11 декабря 2016 г.

Краткий обзор требований Положения Банка России от 24.08.2016 № 552-П

Закон Яровой для банков
6 декабря 2016 года в МинЮсте зарегистрировано новое Положение ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе (далее – ПС) Банка России (далее - Положение № 552-П) (вступает в силу по истечении 10 дней после дня его официального опубликования).
Всего 12 страниц + Приложение, 13 глав – и это всё хорошее, что можно сказать по этому поводу. Далее будет жёстко.
Положение очень близко по духу и содержанию к Приказу ФАПСИ от 13 июня 2001г. №152.
Положением № 552-П устанавливаются длительные сроки хранения (от 3-х до 5-ти лет) информации шести видов.
Положением № 552-П устанавливается требование наличия в кредитной организации 37 видов нормативной документации.
На выполнение требований Положения № 552-П к защите информации на участке ПС БР кредитным организациям даётся полгода - до 30 июня 2017 года.
Требования Положения № 552-П распространяются на участников ПС Банка России.
Положением № 552-П предписывается обеспечить защиту:
- информации, содержащейся в распоряжениях участников;
- информации о совершённых переводах денежных средств...;
- информации об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в ПС БР;
- информации, необходимой для удостоверения участниками права распоряжения денежными средствами;
- ключевой информации средств криптографической защиты информации (далее – СКЗИ), используемых при осуществлении переводов денежных средств...;
- информации об объектах информационной инфраструктуры...;
- информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.
Но обо всём по порядку (далее мои комментарии будут выделяться так).
Требования к организационному и документационному обеспечению защиты информации в ПС БР
Доступ к автоматизированному рабочему месту (далее – АРМ) обмена электронными сообщениями (далее – ЭС) только из сегмента локальной вычислительной сети (далее – ЛВС), в котором расположен АРМ обмена ЭС с ПС БР (далее – участок ПС БР).
А мы помним, что в середине декабря 2015 года ЦБ рассылал по кредитным организациям письма по мерам противодействия компьютерным атакам, например, письмо ЦБ от 17.12.2015 № Т1-17-26/197278 “О возможных атаках на АРМ КБР” (по территориальным ГУ ЦБ письма рассылалось с другими номерами), и была рекомендация от ЦБ о выведении АРМ КБР из корпоративного домена в отдельную подсеть (если этого не было сделано кредитной организацией ранее).
Необходимо разработать документы для обеспечения информационной безопасности на участке ПС БР. Вот неполный перечень нормативных документов из Приложения к Положению № 552-П:
- Положение о службе информационной безопасности (в том числе полномочия);
- Назначение работников, ответственных за выполнение порядка обеспечения защиты информации на участке ПС БР и определение их функций;
- Определение участка ПС БР;
- Перечень и описание объектов информационной инфраструктуры участка ПС БР;
- Перечень средств защиты информации, используемых на участке ПС БР;
- Учет и контроль программного обеспечения, установленного на средствах вычислительной техники участка ПС БР;
- Порядок действий по выявлению и реагированию на инциденты на участке ПС БР;
- Перечень и сроки проведения контроля ТЗИ;
- Программа обучения работников по вопросам защиты информации;
- Перечень лиц, имеющих доступ к объектам информационной инфраструктуры участка ПС БР и порядок осуществления доступа;
- Перечень лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств (?);
- Перечень лиц, обладающих правами по формированию электронных сообщений на АРМ обмена ЭС с ПС БР;
- План ОНиВД;
- Перечень работников, допущенных к работе с СКЗИ на участке ПС БР;
- Перечень работников, обладающих правами доступа в помещения участка ПС БР;
- Перечень программного обеспечения для каждого объекта информационной инфраструктуры.
 Необходимо обеспечить выполнение требований эксплуатационной документации на СЗИ, СКЗИ, средства защиты от вредоносного кода в течение всего срока их эксплуатации.
Требования к защите информации при физическом доступе к участку ПС БР
Физический доступ в помещения только тем работникам, которые указаны в списке доступа в данные помещения.
Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.
Внимание! Срок хранения информации систем видеонаблюдения и контроля доступа (в случае их использования) должен составлять не менее 3-х лет (все сроки хранения сведены далее в отдельной таблице).
Требования к защите информации при логическом доступе к участку ПС БР
Процедуры идентификации, аутентификации и авторизации при логическом доступе к участку ПС БР должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субъектов доступа, которым предоставлен логический доступ к участку ПС БР.
Никаких технологических учетных записей!
В целях регистрации действий... должно быть обеспечено ведение следующих электронных журналов:
- журналов логического доступа к информационным ресурсам ПС БР (далее - журналы логического доступа);
- журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам ПС БР (далее - журналы операций);
- журналов средств защиты информации.
Сроки хранения журналов логического доступа, журналов операций, журналов средств защиты информации должны составлять не менее 3-х лет.
Журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности и работникам службы информатизации, осуществляющих обслуживание объектов информационной инфраструктуры на участке ПС БР. Внесение исправлений в журналы операций не допускается.
Внимание! Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности.
Далее что-то малопонятное с ошибками (комментарии и вопросы - мои)
Требования к использованию технологических мер защиты информации
В целях обеспечения идентификации, аутентификации и авторизации клиента(?) в системе интернет-банкинга, а так же также определения перечня устройств(?), с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР (готов расписаться в собственном бессилии, ибо связь интернет-банкинга и ПС БР недоступна  пониманию банковского работника, видимо, это для некредитных организаций писано), функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР (чуть понятнее) или с использованием специальной компоненты (вот, опять!?) автоматизированной банковской системы (допиливать АБС?) участников.
...
Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется участником путем регистрации всех операций в платежных технологических процессах, осуществляемых на участке ПС БР, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры (Толстой отдыхает рыдает).
В целях обеспечения возможности восстановления информации об остатках денежных средств .. участники должны хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее 5-ти лет.
Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка ПС БР
Должен осуществляться контроль целостности ПО АРМ обмена ЭС с ПС БР при каждом включении.
Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.
Требования к защите информации от воздействия вредоносного кода (ВВК) на участке ПС БР
Содержится требование использовать средства защиты от ВВК  различных производителей и раздельная установка на персональных электронных вычислительных машинах (привет от терминологии 80-х) и серверах.
Содержится требование вести статистику событий, связанных с воздействием вредоносного кода на участке ПС БР.
Сроки хранения данных о событиях, связанных с воздействием вредоносного кода на участке ПС БР, и их анализе, должны составлять не менее 3-х лет.
Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.
Требования по применению средств криптографической защиты информации на участке ПС БР
Для защиты должны быть установлены СКЗИ.
Должно соблюдаться:
- исключение возможности доступа неуполномоченных лиц к криптографическим ключам;
- использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;
- использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами.
Требования к повышению осведомленности работников в области обеспечения защиты информации
Обучение работников на участке ПС БР с привлечением службы информационной безопасности.
Назначение ответственных за обучение.
Требования к информированию Банка Росии о выявленных инцидентах и хранению информации об инцидентах
Обязательное информирование о нарушениях требований к обеспечению защиты информации на участке ПС БР в произвольной форме путем отправки сообщения на электронный адрес fincert@cbr.ru не позднее 3-х часов после выявления инцидента.
Документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.
Срок хранения информации об инцидентах должен составлять не менее 3-х лет с даты возникновения инцидента.
Требования к обеспечению восстановления функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе
Наличие плана ОНиВД, согласованного со службой информационной безопасности, и предусматривающего восстановление функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе.
Назначение ответственных, в том числе, за ОНиВД.
Требования по контролю выполнения требований к защите информации на участке ПС БР
Не реже одного раза в квартал проведение контроля выполнения требований к защите информации на участке ПС БР.
Срок хранения информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля, должен составлять не менее 3-х лет с даты проведения контроля.
Заключительные положения
Вступает в силу по истечении 10 дней после дня его официального опубликования.
Выполнить требования к защите информации на участке ПС БР в соответствии с настоящим Положением до 30 июня 2017 года.

Сроки хранения информации согласно требованиям Положения № 552-П

п
/п
Вид информации
Срок хранения
Ответственный
1.
Информация с систем видеонаблюдения и контроля доступа (в случае их использования)
не менее 3-х лет

2.
Информация в электронном виде:

- журналы логического доступа, - журналы операций,


- журналы средств защиты информации
не менее 3-х лет
Служба информационной безопасности и
служба информатизации



Служба информационной безопасности
3.
Входящие и исходящие ЭС

не менее 5-ти лет

4.
Данные о событиях, связанных с воздействием вредоносного кода на участке ПС БР
не менее 3-х лет

5.
Информация об инцидентах

не менее 3-х лет с даты возникновения инцидента

6.
Информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля
не менее 3-х лет с даты проведения контроля


Продолжение здесь и здесь.
Обзор проекта нового Положения “О требованиях к защите информации в платежной системе Банка России" здесь.

1 комментарий:

  1. После уточнения у представителя Банка России по пункту 5.1 552-П, его следует понимать следующим образом:
    "В целях обеспечения идентификации, аутентификации и авторизации Клиента Платежной системы Банка России, а также определения перечня устройств, с использованием которых может осуществляться доступ к Платежной системе Банка России на стороне Клиента при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”

    ОтветитьУдалить