Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

Что нужно знать о новых стандартах безопасности цифрового рубля?

С 1 августа 2023 году в силу вступил закон «О цифровом рубле». Теперь у национальной валюты три формы: наличная, безналичная и цифровая. Новый вид денежной единицы хранится в цифровых кошельках на платформе Банка России. В рамках этой же платформы осуществляются переводы цифровых рублей.

Цифровая валюта, созданная Банком России, привела к установлению новых стандартов безопасности для кредитных организаций, желающих присоединиться к платформе цифрового рубля. Эти стандарты регламентированы и подробно описаны в Положении № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля». Документ вступил в силу с 1 января 2024 года, при этом требования к классу защиты КС 2 средств электронной подписи и СКЗИ (второй и четвертый абзацы подпункта 14.1, второй и четвертый абзацы подпункта 14.2 пункта 14) действуют до 31 декабря 2024 года. В свою очередь, требования к классу защиты КС 3 средств электронной подписи и СКЗИ (третий и пятый абзацы подпункта 14.1, третий и пятый абзацы подпункта 14.2 пункта 14) вступают в силу с 1 января 2025 года.
Средства электронной подписи – это средства криптографической защиты информации (СКЗИ), используемые для реализации как минимум одной из следующих функций: создание электронной подписи (ЭП), проверка ЭП, создание ключа ЭП и ключа проверки ЭП. В зависимости от способности противостоять атакам с использованием аппаратных и/или программных средств для получения доступа к защищаемой средствами ЭП информации или данным они подразделяются на различные классы, которые и определяют уровни криптографической защиты информации – КС 1, КС 2, КС 3.

Применение старых требований Банка России к участникам платформы цифрового рубля

В контексте «старых» требований имеется в виду, что аналогичные нормы уже содержатся в других документах по информационной безопасности Банка России, но не касаются цифрового рубля. Так, участники цифровой платформы должны выполнять меры, указанные в ГОСТ Р 57580.1-2017 и распространяемые на объекты информационной инфраструктуры, обеспечивающие выполнение операций с цифровым рублем и выделенные в отдельный сегмент. Системно значимые организации реализуют усиленный уровень, остальные – стандартный.

Требование по оценке соответствия и проведению пентеста также распространяется и на участников платформы цифрового рубля, как и в ранее опубликованных Положениях Банка России. Оценка соответствия должна проводиться не реже одного раза в два года с привлечением сторонних организаций, имеющих соответствующие лицензии. Участники платформы должны обеспечивать соответствие ГОСТ Р 57580.1-2017 не ниже четвертого уровня. Пентест требуется проводить ежегодно.

В документах необходимо регламентировать состав и порядок применения организационных мер защиты информации и технических средств, а также порядок подготовки, обработки, передачи и хранения электронных сообщений, включая технологические меры защиты информации по контролю целостности, подтверждению подлинности и обеспечению конфиденциальности электронных сообщений. Участники платформы должны определить порядок применения СКЗИ и управления ключевой информацией СКЗИ, применять СКЗИ определенного класса и контролировать доступ к ним через определение уполномоченных лиц, допущенных к работе с СКЗИ и ответственных за безопасность и функционирование, а также за управление криптографическими ключами.

Электронные сообщения участника платформы должны формироваться и подписываться в автоматизированной системе участника платформы, для пользователей такой функционал должен быть доступен в приложении клиента. Хранить электронные сообщения, подписанные электронной подписью, необходимо в течение пяти лет.

Новые требования Банка России к участникам платформы цифрового рубля

Для обеспечения безопасности операций с цифровым рублем, устройство, с которого пользователь работает, должно пройти процедуру идентификации. Цифровой отпечаток, формируемый из параметров устройства, передается оператору для подтверждения принадлежности устройства клиенту. Пользователь также проходит идентификацию для подтверждения своей принадлежности.

Безопасный обмен электронными сообщениями между участником платформы и пользователем осуществляется в соответствии с нормативными требованиями, установленными законодательством и приказами ФСБ, а именно частью 6 статьи 30 Федерального закона № 161, статьей 13 Федерального закона № 63-ФЗ, пунктом 11 Приказа ФСБ России № 796 и пунктом «ш» части первой статьи 13 Федерального закона № 40-ФЗ. Данные нормативные требования регулируют работу удостоверяющего центра, подписание сообщений электронной подписью и применение средств криптографической защиты. На их основании Банк России указал в Положении № 833-П порядок взаимодействия между удостоверяющим центром Банка России, удостоверяющим центром участника платформы цифрового рубля и пользователями платформы цифрового рубля.

Следует добавить, что на этом требования по обмену криптографическими ключами не заканчиваются. Банк России утвердил «Регламент взаимодействия Финансового посредника и Банка России при управлении криптографическими ключами Платформы Цифрового рубля», в котором описан порядок работы с криптографическими ключами.

Обмен электронными сообщениями между участниками платформы и оператором платформы должен осуществляться с использованием СКЗИ и УНЭП (усиленной неквалифицированной электронной подписи, являющейся цифровым аналогом собственноручной подписи), реализуемой средствами электронной подписи класса не ниже КС 2. Особенностью данного требования является то, что оно действует до 31 декабря 2024 года, а с 1 января 2025 года необходимо будет использовать СКЗИ и средства электронной подписи класса не ниже КС 3.

В случае реализации обмена электронными сообщениями между пользователями платформы цифрового рубля и участником платформы, СКЗИ и средства электронной подписи на стороне участника платформы должны быть реализованы как написано выше, а на стороне пользователя необходимо соответствие классу не ниже КС 1.

Подводя итоги

Цифровой рубль – совершенно новая валюта, которая требует особого подхода в защите информации. Для успешного функционирования цифрового рубля необходимо комбинировать передовые технологии защиты данных с проверенными методами безопасности финансовых операций. Это обеспечит надежность и безопасность операций с цифровым рублем, защитит его от угроз и создаст у пользователей доверие к новой цифровой валюте.

Автор: Ирина Шашурина, эксперт отдела аудита Infosecurity a Softline company
Новости Блог