26 мая 2019 г.

Обзор Положения Банка России от 17.04.2019 № 683-П



Мысль при первом прочтении Положения Банка России 683-П:
зачем потребовалось переписывать 382-П?
Мысль при втором прочтении: это всё про что?
Мысль при третьем прочтении: совсем беда!

Зачем?
21 мая 2019 года Банк России обнародовал Положение № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
Документ вступает в силу по истечении 10 дней после официального опубликования, то есть с 01.06.2019 (за исключением отдельных положений).
Документ, как документ, начинаешь бегло читать – вроде, ничего особенного. Вчитываешься – адский ад.

Вот, например, как в таком нагромождении слов (п.1 в 683-П) можно отыскать сакральный смысл?
“Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций)…”
Что можно понять из этого абзаца?
То, что: “Требования к обеспечению защиты информации… применяются для обеспечения защиты информации”.
При этом термин “информация” постоянно сопровождается какими-то словесными конструкциями:
“… информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”
“… информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах”
Попутно даются пояснения к терминам “автоматизированные системы” и “банковские операции”:
“… автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций”
“… банковских операций, связанных с осуществлением перевода (кстати, почему "перевода", а не "переводов"?) денежных средств”
И весь этот абзац неожиданно оказывается ещё и подводкой к перечислению, следующему ниже, по кодовому слову “информация”. Очевидно, перед упоминанием в этом абзаце информации 2-ой раз пропущено слово “следующая” и смысл теряется (хотели написать “следующая информация”). Это наглядно видно ниже в таблице 2, в которой приводится сравнение схожих по смыслу положений, изложенных в 382-П и в 683-П.

Но, как говорится, лиха беда начало... Дальше всё пошло как по писаному.

Таблица 1. Сравнение названий и целей Положений № 382-П и № 683-П
Положение от 09.06.2012 № 382-П
Положение от 17.04.2019 № 683-П
Сравнение названий Положений № 382-П и № 683-П
“О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
“Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиентов
Сравнение целей Положений № 382-П и № 683-П
“настоящее Положение устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации при осуществлении переводов денежных средств), а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе”
“настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”

Возможно, в дальнейшем последуют существенные изменения в 382-П (добавятся ссылки на ГОСТ Р 57580.1-2017), но пока формулировки названий и целей обоих Положений точно не вносят ясность, зачем Банку России понадобился 683-П, если есть 382-П (с изменениями в прошлом году согласно Указанию от 07.05.2018 № 4793-У).
И то, и другое “о требованиях к обеспечению защиты информации”. И то, и другое про “осуществление переводов денежных средств”. Ну, и, по сути, “обеспечение защиты информации” из 382-П – это вариант “противодействия” из 683-П. Отличие в 683-П – в “осуществлении переводов денежных средств без согласия клиентов”. Согласитесь - странно, что обеспечивая защиту информации при осуществлении переводов денежных средств (382-П), банки должны по-особому обеспечивать защиту информации при осуществлении переводов денежных средств без согласия клиентов (683-П), как будто это не один и тот же процесс.
Будем считать Положение № 683-П подмножеством Положения № 382-П для случая осуществления переводов денежных средств без согласия клиентов.

Это всё про что?
Далее сравним отдельные схожие положения 382-П и 683-П (Таблица 2)
Таблица 2. Сравнение отдельных схожих положений 382-П и 683-П
Положение от 09.06.2012 № 382-П
Положение от 17.04.2019 № 683-П
Пункт 2.1
2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):

-информации об остатках денежных средств на банковских счетах;

-информации об остатках электронных денежных средств;

-информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;

-информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;

-информации о платежных клиринговых позициях;

-информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;

-ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);

-информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;

-информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств
Пункт 1
Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):

-информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее - клиенты);

-информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;

-информации об осуществленных банковских операциях;

-ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой при осуществлении банковских операций (далее - криптографические ключи).

В случае если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
Пункт 2.2
2.2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:

-требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей (далее - ролей) лиц, связанных с осуществлением переводов денежных средств;

-требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;

-требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;

-требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код);

-требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");

-требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;

-требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (далее - технологические меры защиты информации);

-требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);

-требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (далее - повышение осведомленности) в области обеспечения защиты информации;

-требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;

-требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;

-требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;

-требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;

-требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.
Пункт 2

2. Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:

-требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций (далее - объекты информационной инфраструктуры);

-требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;

-требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;

-иные требования к обеспечению защиты информации при осуществлении банковской деятельности в соответствии с пунктами 6 - 9 настоящего Положения.

Абзац 2, пункт 2.5, подпункт 2.5.5.1
2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:
использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4* в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);
Абзац 2, п.п. 2.5.5.1, п. 2.5 вступает в силу с 01.01.2020 
Абзац 3, пункт 2.5, подпункт 2.5.5.1
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Абзац 3 пп. 2.5.5.1, п. 2.5 вступает в силу с 01.07.2018

Абзац 4, пункт 2.5, подпункт 2.5.5.1
Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б""д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 "О лицензировании деятельности по технической защите конфиденциальной информации".
При модернизации объектов информационной инфраструктуры по решению оператора по переводу денежных средств, оператора услуг платежной инфраструктуры проводится анализ уязвимостей только объектов информационной инфраструктуры, подвергнутых модернизации."
Абзац 4, пп. 2.5.5.1, п. 2.5 вступает в силу с 01.07.2018
Пункт 4.1.

4.1 Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

Пп. 4.1 п. 4 вступает в силу с 01.01.2020

Пункт 3.2

3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Пп. 3.2, п. 3 вступает в силу с 01.06.2019 

Пункт 4.2

4.2. Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений кредитные организации должны привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - постановление Правительства Российской Федерации N 79).
Пп. 4.2 п. 4 вступает в силу с 01.01.2020
Пункт 2.6, подпункт 2.6.3

2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
-выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;

-идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;

-определение порядка использования информации, необходимой для выполнения аутентификации;

-регистрацию действий при осуществлении доступа своих работников к защищаемой информации;

-регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
-выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;

-выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;

-регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);

-регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
-дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

-набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);

-код, соответствующий выполняемому действию;

-идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).
Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).

Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

Оператор по переводу денежных средств определяет во внутренних документах:
-порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

-перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

-подлежащий регистрации идентификатор устройства;

-порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.

Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.
Пункт 5.2

5.2 Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
-идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций;
-формирование (подготовка), передача и прием электронных сообщений;
-удостоверение права клиентов распоряжаться денежными средствами;
-осуществление банковской операции, учет результатов ее осуществления;
-хранение электронных сообщений и информации об осуществленных банковских операциях.

Пункт 5.2, подпункт 5.2.1

5.2.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, указанных в настоящем пункте, должна обеспечивать целостность и достоверность защищаемой информации.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
-проверку правильности формирования (подготовки) электронных сообщений (двойной контроль);

-проверку правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль);

-контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений абзаца девятого пункта 2.1 Положения Банка России от 19 июня 2012 года N 383-П "О правилах осуществления перевода денежных средств.

-структурный контроль электронных сообщений;

-защиту защищаемой информации при ее передаче по каналам связи.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
-подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
-получение от клиента подтверждения совершенной банковской операции.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
-проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;

-проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;

-направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.

Пункт 5.2, подпункт 5.2.2

5.2.2. Кредитные организации должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Пункт 5.2, подпункт 5.2.3

5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:
-дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;

-присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

-код, соответствующий технологическому участку;

-результат осуществления банковской операции (успешная или неуспешная);

-идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

Пункт 5.2, подпункт 5.2.4

5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
-дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;

-присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;

-код, соответствующий технологическому участку;

-результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);

-идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора), международный идентификатор абонента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства).

Пункт 5.2, подпункт 5.2.5

5.2.5. Кредитные организации должны обеспечивать хранение:
-информации, указанной в абзацах втором, четвертом пункта 1 настоящего Положения;

-информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.

Кредитные организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).
Подпункт 2.8.3, пункт 2.8
2.8.3. Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе указанные в подпункте 2.10.7 пункта 2.10 настоящего Положения.

Вступление в силу с 01.07.2018
Пункт 7

7. Кредитные организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.

Кредитные организации должны обеспечивать доведение до клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления банковских операций лицами, не обладающими правом их осуществления, и мерах по их снижению:

-мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом совершались действия в целях осуществления банковской операции;

-мерах по контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления банковской операции, и своевременному обнаружению воздействия вредоносного кода.
Вступление в силу с 01.06.2019
Абзац 1, подпункт 2.9.1, пункт 2.9
2.9.1. Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880; 2012, № 29, ст. 3988; 2013, № 14, ст. 1668; № 27, ст. 3463, ст. 3477; 2014, № 11, ст. 1098; № 26, ст. 3390; 2016, № 1, ст. 65; № 26, ст. 3889), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года № 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года № 6382, 25 мая 2010 года № 17350 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.
Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года № 33620.
Вступление в силу с 01.07.2018
Пункт 6
6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с Федеральным законом "Об электронной подписи", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620, и технической документацией на СКЗИ.
Вступление в силу с 01.06.2019
Абзац 16, пункт 2.2
Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (далее - перечень типов инцидентов).

Вступление в силу с 01.07.2018
Пункт 8
Кредитные организации к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств (далее - инциденты защиты информации), должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов).
Вступление в силу с 01.06.2019
2.13.(1) Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должны осуществлять информирование Банка России:
-о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов;

-о планируемых мероприятиях по раскрытию информации об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, включая размещение информации на официальных сайтах в сети Интернет, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до проведения мероприятия.
Информирование осуществляется в форме предоставления оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке предоставления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации согласно части 6 статьи 5 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", и размещается на официальном сайте Банка России в сети "Интернет".

Вступление в силу с 01.07.2018
Пункт 8 (продолжение)

8. Кредитные организации должны осуществлять информирование Банка России:
-о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

-о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.

-Информация о рекомендуемых форме и сроке предоставления кредитными организациями Банку России сведений размещается на официальном сайте Банка России в сети "Интернет".

Вступление в силу с 01.06.2019
Пункт 2.15.1

2.15.1. Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.

Пункт 2.15.2

2.15.2. Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.

Вступление в силу с 01.07.2018
Пункт 9

9. Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 настоящего Положения (далее - оценка соответствия защиты информации), не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79 (далее - проверяющая организация)

Вступление в силу с 01.01.2021

Банкам необходимо обеспечить уровень соответствия согласно ГОСТ Р 57580.2-2017 не ниже третьего с 01.01.2021, а в дальнейшем, с 01.01.2023 обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2017.
Согласно пункту 9 Положения № 683-П с 01.01.2021 банкам необходимо реализовать проведение оценки соответствия установленному уровню защиты информации не реже одного раза в два года с привлечением организации, имеющей лицензию на деятельность по ТЗКИ. 
Из нового - подпункт 3.1, пункт 3, который вступит в силу с 01.01.2021.
“3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации.
Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце втором настоящего подпункта, должны реализовывать стандартный уровень защиты информации.
Кредитные организации, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце втором настоящего подпункта.”

То есть на реализацию того или иного уровня защиты, соответствующего требованиям ГОСТ 57580.1-2017, банкам даётся год и 7 месяцев (до 01.01.2021).
Напомним, что в Положении № 672-П срок выполнения требований ГОСТ 57580.1-2017 для участников ССНП и СБП обозначен с 01.07.2021 (для ОПЦ – с 06.04.2019) – что несколько позже, чем в Положении № 683-П. 

Обратите также внимание, что пункт 3.2 из 683-П про ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры формально по новому Положению вступает в силу с 01.06.2019, несмотря на то, что по 382-П это же положение действует с 01.07.2018.

Совсем беда!
А теперь о самом главном в 683-П. Помните наиболее обсуждаемый раздел 5.1 в 552-П?
В 683-П - та же история (“совпадение? не думаю!”). Читаем 5.1*:
5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи".
Теперь ряду банков придется ещё раз изучить вдоль и поперёк раздел 9 закона 63-ФЗ и очень сильно постараться, чтобы продолжать применять простую электронную подпись[1] для подтверждения электронных платежных документов клиентов. А в общем случае - готовиться к массовому переходу на усиленную электронную подпись на токенах или в облаке в тех кредитных организациях, в которых это не внедрено.
Читаем далее 5.2:
5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
-идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций;
-формирование (подготовка), передача и прием электронных сообщений;
-удостоверение права клиентов распоряжаться денежными средствами;
-осуществление банковской операции, учет результатов ее осуществления;
-хранение электронных сообщений и информации об осуществленных банковских операциях."

Опять же из нового: появляется понятие “технологические участки”, для которых надо описать, реализовать и мониторить все процессы, связанные с осуществлением банковских операций с использованием автоматизированных систем и программного обеспечения банков (вот почему каждый автор нормативного документа от Банка России пытается внести отсебятину? Есть же устоявшийся термин "сегмент / группа сегментов", например в 672-П).
А в подпунктах 5.2.1-5.2.5 предписано осуществлять:
-проверку правильности заполнения и формирования электронных сообщений;
-удостоверение прав клиентов распоряжаться денежными средствами;
-получение от клиента подтверждения совершенной операции;
-сверку результатов осуществления операций с информацией в электронных сообщениях;
-контроль доступа и регистрацию действий работников и клиентов;
-регистрацию действий работников и клиентов: дата и время, технологический участок, результат операции, идентификатор устройства клиента, используемого для переводов и т.д.;
-целостность и доступность вышеуказанной информации не менее 5 лет.

В общем, жесть! И самое главное, что всё перечисленное должно быть реализовано с 01.06.2019 года!

Обновление от 16.12.2019
После обнародования Алексеем Лукацким ответов Департамента ИБ Банка России на вопросы банковского сообщества по Положению 683-П оказалось:
- 683-П шире по широте (применения) 382-П, так как распространяется на все банковские операции, а 382-П - только на перевод денежных средств;
- 382-П глубже по глубине (внедрения)  683-П, так как 683-П распространяется только на кредитные организации (ОПДС), а 382-П и на ОПДС, и на БПА(субагентов), и на ОПС, и на ОУПИ (а после вступления в силу с 01.01.2023 новой редакции 382-П - и на ПА, и на ППП, и на ОУИО - расшифровывать аббревиатуры особого смысла нет, т.к. за 2 года порядок следования букв может сильно поменяться)


* Обновление от 06.02.2020
По подпункту 5.1 пункта 5 Положения 683-П Банк России выпустил Информационное письмо от 30.01.2020 N ИН-014-56/4



[1] подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом

Комментариев нет:

Отправить комментарий