Краткий обзор требований Положения Банка России от 24.08.2016 № 552-П

“Закон Яровой” для банков

6 декабря 2016 года в МинЮсте зарегистрировано новое Положение ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе (далее – ПС) Банка России” (далее - Положение № 552-П) (вступает в силу по истечении 10 дней после дня его официального опубликования).

Всего 12 страниц + Приложение, 13 глав – и это всё хорошее, что можно сказать по этому поводу. Далее будет жёстко.

Положение очень близко по духу и содержанию к Приказу ФАПСИ от 13 июня 2001г. №152.

Положением № 552-П устанавливаются длительные сроки хранения (от 3-х до 5-ти лет) информации шести видов.

Положением № 552-П устанавливается требование наличия в кредитной организации 37 видов нормативной документации.

На выполнение требований Положения № 552-П к защите информации на участке ПС БР кредитным организациям даётся полгода - до 30 июня 2017 года.

Требования Положения № 552-П распространяются на участников ПС Банка России.

Положением № 552-П предписывается обеспечить защиту:

- информации, содержащейся в распоряжениях участников;

- информации о совершённых переводах денежных средств...;

- информации об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в ПС БР;

- информации, необходимой для удостоверения участниками права распоряжения денежными средствами;

- ключевой информации средств криптографической защиты информации (далее – СКЗИ), используемых при осуществлении переводов денежных средств...;

- информации об объектах информационной инфраструктуры...;

- информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.

Но обо всём по порядку (далее мои комментарии будут выделяться так).

Требования к организационному и документационному обеспечению защиты информации в ПС БР

Доступ к автоматизированному рабочему месту (далее – АРМ) обмена электронными сообщениями (далее – ЭС) только из сегмента локальной вычислительной сети (далее – ЛВС), в котором расположен АРМ обмена ЭС с ПС БР (далее – участок ПС БР).

А мы помним, что в середине декабря 2015 года ЦБ рассылал по кредитным организациям письма по мерам противодействия компьютерным атакам, например, письмо ЦБ от 17.12.2015 № Т1-17-26/197278 “О возможных атаках на АРМ КБР” (по территориальным ГУ ЦБ письма рассылалось с другими номерами), и была рекомендация от ЦБ о выведении АРМ КБР из корпоративного домена в отдельную подсеть (если этого не было сделано кредитной организацией ранее).

Необходимо разработать документы для обеспечения информационной безопасности на участке ПС БР. Вот неполный перечень нормативных документов из Приложения к Положению № 552-П:

- Положение о службе информационной безопасности (в том числе полномочия);

- Назначение работников, ответственных за выполнение порядка обеспечения защиты информации на участке ПС БР и определение их функций;

- Определение участка ПС БР;

- Перечень и описание объектов информационной инфраструктуры участка ПС БР;

- Перечень средств защиты информации, используемых на участке ПС БР;

- Учет и контроль программного обеспечения, установленного на средствах вычислительной техники участка ПС БР;

- Порядок действий по выявлению и реагированию на инциденты на участке ПС БР;

- Перечень и сроки проведения контроля ТЗИ;

- Программа обучения работников по вопросам защиты информации;

- Перечень лиц, имеющих доступ к объектам информационной инфраструктуры участка ПС БР и порядок осуществления доступа;

- Перечень лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств (?);

- Перечень лиц, обладающих правами по формированию электронных сообщений на АРМ обмена ЭС с ПС БР;

- План ОНиВД;

- Перечень работников, допущенных к работе с СКЗИ на участке ПС БР;

- Перечень работников, обладающих правами доступа в помещения участка ПС БР;

- Перечень программного обеспечения для каждого объекта информационной инфраструктуры.

 Необходимо обеспечить выполнение требований эксплуатационной документации на СЗИ, СКЗИ, средства защиты от вредоносного кода в течение всего срока их эксплуатации.

Требования к защите информации при физическом доступе к участку ПС БР

Физический доступ в помещения только тем работникам, которые указаны в списке доступа в данные помещения.

Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.

Внимание! Срок хранения информации систем видеонаблюдения и контроля доступа (в случае их использования) должен составлять не менее 3-х лет (все сроки хранения сведены далее в отдельной таблице).

Требования к защите информации при логическом доступе к участку ПС БР

Процедуры идентификации, аутентификации и авторизации при логическом доступе к участку ПС БР должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субъектов доступа, которым предоставлен логический доступ к участку ПС БР.

Никаких технологических учетных записей!

В целях регистрации действий... должно быть обеспечено ведение следующих электронных журналов:

- журналов логического доступа к информационным ресурсам ПС БР (далее - журналы логического доступа);

- журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам ПС БР (далее - журналы операций);

- журналов средств защиты информации.

Сроки хранения журналов логического доступа, журналов операций, журналов средств защиты информации должны составлять не менее 3-х лет.

Журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности и работникам службы информатизации, осуществляющих обслуживание объектов информационной инфраструктуры на участке ПС БР. Внесение исправлений в журналы операций не допускается.

Внимание! Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности.

Далее что-то малопонятное с ошибками (комментарии и вопросы - мои)

Требования к использованию технологических мер защиты информации

В целях обеспечения идентификации, аутентификации и авторизации клиента(?) в системе интернет-банкинга, а так же также определения перечня устройств(?), с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР (готов расписаться в собственном бессилии, ибо связь интернет-банкинга и ПС БР недоступна  пониманию банковского работника, видимо, это для некредитных организаций писано), функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР (чуть понятнее) или с использованием специальной компоненты (вот, опять!?) автоматизированной банковской системы (допиливать АБС?) участников.

...

Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется участником путем регистрации всех операций в платежных технологических процессах, осуществляемых на участке ПС БР, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры (Толстой отдыхает рыдает).

В целях обеспечения возможности восстановления информации об остатках денежных средств .. участники должны хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее 5-ти лет.

Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка ПС БР

Должен осуществляться контроль целостности ПО АРМ обмена ЭС с ПС БР при каждом включении.

Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.

Требования к защите информации от воздействия вредоносного кода (ВВК) на участке ПС БР

Содержится требование использовать средства защиты от ВВК  различных производителей и раздельная установка на персональных электронных вычислительных машинах (привет от терминологии 80-х) и серверах.

Содержится требование вести статистику событий, связанных с воздействием вредоносного кода на участке ПС БР.

Сроки хранения данных о событиях, связанных с воздействием вредоносного кода на участке ПС БР, и их анализе, должны составлять не менее 3-х лет.

Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.

Требования по применению средств криптографической защиты информации на участке ПС БР

Для защиты должны быть установлены СКЗИ.

Должно соблюдаться:

- исключение возможности доступа неуполномоченных лиц к криптографическим ключам;

- использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;

- использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами.

Требования к повышению осведомленности работников в области обеспечения защиты информации

Обучение работников на участке ПС БР с привлечением службы информационной безопасности.

Назначение ответственных за обучение.

Требования к информированию Банка Росии о выявленных инцидентах и хранению информации об инцидентах

Обязательное информирование о нарушениях требований к обеспечению защиты информации на участке ПС БР в произвольной форме путем отправки сообщения на электронный адрес fincert@cbr.ru не позднее 3-х часов после выявления инцидента.

Документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.

Срок хранения информации об инцидентах должен составлять не менее 3-х лет с даты возникновения инцидента.

Требования к обеспечению восстановления функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе

Наличие плана ОНиВД, согласованного со службой информационной безопасности, и предусматривающего восстановление функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе.

Назначение ответственных, в том числе, за ОНиВД.

Требования по контролю выполнения требований к защите информации на участке ПС БР

Не реже одного раза в квартал проведение контроля выполнения требований к защите информации на участке ПС БР.

Срок хранения информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля, должен составлять не менее 3-х лет с даты проведения контроля.

Заключительные положения

Вступает в силу по истечении 10 дней после дня его официального опубликования.

Выполнить требования к защите информации на участке ПС БР в соответствии с настоящим Положением до 30 июня 2017 года.

Сроки хранения информации согласно требованиям Положения № 552-П

№ п/п	Вид информации	Срок хранения	Ответственный
1.	Информация с систем видеонаблюдения и контроля доступа (в случае их использования)	не менее 3-х лет
2.	Информация в электронном виде: - журналы логического доступа, - журналы операций, - журналы средств защиты информации	не менее 3-х лет	Служба информационной безопасности и служба информатизации Служба информационной безопасности
3.	Входящие и исходящие ЭС	не менее 5-ти лет
4.	Данные о событиях, связанных с воздействием вредоносного кода на участке ПС БР	не менее 3-х лет
5.	Информация об инцидентах	не менее 3-х лет с даты возникновения инцидента
6.	Информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля	не менее 3-х лет с даты проведения контроля

Продолжение здесь и здесь.
Обзор проекта нового Положения “О требованиях к защите информации в платежной системе Банка России" здесь.