9 ст. 20 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;
- Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» и
- Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций», принятые на основании ст. 57.4 ст. 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Согласно утвержденной ЦБ РФ концепции на основании этих нормативных актов предусматривается перевод финансовой сферы на единые требования к защите информации, установленные национальными стандартами:
- ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (введен в действие с 1 января 2018 года);
- ГОСТ Р 57580.2-2018. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия (введен в действие с 1 сентября 2018 года).
Новые требования, обязательные для финансовых организаций, можно разделить на четыре группы:
- Требования к объектам информационной инфраструктуры:
- необходимость обеспечения одного из уровней защиты информации по ГОСТ Р 57580.1-2017;
- необходимость тестирования ИС на проникновение и анализа уязвимостей;
- необходимость поведения оценки соответствия уровня защиты информации по методологии ГОСТ 57580.2-2018.
- Требования к технологии обработки защищаемой информации:
- требования к подписанию электронных сообщений;
- требования к технологическим участкам;
- протоколирование на технологических участках;
- хранение защищаемой информации.
- Требования к прикладному программному обеспечению:
- необходимость применения прикладного программного обеспечения автоматизированных систем и приложений, распространяемых своим клиентам, сертифицированных ФСТЭК на соответствие требованиям по безопасности информации;
- необходимость проведения анализа уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4.
- Иные требования:
- необходимость применения СКЗИ в соответствии с федеральными законами, нормативными актами ФСБ России;
- требования к регистрация инцидентов защиты информации;
- требование информирования Банка России об инцидентах;
- необходимость выдачи рекомендаций для клиентов по защите информации от воздействия вредоносного кода.
Некоторые комментарии к новым требованиям
Принятые Положения Банка России устанавливают обязательность применения национальных стандартов ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 для всех организаций финансовой сферы, находящихся под регулированием ЦБ:
- организаций платежной системы Банка России;
- кредитных организаций;
- некредитных финансовых организаций.
Национальный стандарт ГОСТ Р 57580.1 устанавливает для финансовых организаций три унифицированных уровня защиты информации:
- уровень 3 - минимальный;
- уровень 2 - стандартный;
- уровень 1 - усиленный.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.
Требуемый уровень защиты информации для конкретной финансовой организации устанавливается соответствующими Положением Банка России - 672-П, 683-П и 684-П в зависимости от:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- объема финансовых операций; ‒ размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Кроме всего прочего, стандарт ГОСТ Р 57580.1 позволяет унифицировать и упорядочить подход к реализации в финансовых организациях требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных финансовой организации, так:
- для обеспечения соответствия четвертому уровню защищенности персональных данных рекомендуется использовать требования, установленные ГОСТ Р 57580.1 для уровня 3 - минимальный;
- для обеспечения соответствия третьему и второму уровням защищенности персональных данных рекомендуется использовать требования, установленные стандартом для уровня 2 - стандартный;
- для обеспечения соответствия первому уровню защищенности персональных данных рекомендуется использовать требования, установленные настоящим стандартом для уровня 1 - усиленный.
Одно из нововведений, вступающее в силу с января 2021 года, устанавливает необходимость для некредитных финансовых организаций, реализующих усиленный и стандартный уровни защиты информации, обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых своим клиентам:
а). сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей,
или
б). в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 (по ГОСТ Р ИСО/МЭК 15408-3-2013).
К моменту опубликования этого материала уже подготовлен проект Методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», которым должны пользоваться сертификационные лаборатории и органы по сертификации средств защиты информации, аккредитованные в системе сертификации средств защиты информации ФСТЭК России.
Этот профиль определяет требования безопасности к прикладному программному обеспечению автоматизированных систем и приложений финансовых организаций, предназначенных для, осуществления финансовых операций, банковских операций, перевода денежных средств, а также программному обеспечению.
Функциональные требования безопасности, включенные в профиль, предусматривают:
- защиту пользовательских данных (ограничение доступа к аппаратным ресурсам платформы, хранилищам чувствительной информации, сетевым коммуникациям);
- управление безопасностью (использование механизмов конфигурации, определение параметров конфигурации по умолчанию, назначение функций управления);
- защиту персональной идентификационной информации;
- защиту функций безопасности (ограничение использования поддерживаемых сервисов, противодействие использованию уязвимостей безопасности, обеспечение целостности при установке и обновлении, ограничение использования сторонних библиотек);
- использование доверенного пути/канала передачи данных;
- требования доверия в соответствии с оценочным уровень доверия 4 (ОУД4) по ГОСТ Р ИСО/МЭК 15408-3, усиленный дополнительными компонентами.
Когда на рынке появится сертифицированное прикладное программное обеспечение автоматизированных систем и приложений финансовых организаций, прогнозировать довольно сложно. Вероятно, процесс сертификации может занять год и более.
И ещё три важных замечания
- Банк России прямо не устанавливает, каким образом в конкретной финансовой организации будут реализовываться меры защиты информации и какие конкретные технические решения будут применяться. Финансовые организации сами выбирают способ их реализации.
- Перечисленные нормативные акты допускают применение несертифицированных средств защиты. Выбор применяемых средств защиты информации (сертифицированных или несертифицированных) должен производиться в зависимости от технической возможности (например, отсутствие их на рынке) и экономической целесообразности (высокая стоимость) их применения.
- Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, стандартами, правилами профессиональной деятельности, и (или) правилами платежной системы. В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности.