Банковским учреждениям доверяются огромные объемы конфиденциальных данных, начиная от личной информации и заканчивая финансовыми транзакциями. Переход к цифровому банкингу и онлайн-транзакциям еще больше повысил важность надежных мер ИБ. Кибератаки и утечка данных представляют значительную угрозу как для банков, так и для их клиентов.
Положение Банка России № 683-П представляет собой значительный прогресс для обеспечения ИБ и защиты конфиденциальных данных наравне с положениями 716-П, 743-П. Этот нормативный документ добавляет основы и практики, направленные на обеспечение защиты информации в российской банковской отрасли. В чем суть Положения и с чего начать подготовку или проверку соблюдения его основных пунктов? На этот непростой вопрос мы попытаемся ответить в данной статье.
Обзор Положения 683-П от ЦБ РФ
Постановление Банка России № 683-П, вступившее в силу 12 декабря 2021 года, является способом улучшения условий ИБ в российском банковском секторе. Оно охватывает различные аспекты защиты данных, при этом основное внимание уделяется банковским учреждениям, которые предоставляют финансовые услуги населению и осуществляют безналичные денежные операции с переводом средств. Основной задачей Положения 683-П является предписание строгих стандартов для кредитных организаций, работающих в РФ. Эти стандарты направлены на усиление мер ИБ для предотвращения несанкционированных денежных переводов, особенно тех, которые осуществляются без согласия клиента.
Основные пункты Постановления № 683-П:
- Политика информационной безопасности: нормативный акт предписывает банкам разрабатывать и внедрять комплексные политики ИБ. Эти политики должны охватывать классификацию информации, контроль доступа, шифрование и процедуры реагирования на инциденты. Кредитные учреждения (банки) должны проводить ряд действий для защиты той информации, которая получена на их сайтах электронных сообщений, особенно когда в качестве канала связи используется Интернет. Это означает обеспечение сохранности и конфиденциальности данных во время передачи.
- Контроль доступа и аутентификация: банки обязаны внедрять строгие механизмы контроля доступа и процессы многофакторной аутентификации. Эти меры гарантируют, что только ограниченный круг лиц сможет получить доступ к конфиденциальным данным. Кредитные учреждения обязаны устанавливать четкие правила обработки защищенных сведений, когда пользователи осуществляют операции по переводу денежных средств онлайн. Это включает в себя такие меры, как проверка личности плательщика, обмен служебными сообщениями между клиентским приложением и процессинговым центром, подтверждение прав пользователя на проведение безналичных операций, выполнение транзакции и ведение учета завершенных банковских операций. Перед обработкой безналичной транзакции банк должен убедиться, что пользователь обладает соответствующими правами для осуществления транзакции. Этот шаг предотвращает доступ неавторизованных лиц к средствам и их перевод.
- Шифрование данных: шифрование данных при передаче и в состоянии покоя является фундаментальным компонентом регламента. Это предотвращает несанкционированный доступ и защищает данные, даже если они будут перехвачены во время передачи. Защищенная связь между клиентским приложением (пользовательским интерфейсом) и процессинговым центром (где обрабатывается транзакция) имеет значение. Это гарантирует безопасную передачу данных и отсутствие несанкционированного вмешательства во время обмена ими. Если же данные, которые подлежат защите, включают персональные данные, банки обязаны принимать меры обеспечения безопасности в соответствии с 152-ФЗ, который касается защиты ПДн.
- Реагирование на инциденты и отчетность: в Положении изложены протоколы реагирования на инциденты. Банки должны незамедлительно сообщать о любых инцидентах безопасности в Банк России и принимать необходимые меры для смягчения последствий. При произведении операций, как только личность и права пользователя подтверждены, банк выполняет транзакцию и сохраняет отчет о ее завершении. Кроме того, банк обязан вести подробный учет всех завершенных банковских операций. Такое ведение учета имеет важное значение для целей аудита и подотчетности.
- Аудиты и оценки безопасности: периодические аудиты и оценки безопасности являются обязательными для оценки эффективности мер информационной безопасности. Эти аудиты помогают выявить слабые места ИБ. Финансовые учреждения, осуществляющие безналичные переводы, должны регулярно проверять свою информационную инфраструктуру на наличие потенциальных уязвимостей. Это включает в себя имитацию атак потенциальных кибератакующих, практику, известную как тест на проникновение (пентест). Пентест включает в себя моделирование кибератак для оценки безопасности систем, сетей и приложений. Это помогает банкам выявлять слабые места в своей системе защиты и принимать корректирующие меры для ее укрепления, в конечном счете снижая риск кибератак. Одним из ключевых требований Положения 683-П является необходимость для коммерческих банков проводить оценку уязвимости хотя бы раз за год. Коммерческие банки имеют возможность воспользоваться услугами по оценке от компаний, которые обладают лицензиями, выданными Федеральной службой по техническому и экспортному контролю (ФСТЭК). Эти лицензии уполномочивают эти компании обеспечивать защиту конфиденциальной информации и ее безопасности на техническом уровне. Суть заключается в том, чтобы ПО, которое используют банки, соответствовало определенному стандарту надежности. С 1 января 2020 года это требование начало свое действие. Программное обеспечение должно пройти всесторонний анализ уязвимостей, гарантирующий уровень доверия не ниже ОУД4. ПО должно быть проверено одним из двух предлагаемых методов. Оно может либо пройти сертификацию ФСТЭК для ОУД4, что означает соответствие необходимым стандартам безопасности и является дорогим удовольствием, либо пройти анализ уязвимостей в соответствии со спецификациями ОУД4.
- Внедрение СКЗИ предусмотрено различными правовыми заключениями и нормативными актами в России, включая Федеральный закон № 63, Постановление Правительства № 1119, постановление ПКЗ-2005 и приказ ФСБ Российской Федерации № 378. СКЗИ расшифровывается как «средство криптографической защиты информации». Это программное обеспечение или физическое устройство, предназначенное для шифрования документов и генерации электронных подписей для этих документов. В контексте СКЗИ все криптографические операции, включая шифрование и генерацию электронной подписи, выполняются с использованием ключа электронной подписи. Этот ключ представляет собой сложный набор символов, который невозможно выбрать вручную или легко воспроизвести. Это высокозащищенный и уникальный идентификатор, связанный с конкретным пользователем или организацией, добавляя дополнительный уровень безопасности для защиты конфиденциальной информации.
Положение 683-П актуально в первую очередь для кредитных организаций. В соответствии со статьей 1 ФЗ «О банках и банковской деятельности», кредитные организации, а точнее понятие кредитных организаций, включает в себя различные объекты, в том числе банки и небанковские кредитные организации. Небанковские кредитные организации могут заниматься конкретными банковскими операциями, такими как расчетные операции или депозитно-кредитная деятельность.
Когда нужно выполнить условия Положения 683-П от Банка России?
Регламент официально начал действие после истечения десяти дней с момента публикации в соответствии со стандартной процедурой. Таким образом, кредитные организации должны были начать исполнение предписаний регулятора с 1 июня 2019 года. К настоящему времени важно обеспечить всеобщее выполнение положений документа.
Важно отметить, что, хотя многие положения стали обязательными с 1 июня 2019 года, некоторые конкретные требования, к примеру право на то, чтобы нанять стороннюю организацию для проведения проверочных тестов, вступили в силу только с 1 января 2020 года. Это дало финансовым учреждениям дополнительное время для подготовки к этим конкретным обязательствам.
Как обеспечить соответствие Положению 683-П ЦБ РФ и ГОСТ Р 57580.2–2018?
Одним из главных требований Положения 683-П является необходимость прохождения всеми банками оценки соответствия ГОСТ Р 57580, что, по сути, является оценкой эффективности мер по защите информации, применяемых банками.
ГОСТ 57580 подразделяет защиту данных на три различных уровня: низкий, средний и повышенный. Каждый уровень представляет собой набор мер защиты, направленных на обеспечение безопасности конфиденциальных данных. Важно отметить, что ГОСТ определяет пять уровней соответствия, основанных на оценке этих мер безопасности.
1 января 2021 года — начиная с этой даты банки были обязаны соответствовать определенным стандартам в соответствии с ГОСТ Р 57580.2–2018. Минимально приемлемым уровнем был третий уровень.
Третий уровень соответствия требовал от банков достижения минимального балла в 0,70 на основе критериев, изложенных в ГОСТ Р 57580.2–2018. Проще говоря, банкам необходимо было соответствовать определенным требованиям и набрать не менее 0,70 балла, чтобы считаться соответствующими требованиям.
1 января 2023 года — в эту дату произошли изменения в требованиях. Теперь банки были обязаны повысить свой уровень соответствия требованиям до четвертого уровня.
Четвертый уровень соответствия требовал от банков достижения более высокого балла 0,85 или выше на основе тех же критериев, которые указаны в ГОСТ Р 57580.2–2018. Это означало, что банки должны были соответствовать более строгим требованиям и стремиться к более высокому баллу, чтобы считаться соответствующими требованиям.
Это изменение с третьего на четвертый уровень соответствия отражает стремление к постоянному повышению качества и стандартов в банковской отрасли. Это показывает, что власти или регулирующие органы ожидают, что банки будут стремиться к более высокому уровню соответствия, а не просто поддерживать минимальные требования. Чтобы подтвердить свое соответствие Положению 683-П и ГОСТ Р 57580.2–2018, кредитные организации должны пройти внешнюю оценку соответствия. Эта оценка, проводимая аккредитованными организациями, служит главным способом оценки эффективности мер информационной безопасности, реализуемых этими учреждениями.
Компании, которым поручено проводить эти оценки, действуют в рамках четко определенных рамок. Они обязаны иметь лицензии, которые разрешают им выполнять конкретные задачи и услуги, связанные с обеспечением технической безопасности данных, которые нуждаются в конфиденциальности. Рамки, в соответствии с которыми выдаются эти лицензии, изложены в Положении о лицензировании деятельности в области технической защиты конфиденциальной информации, утвержденном Постановлением Правительства Российской Федерации № 79. Это гарантирует, что процесс оценки проводится экспертами, обладающими необходимыми практическими умениями и опытом в проведении подобных оценок.
Примечательным аспектом этого процесса оценки является его роль в содействии переходу на новые уровни защиты информации. Если организация первоначально внедряет стандартный уровень защиты информации, но позже переходит в статус, требующий усиленной защиты, она обязана обеспечить этот переход в течение 18 месяцев. Этот переход предполагает не только корректировку мер безопасности, но и прохождение оценки соответствия ГОСТ 57580 при повышенном уровне защиты информации.
Оценка соответствия ГОСТ 57580 не проводится один раз, чтобы навсегда зафиксировать результат, она является одной из в череде постоянных проверок информационной безопасности. Положение 683-П предписывает, чтобы оценки проводились регулярно, по крайней мере, раз в два года, для всех банков, независимо от выбранного уровня обеспечения безопасности данных. Эта периодическая проверка очень важна для того, чтобы банки последовательно придерживались требуемых правил ИБ с течением времени.