Обзор проекта изменений в Положение Банка России № 683-П

На сайте Банка России опубликован проект изменений в Положение №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Предполагаемая дата вступления изменений в силу в случае утверждения проекта – 1 апреля 2022 года.

Эксперты группы компаний Angara разобрались, в чем заключаются основные предлагаемые изменения и какие последствия они принесут для кредитных организаций. Изменения затронули требования:

1.К прикладному программному обеспечению автоматизированных систем и приложений.

2.К обеспечению целостности электронных сообщений и подтверждению их подлинности.

3. В отношении технологии обработки защищаемой информации.

4. К регистрации действий работников и клиентов, связанных с осуществлением доступа к защищаемой информации.

5. По ограничению параметров операций по осуществлению переводов денежных средств.

6. По регистрации инцидентов ИБ и реагированию на инциденты.

7. По информированию Банка России.

8. В части критической информационной инфраструктуры (КИИ).

Требования к сертификации ПО приравнены к тем, что приведены в Положении Банка России №719-П, и полностью им аналогичны. Также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного программного обеспечения (ППО). В случае невозможности или нежелания привлечения внешнего поставщика, Банк, при наличии у него соответствующих ресурсов и возможностей, может провести данную оценку самостоятельно.

Изменения требований в части использования усиленной квалифицированной и/или неквалифицированной электронной подписи (ЭП) являются наиболее спорным и неоднозначно трактуемым в новом проекте. Как правило, в связке АБС/АРМ КБР для подписания формируемых электронных сообщений используются аппаратные токены с ключами усиленной неквалифицированной электронной подписи (УНЭП). Эти токены также используются и для подписания клиентами – юридическими лицами сообщений в системах дистанционного банковского обслуживания (ДБО). Для подписания же электронных сообщений, формируемых клиентами Банка в системе ДБО для физических лиц, используется простая электронная подпись (ПЭП) в виде логина/пароля и кодов подтверждения по СМС/Push. 

В новой редакции не конкретизировано, к каким именно случаям подписания электронных сообщений относится указанное требование. Если оно касается в том числе системы ДБО для физических лиц, то, по сути, вводится запрет на использование ПЭП в таких системах. Требования к подписанию электронных сообщений в системах ДБО юридических лиц не меняются.

В число технологических мер, применяемых в рамках идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций, включены новые, предусматривающие необходимость обеспечить:

●        идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа;

●        в случае если банковская операция осуществляется с мобильных (переносных) устройств вычислительной техники, проверку используемого клиентом – физическим лицом абонентского номера подвижной радиотелефонной связи на основе анализа характера, параметров и объема совершаемых их клиентами операций.

Требование направлено на реализацию дополнительных механизмов проверки номера мобильного телефона клиента, привязанного в мобильном приложении ДБО. Предположительно такие проверки следует осуществлять с использованием антифрод и других аналитических систем. Также внесено требование обеспечить реализацию механизмов подтверждения принадлежности клиенту адреса электронной почты.

Кроме того, добавлено требование о внесении в атрибуты событий кода банковской операции, которое, как правило, выполняется во многих автоматизированных банковских системах. Стоит отметить, что Банк России не отменяет используемый ранее атрибут – «код технологического участка», из чего следует, что эти понятия не тождественны, поэтому надлежит обеспечить регистрацию и кода банковской операции и кода, соответствующего технологическому участку.

Требования об ограничениях на осуществление операций клиентами в целом аналогичны требованию пункта 2.8.3 Положения №382-П и включены в проект в связи с отменой этого нормативного акта с 1 января 2022 года. Ограничения на осуществление переводов денежных средств, как правило, реализуются на уровне настроек параметров систем ДБО и антифрод-систем.

Незначительное изменение внесено в требование к передаче информации об инцидентах ИБ в службу управления рисками кредитной организации. В явном виде указано, что такая передача должна осуществляться в соответствии с пунктом 7.3 Положения Банка России от 8 апреля 2020 года №716-П.

Дополненные рекомендации по информированию Банка России об официальных сайтах организации не являются новыми и устанавливаются Письмом Банка России от 23 октября 2009 года № 128-Т «О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет». В новой редакции Положения №683-П данная рекомендация переведена в разряд обязательного требования.

Дополнение требования о предоставлении информации об инцидентах ИБ видится более существенным: теперь в ФинЦЕРТ официально требуется предоставлять не только информацию о реализованном инциденте ИБ, но и о предпринятых мерах по реагированию на инцидент. Отмечено, что указанные сведения должны предоставляться с использованием технической инфраструктуры ФинЦЕРТ Банка России, а в случае возникновения технической невозможности предоставления – резервного способа взаимодействия, установленного Банком России.

Формулировка в действующей редакции Положения могла быть истолкована как нераспространение Положения №683-П на системы, отнесенные к объектам КИИ. Скорректированная формулировка устанавливает однозначную трактовку в части применения к данным системам и требований к защите КИИ, и требований Положения №683-П.

«Новый проект вносит ряд изменений в требования действующего Положения №683-П, часть из которых является достаточно существенными», – комментирует Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara. По его словам, в случае принятия и утверждения проекта потребуется внести изменения во внутреннюю нормативную документацию, а также в ряд мероприятий по ИБ.

Отдел консалтинга группы компаний Angara предлагает услугу обеспечения комплексной защиты информации в кредитных и некредитных финансовых организациях (НФО). Эксперты выполняют оценку и приведение в соответствие НФО следующим российским и международным стандартам в области ИБ:

●        ГОСТ Р 57580.1-2017, №747-П, методики ГОСТ Р 57580.2-2018;

● Закон от 27.06.2011 №161-ФЗ «О национальной платежной системе», Положение Банка России №382-П;

●        СТО БР ИББС, СТО БР БФБО, рекомендации РС БР ИББС Банка России;

●        Положения Банка России №719-П, №683-П и №757-П,

●        PCI DSS и другие стандарты PCI SSC,

●        стандарт безопасности SWIFT.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах