На сайте Банка России опубликовано Положение № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Оно установит требования к обеспечению защиты информации при осуществлении переводов денежных средств и вступит в силу уже 1 апреля 2024 года, заменив Положение № 719-П с идентичным наименованием.
Основной целью актуализации данного документа является установление требований к защите информации для такого субъекта национальной платежной системы (далее – НПС), как оператор электронной платформы (далее – ОЭП). ОЭП – это оператор финансовой платформы, оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов при оказании указанными операторами услуг расчетов по сделкам, совершенным с использованием электронной платформы, пользователям электронной платформы.
Основной целью актуализации данного документа является установление требований к защите информации для такого субъекта национальной платежной системы (далее – НПС), как оператор электронной платформы (далее – ОЭП). ОЭП – это оператор финансовой платформы, оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов при оказании указанными операторами услуг расчетов по сделкам, совершенным с использованием электронной платформы, пользователям электронной платформы.
Какие требования будут установлены для ОЭП?
Сделали краткую выжимку требований. ОЭП должен:
- применять меры защиты, установленные ГОСТ 57580.1-2017. При определении уровня защиты информации необходимо опираться на пункты 1.4.3 и 1.4.4 Положения Банка России № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;
- проводить ежегодное тестирование на предмет наличия возможности проникновения в инфраструктуру и анализ уязвимостей ИБ;
- проводить оценку соответствия защиты информации с привлечением проверяющей организации и обеспечивать хранение результатов оценки (периодичность оценки устанавливается Положением Банка России № 757-П в зависимости от уровня защиты информации);
- применять ПО, прошедшее сертификацию в системе сертификации ФСТЭК или прошедшее оценку соответствия по требованиям к ОУД 4 (если ОЭП реализовывает стандартный уровень защиты информации);
- регистрировать действия, связанные с осуществлением доступа к защищаемой информации;
- применять меры защиты в отношении персональных данных (152-ФЗ «О персональных данных», Приказ ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»);
- при использовании СКЗИ в целях защиты информации руководствоваться 63-ФЗ «Об электронной подписи», ПКЗ-2005 (положение о разработке, производстве, реализации и эксплуатации шифровальных/криптографических средств защиты информации), технической документацией на СКЗИ, ПП-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСБ № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- в зависимости от вида совмещаемой деятельности обеспечить выполнение применимых требований Положения Банка России № 757-П;
- выполнять требования к обеспечению защиты информации на технологических участках и реализовать технологические меры защиты информации при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 161-ФЗ «О национальной платежной системе».
Что изменится для банков?
Для банков, которые имеют статус операторов по переводу денежных средств и которые ранее выполняли требования Положения 719-П, изменений практически нет. В новом документе содержание требований претерпело косметические изменения, но некоторые моменты необходимо выделить:
1. Скорректирован пункт в части информирования Банка России об инцидентах защиты информации:
Примечание: Банком России были выпущены Методические рекомендации № 14-МР «По выполнению кредитными и некредитными организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры РФ в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак», в которых указано, что основной канал передачи информации об инцидентах в Банк России – АСОИ ФинЦЕРТ – может использоваться для информирования ФСБ о выявляемых компьютерных атаках и компьютерных инцидентах на объектах КИИ, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, а также для получения информации об актуальных угрозах безопасности (для направления и получения указанной информации необходимо направить соответствующее согласие). В качестве перечня инцидентов, который рекомендуется использовать финансовым организациям, обращаются к стандарту СТО БР БФБО-1.5-2023.
2. Наряду с выполнением требований Приказа ФСБ № 378 добавлена ссылка на ПП-1119. Также пункт 1.7 Положения 821-П скорректирован таким образом, что применяемые СКЗИ должны иметь подтверждение соответствия требованиям ФСБ (раньше было только в отношении СКЗИ российского производства).
3. Скорректирован пункт 1.8 Положения 821-П про использование электронной подписи: должна использоваться усиленная электронная подпись, созданная с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным ФС.
4. Скорректирован пункт про отсылку на КИИ: если субъекты НПС являются объектами КИИ, то они также должны применять для защиты информации требования и порядок, установленные органами государственной власти РФ в области обеспечения безопасности КИИ в соответствии с 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
1. Скорректирован пункт в части информирования Банка России об инцидентах защиты информации:
- добавлена ссылка на 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- из Положения Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» продублировано требование об информировании о сайтах, которые используются Банками для осуществления их деятельности;
- помимо предоставления сведений об инцидентах необходимо информировать Банк России о принятых мерах и проведенных мероприятиях по реагированию на выявленные инциденты.
Примечание: Банком России были выпущены Методические рекомендации № 14-МР «По выполнению кредитными и некредитными организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры РФ в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак», в которых указано, что основной канал передачи информации об инцидентах в Банк России – АСОИ ФинЦЕРТ – может использоваться для информирования ФСБ о выявляемых компьютерных атаках и компьютерных инцидентах на объектах КИИ, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, а также для получения информации об актуальных угрозах безопасности (для направления и получения указанной информации необходимо направить соответствующее согласие). В качестве перечня инцидентов, который рекомендуется использовать финансовым организациям, обращаются к стандарту СТО БР БФБО-1.5-2023.
2. Наряду с выполнением требований Приказа ФСБ № 378 добавлена ссылка на ПП-1119. Также пункт 1.7 Положения 821-П скорректирован таким образом, что применяемые СКЗИ должны иметь подтверждение соответствия требованиям ФСБ (раньше было только в отношении СКЗИ российского производства).
3. Скорректирован пункт 1.8 Положения 821-П про использование электронной подписи: должна использоваться усиленная электронная подпись, созданная с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным ФС.
4. Скорректирован пункт про отсылку на КИИ: если субъекты НПС являются объектами КИИ, то они также должны применять для защиты информации требования и порядок, установленные органами государственной власти РФ в области обеспечения безопасности КИИ в соответствии с 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Автор: Анастасия Федюнина, ведущий специалист отдела аудита Infosecurity a Softline company
