Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Экспертный анализ и оценка уровня защищенности инфраструктуры
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Симуляция атак с использованием методов социальной инженерии
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Новости

Какое Положение ЦБ в апреле заменит № 719-П и какие требования будут установлены?

На сайте Банка России опубликовано Положение № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Оно установит требования к обеспечению защиты информации при осуществлении переводов денежных средств и вступит в силу уже 1 апреля 2024 года, заменив Положение № 719-П с идентичным наименованием.

Основной целью актуализации данного документа является установление требований к защите информации для такого субъекта национальной платежной системы (далее – НПС), как оператор электронной платформы (далее – ОЭП). ОЭП – это оператор финансовой платформы, оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов при оказании указанными операторами услуг расчетов по сделкам, совершенным с использованием электронной платформы, пользователям электронной платформы.

Какие требования будут установлены для ОЭП?

Сделали краткую выжимку требований. ОЭП должен:

  • применять меры защиты, установленные ГОСТ 57580.1-2017. При определении уровня защиты информации необходимо опираться на пункты 1.4.3 и 1.4.4 Положения Банка России № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;

  • проводить ежегодное тестирование на предмет наличия возможности проникновения в инфраструктуру и анализ уязвимостей ИБ;

  • проводить оценку соответствия защиты информации с привлечением проверяющей организации и обеспечивать хранение результатов оценки (периодичность оценки устанавливается Положением Банка России № 757-П в зависимости от уровня защиты информации);

  • применять ПО, прошедшее сертификацию в системе сертификации ФСТЭК или прошедшее оценку соответствия по требованиям к ОУД 4 (если ОЭП реализовывает стандартный уровень защиты информации);

  • регистрировать действия, связанные с осуществлением доступа к защищаемой информации;

  • применять меры защиты в отношении персональных данных (152-ФЗ «О персональных данных», Приказ ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»);

  • при использовании СКЗИ в целях защиты информации руководствоваться 63-ФЗ «Об электронной подписи», ПКЗ-2005 (положение о разработке, производстве, реализации и эксплуатации шифровальных/криптографических средств защиты информации), технической документацией на СКЗИ, ПП-1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСБ № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

  • в зависимости от вида совмещаемой деятельности обеспечить выполнение применимых требований Положения Банка России № 757-П;

  • выполнять требования к обеспечению защиты информации на технологических участках и реализовать технологические меры защиты информации при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 161-ФЗ «О национальной платежной системе».

Что изменится для банков?

Для банков, которые имеют статус операторов по переводу денежных средств и которые ранее выполняли требования Положения 719-П, изменений практически нет. В новом документе содержание требований претерпело косметические изменения, но некоторые моменты необходимо выделить:

1. Скорректирован пункт в части информирования Банка России об инцидентах защиты информации:

  • добавлена ссылка на 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;

  • из Положения Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» продублировано требование об информировании о сайтах, которые используются Банками для осуществления их деятельности;

  • помимо предоставления сведений об инцидентах необходимо информировать Банк России о принятых мерах и проведенных мероприятиях по реагированию на выявленные инциденты.

Примечание: Банком России были выпущены Методические рекомендации № 14-МР «По выполнению кредитными и некредитными организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры РФ в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак», в которых указано, что основной канал передачи информации об инцидентах в Банк России – АСОИ ФинЦЕРТ – может использоваться для информирования ФСБ о выявляемых компьютерных атаках и компьютерных инцидентах на объектах КИИ, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, а также для получения информации об актуальных угрозах безопасности (для направления и получения указанной информации необходимо направить соответствующее согласие). В качестве перечня инцидентов, который рекомендуется использовать финансовым организациям, обращаются к стандарту СТО БР БФБО-1.5-2023.

2. Наряду с выполнением требований Приказа ФСБ № 378 добавлена ссылка на ПП-1119. Также пункт 1.7 Положения 821-П скорректирован таким образом, что применяемые СКЗИ должны иметь подтверждение соответствия требованиям ФСБ (раньше было только в отношении СКЗИ российского производства).

3. Скорректирован пункт 1.8 Положения 821-П про использование электронной подписи: должна использоваться усиленная электронная подпись, созданная с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным ФС.

4. Скорректирован пункт про отсылку на КИИ: если субъекты НПС являются объектами КИИ, то они также должны применять для защиты информации требования и порядок, установленные органами государственной власти РФ в области обеспечения безопасности КИИ в соответствии с 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».


Автор: Анастасия Федюнина, ведущий специалист отдела аудита Infosecurity a Softline company
Новости Блог