В июне 2019 года в России вступило в силу Положение Банка России № 683-П, в котором часть требований полностью продублировали Положение 382-П, которое уже утратило силу и не действует. Несмотря на это, в документе появились новые требования, которые направлены на реальное соблюдение ИБ. Например, на проведение оценки соответствия согласно ГОСТ 57580.
Положение Банка России № 683-П — основной документ, который регулирует информационную безопасность и защиту информации в кредитных организациях со стороны Банка России и действует наравне с Положением № 719-П и № 747-П.
В этом материале мы расскажем, о чем сказано в Положении Банка России № 683-П, какие основные требования оно устанавливает и какую информацию защищает.
Какие требования устанавливает Положение № 683-П
Положение Банка России № 683-П устанавливает обязательные требования по защите информации для кредитных организаций, чтобы не допустить переводы денежных средств без согласия клиента.
Вот основные из них:
- проводить ежегодное тестирование на проникновение (пентест);
- иметь прикладное ПО или ПО, которое прошло сертификацию в соответствии с приказом ФСТЭК РФ № 76, либо оценку соответствия по ОУД 4;
- обеспечивать целостность электронных сообщений надлежащим способом;
- реализовывать технологии безопасной обработки защищаемой информации;
- доводить до клиентов рекомендации по защите информации от воздействия вредоносного кода, возможных рисках несанкционированного доступа (НСД), мерах по предотвращению НСД , мерах по контролю конфигурации устройств;
- устанавливать порядок работы с инцидентами защиты информации;
- оценивать не реже одного раза в два года соответствие уровню защиты информации по ГОСТ Р 57580;
- обеспечивать определенный уровень соответствия: не ниже третьего (01.01.2021 – 31.12.2022), не ниже четвертого (с 01.01.2023).
Какую информацию нужно защищать по Положению № 683-П
Защищать необходимо всю информацию, которую используют работники или клиенты кредитной организации для проведения банковских операций, связанных с переводами денежных средств:
- электронные сообщения;
- криптографические ключи;
- информация, необходимая для авторизации клиентов;
- информация о проведенных банковских операциях.
Кто должен соответствовать ГОСТ Р 57580
По Положению № 683-П все кредитные организации должны проводить оценку соответствия ГОСТ Р 57580. Уровень защиты информации зависит от того, относится ли организация к системно-значимым или нет.
Усиленный (первый) уровень защищенности:
- системно значимые кредитные организации;
- кредитные организации, которые выполняют функции оператора услуг платежной инфраструктуры системно значимых платежных систем;
- кредитные организации, значимые на рынке платежных услуг.
Стандартный (второй) уровень защищенности:
- к этому уровню относятся все остальные кредитные организации.
Какие изменения вступили в силу с 1 октября 2022 года
С 1 октября 2022 года вступили в силу изменения в Положении № 683-П, они коснулись:
- Требований к программному обеспечению
Организации обязаны использовать программное обеспечение, сертифицированное в соответствии с приказом ФСТЭК РФ 76, либо оценку соответствия по ОУД 4. Оценку соответствия ПО можно проводить не только с привлечением лицензированной организации, но и самостоятельно. При сертификации ПО системно значимые КО должны обеспечить сертификацию не ниже 4 уровня доверия, иные организации не ниже 5 уровня доверия.
- Электронных сообщений
Конкретизировали способы обеспечения целостности электронных сообщений: использование усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или средств криптографической защиты информации (СКЗИ) с имитозащитой*. А также добавили условия, при которых можно их не применять. *Имитозащита — защита целостности сообщения. Реализуется с помощью добавления к сообщению дополнительного кода, имитовставки, МАС, которая зависит от содержания сообщения и секретного элемента, известного только отправителю и получателю (ключа).
- Технологий обработки защищаемой информации
Банк России обязал российские кредитные организации подтверждать совершаемую операцию (например, с помощью одноразового кода), идентифицировать устройства, с которых клиент проводит онлайн-операции, проверять его телефонный номер и подтверждать электронную почту. Эта мера должна обезопасить клиентов от действия кибермошенников.
- Ограничений по параметрам информации
Клиенты теперь смогут самостоятельно устанавливать в банке запрет на онлайн-операции либо ограничивать их параметры: максимальную сумму для одной транзакции или лимит на определенный период времени.
- Требований к управления инцидентами
Конкретизировали инциденты ИБ, о выявлении которых необходимо сообщать регулятору (Положение № 716-П п.7.3). Банки теперь должны:
-
- фиксировать инциденты в базе событий (Положение № 716-П п.7.3 и п.7.5);
- информировать о мерах по реагированию на инциденты ИБ;
- информацировать о планируемых мероприятиях по раскрытию информации об инцидентах ИБ;
- информировать о сайтах, через которые клиенты могут проводить транзакции;
- уведомлять регулятора через автоматизированную систему (АС) ЦБ РФ.
- КИИ
Чтобы обеспечить безопасность АС, ПО, СВТ и телекоммуникационного оборудования в организациях, которые являются объектами КИИ, теперь необходимо выполнять требования Положения и 187-ФЗ.
Что будет, если проигнорировать требования
Согласно Положению № 683-П кредитные организации обязаны ежегодно тестировать свою ИТ-инфраструктуру на проникновение и не реже одного раза в два года делать оценку соответствия ГОСТ Р 57580.
Если проигнорировать требования Положения, то кредитной организации грозят штрафные санкции со стороны регулятора, увеличивается риск несанкционированных списаний и возникновения уязвимостей. Это может повлиять не только на репутацию, но и привести к финансовым потерям и приостановке всей деятельности компании.
Как ITGLOBAL.COM Security помогает кредитным организациям выполнить требования Банка России
Специалисты ITGLOBAL.COM Security готовы взять весь пул работ, связанных с выполнением требований нормативно-правовых документов Банка России в части информационной безопасности: от проведения пентест до подготовки отчета для регулятора.
Но основная задача команды — помочь клиенту перейти от «бумажной» информационной безопасности к реальной, чтобы на практике защитить конфиденциальные данные и критически-важные сервисы от утечек и кибератак.