2 июня 2019 г.

Дорожный атлас банковской службы ИБ


(161-ФЗ[1]: статья 27, п.3) Обеспечить защиту информации при осуществлении переводов денежных средств в соответствии с требованиями (382-П[2]), установленными Банком России.
(382-П: абзац 2, пп. 2.5.5.1, п. 2.5) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
(382-П: пп. 2.15.2, п. 2.15) Обеспечить проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение 6 месяцев после получения соответствующего статуса.
(382-П: абзац 2 и 3, пп. 2.13.(1)) Информировать Банк России, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации об инцидентах.
(382-П: пп. 2.8.3, п. 2.8) Установка ограничений на основании заявления клиента по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга.
(382-П: абзац 1, пп. 2.9.1, п. 2.9) Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то применение средств защиты должно соответствовать 378-му приказу ФСБ.


К чему банк должен быть готов с 01.01.2019

(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 31.12.2018 обеспечить сбор биометрии не менее чем в 20% офисов.


К чему банк должен быть готов с 27.03.2019[3]

(161-ФЗ: статья 8, п. 5.1) Обязанность приостанавливать исполнение распоряжения о переводе на срок не более 2 рабочих дней при выявлении операции с признаками перевода денежных средств без согласия клиента. При этом признаки перевода без согласия клиента устанавливает Банк России.
(161-ФЗ: статья 8, п. 5.3) Обязанность незамедлительно возобновлять исполнение распоряжения при получении от клиента подтверждения либо (161-ФЗ статья 9, п. 9.1) возобновлять исполнение распоряжения по истечении 2-х рабочих дней после дня уведомления клиента банком при неполучении от клиента обратной связи.
(161-ФЗ: статья 27, п. 4) Реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке (Указание Банка России от 08.10.2018 № 4926-У[4], глава 2), установленном Банком России.
(161-ФЗ: статья 27, п. 6) Обязанность направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, установленными Банком России.
(Указание Банка России от 08.10.2018 № 4926-У: глава 2, п. 2.1) Обязанность применять полученную от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
(Указание Банка России от 08.10.2018 № 4926-У: абзац 9, глава 2, п.2.2) Определить в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых клиентами.
(Указание Банка России от 08.10.2018 № 4926-У: абзац 10, глава 2, п.2.2) Обязанность реализовывать в отношении клиента - получателя средств, в адрес которого ранее совершались операции по переводу денежных средств без согласия клиента, в случаях, предусмотренных договором банковского счета, ограничения по параметрам операций по осуществлению переводов денежных средств (переводов электронных денежных средств) с использованием платежных карт, а также ограничения на получение наличных денежных средств в банкоматах за одну операцию и (или) за определенный период времени.
(Указание Банка России от 08.10.2018 № 4926-У: глава 2, п. 2.3) Создать систему выявления и мониторинга переводов денежных средств без согласия клиента в платежной системе на основе информации о переводах без согласия клиента.
Определить порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента для участников платежной системы.


К чему банк должен быть готов с 06.04.2019

(672-П[5]: п. 5) Касается взаимодействия с платежной системой Банка России. ОПКЦ[6] разместить объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП[7], в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.
(Приложение к Положению 672-П "Правила[8]": п. 1.1) Касается взаимодействия с платежной системой Банка России. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП[9] реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
(Приложение к Положению 672-П "Правила": п. 1.2) Касается взаимодействия с платежной системой Банка России. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.


К чему банк должен быть готов с 01.06.2019

(683-П[10]: пп. 3.2, п.3) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.


К чему банк должен быть готов с 29.06.2019

Работать на ПК АРМ КБР-Н и АРМ КБР-СПФС (окончание срока миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019).
(672-П: п.9) Касается взаимодействия с платежной системой Банка России. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.


К чему банк должен быть готов с 01.07.2019

(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 30.06.2019 обеспечить сбор биометрии не менее чем в 60% офисов.


К чему банк должен быть готов с 01.01.2020

(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 31.12.2019 обеспечить сбор биометрии не менее чем в 100% офисов.
(382-П: абзац 3, пункт 2.5, подпункт 2.5.5.1) Исполнение требований к прикладному ПО[11] для осуществления переводов денежных средств (сертификация ФСТЭК или анализ уязвимостей по уровню ОУД 4[12] с помощью лицензиата ФСТЭК - с размышлениями, как это следует понимать, можно ознакомиться здесь и здесь).
(Указание Банка России от 07.05.2018 № 4793-У: пп. 1.5, п. 1) Разделение контуров подготовки и подтверждения платежных поручений при использовании платежей через Интернет. Дополнительной мерой, а в случае, когда разделение  контуров невозможно, то и компенсирующей мерой должны быть введены ограничения на параметры операций (актуально для физлиц, которые не захотят применять два устройства: одно для проведения платежей, другое – для подтверждения платежей).
(672-П: абзац 5, пп. 14.4, п. 14) Касается взаимодействия с платежной системой Банка России. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России с применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
(683-П: пп. 4.1, п.4) Исполнение требований к прикладному ПО для осуществления банковских операций, предоставляемого клиентам, а также ПО для приема электронных сообщений для осуществления банковских операций через Интернет (сертификация ФСТЭК или анализ уязвимостей по уровню ОУД 4 с помощью лицензиата ФСТЭК)*.
* Дополнение от 14.05.2020
Банк России в Информационном письме от 14 мая 2020 г. № ИН-014-56/88 сообщает о неприменении до 01.07.2021 мер в случае нарушения кредитными организациями п.4 Положения Банка России от 17.04.2019 № 683-П и некредитными финансовыми организациями Положения Банка России от 17.04.2019 № 684-П.


К чему банк должен быть готов с 01.06.2020

(Компанией Microsoft Corporation (США) с 14.01.2020 прекращена поддержка и выпуск обновлений для ОС Microsoft Windows 7 и Microsoft Windows Server 2008 R2) Спланировать мероприятия по переводу до 01.06.2020 информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями (Информационное сообщение ФСТЭК от 20.01.2020 № 240/24/250, п.1).


К чему банк должен быть готов с 01.07.2020

(Федеральный закон от 03.07.2019 № 173: статья 6, п.4) Кредитные организации обязаны направлять с 1 июля 2020 года в Банк России сведения:
1)о поставщиках платежных приложений для включения их в перечень поставщиков платежных приложений;
2)о банковских платежных агентах, осуществляющих деятельность платежных агрегаторов, для включения их в перечень банковских платежных агрегаторов, осуществляющих деятельность платежных агрегаторов.
(Федеральный закон от 27.12.2019 № 476) Соответствовать новым требованиям Закона от 27.12.2019 № 476, согласно которому были приняты дополнения в закон № 63-ФЗ.


К чему банк должен быть готов с 23.09.2020

(Положение Банка России от 04.06.2020 № 719-П23.09.2020 Минюстом России зарегистрировано новое Положение от 04.06.2020 № 719-П [17], которое является заменой Положения от 09.06.2012 № 382-П.

К чему банк должен быть готов с 01.01.2021

(683-П: пп. 3.1, п.3) Обеспечить реализацию требований ГОСТ Р 57580.1-2017:
- системно значимые КО - усиленный уровень (уровень 1) защиты информации по ГОСТ Р 57580.1-2017.
- остальные КО - стандартный уровень (уровень 2) защиты информации ГОСТ Р 57580.1-2017.
(683-П: п. 9) Проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации № 79.
(683-П: пп. 9.2, п.9) Соответствие не ниже 3-его[13] уровня согласно ГОСТ Р 57580.2-2017.
(Приказ ФСТЭК от 14.05.2020 № 68) "О внесении изменений ... в Приказ ФСТЭК от 18.02.2013 №21". При использовании в ИС сертифицированных по требованиям безопасности информации СЗИ применять в соответствующих ИС СЗИ соответствующего класса и уровня доверия (Приказ ФСТЭК от 30.07.2018 № 131).


К чему банк должен быть готов с 26.02.2021
(Положение Банка России от 23.12.2020 № 747-П) 03.02.2021 Минюстом России зарегистрировано новое Положение от 23.12.2020 № 747-П [18] (вступает в силу с 26.02.2021), которое является заменой Положения от 09.01.2019 № 672-П.

К чему банк должен быть готов с 01.07.2021

(672-П: пп. 3 и 4) Касается взаимодействия с платежной системой Банка России. Участники ССНП и СБП размещают объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей (См.аналогичное требование в 747-П).
Применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017 (См.аналогичное требование в 747-П).
(672-П: п. 6) Касается взаимодействия с платежной системой Банка России. Разработать документы, определяющие состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 (См.аналогичное требование в 747-П).
(672-П: абзац 3 и 4 п. 20) Касается взаимодействия с платежной системой Банка России. Проводить оценку соответствия по Методике национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 (См.аналогичное требование в 747-П).
Оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России (См.аналогичное требование в 747-П).
(672-П: абзац 6 пп. 14.3 п. 14) Касается взаимодействия с платежной системой Банка России. Участники СБП и ОПКЦ должны обеспечить двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям (См.аналогичное требование в 747-П).
(683-П: п. 4 и 684-ПБанк России пообещал не применять до 01.07.2021 мер в случае нарушения кредитными организациями п.4 Положения Банка России от 17.04.2019 №683-П и некредитными финансовыми организациями Положения Банка России от 17.04.2019 №684-П.
(Информационное письмо Банка России от .07.2020) До 30.06.2021 действует разрешение ФСБ России на СКАД "Сигнатура" версия 5 и СКЗИ "Янтарь" версия 5.


К чему банк должен быть готов с 01.01.2022

(Положение от 08.04.2020 № 716-П) "О требованиях к системе управления операционным риском в кредитной организации и банковской группе". Банки должны соответствовать новым требованиям с 01.01.2022.
(Положение от 04.06.2020 № 719-П"О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Положение вступает в силу с 01.01.2022, за исключением отдельных положений, для которых предусмотрены иные сроки.


К чему банк должен быть готов с 01.01.2023

(672-П: абзац 5, п.20) Касается взаимодействия с платежной системой Банка России. Участники ССНП, участники СБП и ОПКЦ должны обеспечить для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 (См.аналогичное требование в 747-П).
(683-П: пп. 9.2, п.9) Соответствие не ниже 4-ого[14] уровня согласно ГОСТ Р 57580.2-2017.


К чему банк должен быть готов с 01.01.2024

(Указание Банка России от 07.05.2018 № 4793-У[15]: абзац 3, пп. 1.9, п. 1) Оператору значимой платежной системы[16] обеспечить использование в применяемых аппаратных модулях безопасности - СКЗИ, реализующие иностранные криптоалгоритмы, имеющие подтверждение ФСБ.
Положение Банка России от 04.06.2020 № 719[17]: абзацы 1, 2 и 6 пп. 5.5.


К чему банк должен быть готов с 01.01.2031

(Указание Банка России от 07.05.2018 № 4793-У: абзац 4, пп. 1.9, п. 1) Оператору значимой платежной системы обеспечить использование в применяемых аппаратных модулях безопасности - СКЗИ, реализующие отечественные криптоалгоритмы РФ, имеющие подтверждение ФСБ.
Положение Банка России от 04.06.2020 № 719[17]: абзацы 3 - 5 пп. 5.5.


Дорожный атлас банковской службы ИБ в формате таблицы можно скачать здесь.

Полную (на момент опубликования) версию статьи читайте в Методическом журнале “Расчеты и операционная работа в коммерческом банке” № 3 / 2019 (ссылка)



[1] Федеральный закон от 27.06.2011 № 161 “О национальной платежной системе”.
[2] Положение Банка России от 09.06.2012 № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
[3] Банк России до 26.03.2019 (включительно) отложил меры воздействия к банкам из-за невыполнения положений новой редакции Федерального закона 161-ФЗ “О национальной платежной системе” (Информационное письмо Банка России от 09.10.2018 № ВН-03-56-3-2/3398).
[4] Указание Банка России от 08.10.2018 № 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (Зарегистрировано в Минюсте России 12.12.2018 № 52988).
[5] Положение Банка России от 09.01.2019 г. № 672-П “О требованиях к защите информации в платежной системе Банка России”.
[6] ОПКЦ - операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.
[7] СБП - сервис быстрых платежей.
[8] Правила – “Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ”.
[9] ССНП - сервис срочного перевода и сервис несрочного перевода.
[10] Положение Банка России от 17.05.2019 № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиентов".
[11] Под термином “прикладное ПО”, очевидно, подразумевается ПО, которое непосредственно участвует в переводе денежных средств, например: АБС, клиент-банк, мобильный банк, процессинг, ДБО, интернет-банкинг и др.
[12] ОУД 4 предусматривает методическое проектирование, тестирование и просмотр. ОУД 4 применим, когда разработчикам или пользователям требуется независимо получаемый уровень доверия от умеренного до высокого в ОО (объект оценки) общего назначения и имеется готовность нести дополнительные, связанные с безопасностью производственные затраты. Это самый высокий уровень, на который обычно экономически целесообразно ориентироваться для существующих типов проуктов. Анализ поддерживается независимым тестированием ФБО (функции безопасности объекта оценки), свидетельством разработчика об испытаниях, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения
[13] 3 уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически.
[14] 4 уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.
[15] Указание Банка России от 07.05.2018 № 4793-У “О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П".
[16] К значимым платежным системам можно отнести, например: Visa, Master Card, НСПК и др.
[17] Положение Банка России от 04.06.2020 № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
[18] Положение Банка России от 23.12.2020 № 747-П "О требованиях к защите информации в платежной системе Банка России" (вместе с "Правилами материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ") (Зарегистрировано в Минюсте России 03.02.2021 № 62365).

3 комментария: