Обзор Положения Банка России № 683-П для кредитных организаций

В июне 2019 года в России вступило в силу Положение Банка России № 683-П, в котором часть требований полностью продублировали Положение 382-П, которое уже утратило силу и не действует. Несмотря на это, в документе появились новые требования, которые направлены на реальное соблюдение ИБ. Например, на проведение оценки соответствия согласно ГОСТ 57580.

Положение Банка России № 683-П — основной документ, который регулирует информационную безопасность и защиту информации в кредитных организациях со стороны Банка России и действует наравне с Положением № 719-П и № 747-П.

В этом материале мы расскажем, о чем сказано в Положении Банка России № 683-П, какие основные требования оно устанавливает и какую информацию защищает.

Какие требования устанавливает Положение № 683-П

Положение Банка России № 683-П устанавливает обязательные требования по защите информации для кредитных организаций, чтобы не допустить переводы денежных средств без согласия клиента.

Вот основные из них:

• проводить ежегодное тестирование на проникновение (пентест);
• иметь прикладное ПО или ПО, которое прошло сертификацию в соответствии с приказом ФСТЭК РФ № 76, либо оценку соответствия по ОУД 4;
• обеспечивать целостность электронных сообщений надлежащим способом;
• реализовывать технологии безопасной обработки защищаемой информации;
• доводить до клиентов рекомендации по защите информации от воздействия вредоносного кода, возможных рисках несанкционированного доступа (НСД), мерах по предотвращению НСД , мерах по контролю конфигурации устройств;
• устанавливать порядок работы с инцидентами защиты информации;
• оценивать не реже одного раза в два года соответствие уровню защиты информации по ГОСТ Р 57580;
• обеспечивать определенный уровень соответствия: не ниже третьего (01.01.2021 – 31.12.2022), не ниже четвертого (с 01.01.2023).

Какую информацию нужно защищать по Положению № 683-П

Защищать необходимо всю информацию, которую используют работники или клиенты кредитной организации для проведения банковских операций, связанных с переводами денежных средств:

• электронные сообщения;
• криптографические ключи;
• информация, необходимая для авторизации клиентов;
• информация о проведенных банковских операциях.

Кто должен соответствовать ГОСТ Р 57580

По Положению № 683-П все кредитные организации должны проводить оценку соответствия ГОСТ Р 57580. Уровень защиты информации зависит от того, относится ли организация к системно-значимым или нет.

Усиленный (первый) уровень защищенности:

• системно значимые кредитные организации;
• кредитные организации, которые выполняют функции оператора услуг платежной инфраструктуры системно значимых платежных систем;
• кредитные организации, значимые на рынке платежных услуг.

Стандартный (второй) уровень защищенности:

• к этому уровню относятся все остальные кредитные организации.

Какие изменения вступили в силу с 1 октября 2022 года

С 1 октября 2022 года вступили в силу изменения в Положении № 683-П, они коснулись:

• Требований к программному обеспечению

Организации обязаны использовать программное обеспечение, сертифицированное в соответствии с приказом ФСТЭК РФ 76, либо оценку соответствия по ОУД 4. Оценку соответствия ПО можно проводить не только с привлечением лицензированной организации, но и самостоятельно. При сертификации ПО системно значимые КО должны обеспечить сертификацию не ниже 4 уровня доверия, иные организации не ниже 5 уровня доверия.

• Электронных сообщений

Конкретизировали способы обеспечения целостности электронных сообщений: использование усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или средств криптографической защиты информации (СКЗИ) с имитозащитой*. А также добавили условия, при которых можно их не применять. *Имитозащита — защита целостности сообщения. Реализуется с помощью добавления к сообщению дополнительного кода, имитовставки, МАС, которая зависит от содержания сообщения и секретного элемента, известного только отправителю и получателю (ключа).

• Технологий обработки защищаемой информации

Банк России обязал российские кредитные организации подтверждать совершаемую операцию (например, с помощью одноразового кода), идентифицировать устройства, с которых клиент проводит онлайн-операции, проверять его телефонный номер и подтверждать электронную почту. Эта мера должна обезопасить клиентов от действия кибермошенников.

• Ограничений по параметрам информации

Клиенты теперь смогут самостоятельно устанавливать в банке запрет на онлайн-операции либо ограничивать их параметры: максимальную сумму для одной транзакции или лимит на определенный период времени.

• Требований к управления инцидентами

Конкретизировали инциденты ИБ, о выявлении которых необходимо сообщать регулятору (Положение № 716-П п.7.3). Банки теперь должны:

• • фиксировать инциденты в базе событий (Положение № 716-П п.7.3 и п.7.5);
  • информировать о мерах по реагированию на инциденты ИБ;
  • информацировать о планируемых мероприятиях по раскрытию информации об инцидентах ИБ;
  • информировать о сайтах, через которые клиенты могут проводить транзакции;
  • уведомлять регулятора через автоматизированную систему (АС) ЦБ РФ.

• КИИ

Чтобы обеспечить безопасность АС, ПО, СВТ и телекоммуникационного оборудования в организациях, которые являются объектами КИИ, теперь необходимо выполнять требования Положения и 187-ФЗ.

Что будет, если проигнорировать требования

Согласно Положению № 683-П кредитные организации обязаны ежегодно тестировать свою ИТ-инфраструктуру на проникновение и не реже одного раза в два года делать оценку соответствия ГОСТ Р 57580.

Если проигнорировать требования Положения, то кредитной организации грозят штрафные санкции со стороны регулятора, увеличивается риск несанкционированных списаний и возникновения уязвимостей. Это может повлиять не только на репутацию, но и привести к финансовым потерям и приостановке всей деятельности компании.

Как ITGLOBAL.COM Security помогает кредитным организациям выполнить требования Банка России

Специалисты ITGLOBAL.COM Security готовы взять весь пул работ, связанных с выполнением требований нормативно-правовых документов Банка России в части информационной безопасности: от проведения пентест до подготовки отчета для регулятора.

Но основная задача команды — помочь клиенту перейти от «бумажной» информационной безопасности к реальной, чтобы на практике защитить  конфиденциальные данные и критически-важные сервисы от утечек и кибератак.