На предыдущую страницу
Security

Обзор Положения Банка России № 683-П для кредитных организаций

 

В июне 2019 года в России вступило в силу Положение Банка России № 683-П, в котором часть требований полностью продублировали Положение 382-П, которое уже утратило силу и не действует. Несмотря на это, в документе появились новые требования, которые направлены на реальное соблюдение ИБ. Например, на проведение оценки соответствия согласно ГОСТ 57580.

Положение Банка России № 683-П — основной документ, который регулирует информационную безопасность и защиту информации в кредитных организациях со стороны Банка России и действует наравне с Положением № 719-П и № 747-П.

В этом материале мы расскажем, о чем сказано в Положении Банка России № 683-П, какие основные требования оно устанавливает и какую информацию защищает.

Какие требования устанавливает Положение № 683-П

Положение Банка России № 683-П устанавливает обязательные требования по защите информации для кредитных организаций, чтобы не допустить переводы денежных средств без согласия клиента.

Вот основные из них:

  • проводить ежегодное тестирование на проникновение (пентест);
  • иметь прикладное ПО или ПО, которое прошло сертификацию в соответствии с приказом ФСТЭК РФ № 76, либо оценку соответствия по ОУД 4;
  • обеспечивать целостность электронных сообщений надлежащим способом;
  • реализовывать технологии безопасной обработки защищаемой информации;
  • доводить до клиентов рекомендации по защите информации от воздействия вредоносного кода, возможных рисках несанкционированного доступа (НСД), мерах по предотвращению НСД , мерах по контролю конфигурации устройств;
  • устанавливать порядок работы с инцидентами защиты информации;
  • оценивать не реже одного раза в два года соответствие уровню защиты информации по ГОСТ Р 57580;
  • обеспечивать определенный уровень соответствия: не ниже третьего (01.01.2021 – 31.12.2022), не ниже четвертого (с 01.01.2023).

Какую информацию нужно защищать по Положению № 683-П

Защищать необходимо всю информацию, которую используют работники или клиенты кредитной организации для проведения банковских операций, связанных с переводами денежных средств:

  • электронные сообщения;
  • криптографические ключи;
  • информация, необходимая для авторизации клиентов;
  • информация о проведенных банковских операциях.

Кто должен соответствовать ГОСТ Р 57580

По Положению № 683-П все кредитные организации должны проводить оценку соответствия ГОСТ Р 57580. Уровень защиты информации зависит от того, относится ли организация к системно-значимым или нет.

Усиленный (первый) уровень защищенности:

Стандартный (второй) уровень защищенности:

  • к этому уровню относятся все остальные кредитные организации.

Какие изменения вступили в силу с 1 октября 2022 года

С 1 октября 2022 года вступили в силу изменения в Положении № 683-П, они коснулись:

  • Требований к программному обеспечению

Организации обязаны использовать программное обеспечение, сертифицированное в соответствии с приказом ФСТЭК РФ 76, либо оценку соответствия по ОУД 4. Оценку соответствия ПО можно проводить не только с привлечением лицензированной организации, но и самостоятельно. При сертификации ПО системно значимые КО должны обеспечить сертификацию не ниже 4 уровня доверия, иные организации не ниже 5 уровня доверия.

  • Электронных сообщений

Конкретизировали способы обеспечения целостности электронных сообщений: использование усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или средств криптографической защиты информации (СКЗИ) с имитозащитой*. А также добавили условия, при которых можно их не применять. *Имитозащита — защита целостности сообщения. Реализуется с помощью добавления к сообщению дополнительного кода, имитовставки, МАС, которая зависит от содержания сообщения и секретного элемента, известного только отправителю и получателю (ключа).

  • Технологий обработки защищаемой информации

Банк России обязал российские кредитные организации подтверждать совершаемую операцию (например, с помощью одноразового кода), идентифицировать устройства, с которых клиент проводит онлайн-операции, проверять его телефонный номер и подтверждать электронную почту. Эта мера должна обезопасить клиентов от действия кибермошенников.

  • Ограничений по параметрам информации

Клиенты теперь смогут самостоятельно устанавливать в банке запрет на онлайн-операции либо ограничивать их параметры: максимальную сумму для одной транзакции или лимит на определенный период времени.

  • Требований к управления инцидентами

Конкретизировали инциденты ИБ, о выявлении которых необходимо сообщать регулятору (Положение № 716-П п.7.3). Банки теперь должны:

    • фиксировать инциденты в базе событий (Положение № 716-П п.7.3 и п.7.5);
    • информировать о мерах по реагированию на инциденты ИБ;
    • информацировать о планируемых мероприятиях по раскрытию информации об инцидентах ИБ;
    • информировать о сайтах, через которые клиенты могут проводить транзакции;
    • уведомлять регулятора через автоматизированную систему (АС) ЦБ РФ.
  • КИИ

Чтобы обеспечить безопасность АС, ПО, СВТ и телекоммуникационного оборудования в организациях, которые являются объектами КИИ, теперь необходимо выполнять требования Положения и 187-ФЗ.

Что будет, если проигнорировать требования

Согласно Положению № 683-П кредитные организации обязаны ежегодно тестировать свою ИТ-инфраструктуру на проникновение и не реже одного раза в два года делать оценку соответствия ГОСТ Р 57580.

Если проигнорировать требования Положения, то кредитной организации грозят штрафные санкции со стороны регулятора, увеличивается риск несанкционированных списаний и возникновения уязвимостей. Это может повлиять не только на репутацию, но и привести к финансовым потерям и приостановке всей деятельности компании.

Как ITGLOBAL.COM Security помогает кредитным организациям выполнить требования Банка России

Специалисты ITGLOBAL.COM Security готовы взять весь пул работ, связанных с выполнением требований нормативно-правовых документов Банка России в части информационной безопасности: от проведения пентест до подготовки отчета для регулятора.

Но основная задача команды — помочь клиенту перейти от «бумажной» информационной безопасности к реальной, чтобы на практике защитить  конфиденциальные данные и критически-важные сервисы от утечек и кибератак.

Оцените данную статью

Узнавайте о выходе новых статей в блоге первыми!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies