Ни для кого не секрет, что финансовые организации традиционно являются привлекательной мишенью для злоумышленников, в том числе и в киберпространстве. Зачастую между информацией, обрабатываемой в финансовой организации, и деньгами можно смело поставить знак равенства. Именно поэтому вопросу обеспечения информационной безопасности в финансовых организациях традиционно уделяется много внимания со стороны государства.
Основным регулятором, регламентирующим вопросы обеспечения информационной безопасности в банковской сфере, является Центральный банк Российской Федерации (ЦБ РФ).
Наиболее значимые нормативные документы:
- Положение ЦБ РФ № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», регламентирующее вопросы обеспечения информационной безопасности в рамках переводов денежных средств.
- Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) – рекомендательный стандарт, представляющий собой комплекс документов Банка России, описывающих единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учетом требований российского законодательства.
В 2019 году полномочия ЦБ РФ как регулятора в области информационной безопасности были значительно расширены. Под надзор попали не только банки, но и иные финансовые организации. Был выпущен ряд новых нормативных документов, регламентирующих вопросы обеспечения информационной безопасности и защиты информации.
В данной статье предлагается подробнее рассмотреть и структурировать ключевые требования и особенности каждого документа, а также обозначить возможные проблемы, на которые стоит обратить внимание при реализации данных требований, в том числе исходя из опыта компании Angara Technologies Group, полученного в ходе выполнения проектов по оценке и обеспечению соответствия требованиям новых положений ЦБ РФ.
Положения ЦБ РФ 683-П и 684-П
Положение ЦБ РФ от 9 января 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – «Положение 683-П») и Положение ЦБ РФ от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – «Положение 684-П») регламентируют требования к обеспечению защиты информации в финансовых организациях с целью предотвращения несанкционированных переводов денежных средств.
При этом, как следует из названия, Положение 683-П распространяется на кредитные финансовые организации (банки), а Положение 684-П – на иные некредитные финансовые организации, также данное положение устанавливает усиленные требования для организаций, перечень которых определяется частью 1 статьи 76.1 Федерального закона N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Среди таких организаций страховые компании, НПФ, депозитарии и т.д.
Несмотря на то, что указанные Положения являются разными документами, описывающими требования для разных категорий финансовых организаций, их идеология во многом схожа, поэтому в рамках настоящей статьи предлагается рассматривать их вместе.
Область действия обоих документов распространяется на объекты информационной инфраструктуры, представляющие собой информационные (автоматизированные) системы, участвующие в реализации банковских процессов, связанных с переводом денежных средств.
Первый вопрос, который возникает при изучении Положения 683-П – область действия Положения 683-П схожа с уже существующим Положением 382-П, которое также предъявляет требования к защите информации в рамках перевода денежных средств. В чем различия между этими двумя нормативными актами?
Положение 683-П дополняет и усиливает меры защиты, установленные Положением 382-П, в связи с чем они должны применяться одновременно и распространяться на одну и ту же область действия, т.е. на объекты информационной инфраструктуры, задействованные в процессе переводов денежных средств. Среди экспертов в области информационной безопасности существует иное мнение, связанное с тем, что требования Положения 683-П распространяются на все финансовые и банковские операции (не только на переводы денежных средств) и, соответственно, на все банковские системы, автоматизирующие данные операции. Вопрос остается открытым до появления официальных разъяснений Банка России.
Примечание: согласно информации, озвученной Банком России на профильных конференциях, в настоящее время готовятся изменения в Положение 382-П. Предположительно, новая редакция положения перестанет распространяться на кредитные организации, избавив банки от сложившейся правовой неопределенности. Также в Положение 382-П планируется внести требования для новых субъектов национальной платежной системы, таких как платежные агрегаторы, разработчики платежных приложений, операторы информационного обмена (в соответствии с правками, внесенными в последнюю на момент написания статьи редакцию Федерального закона № 161-ФЗ «О национальной платежной системе»).
Среди требований Положений, которые могут вызвать вопросы при их реализации, можно выделить следующие:
- Обязанность финансовой организации соответствовать определенному уровню защиты информации, установленному в соответствии с ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (требование вступает в силу с 2021 года). Данное требование устанавливает «рамочный» характер новых документов ЦБ, теперь детальные технические требования к защите информации предъявляются единым стандартом, а дополнительные требования (преимущественно организационного характера) включены в состав каждого нормативного документа ЦБ РФ. ГОСТ становится основным драйвером развития защиты информации в финансовых организациях. Данному стандарту посвящен отдельный раздел настоящей статьи.
- Сертификация или анализ уязвимостей платежного ПО. Еще одно важное нововведение, которое направлено на повышение уровня защищенности используемого ПО. Важно отметить, что, согласно изначальным срокам, указанным в Положениях, данное требование должно было быть реализовано до 01.01.2020[НС1] , но ЦБ РФ было опубликовано информационное письмо № ИН-014-56/105 (ИН-014-56/106 – для некредитных финансовых организаций), согласно которому срок реализации данного требования перенесен на 01.07.2020. Также важно отметить, что, согласно п. 4.1 Положения 683-П и п. 9 Положения 684-П, требование распространяется не на все ПО, используемое в рамках переводов денежных средств, а только на то, которое предоставляется клиентам либо с помощью которого осуществляется прием распоряжений клиентов к исполнению в сети Интернет (например, система ДБО, личный кабинет клиента на сайте финансовой организации с функционалом оплаты и т.д.).
- В то же время не стоит забывать и об аналогичном требовании в Положении 382-П, (п. 2.2.5.1), распространяющем необходимость проведения сертификации / анализа уязвимостей уже на все платежное ПО в организации.
- Еще одним спорным вопросом, возникшим с выходом новых Положений, стал вопрос возможности применения финансовыми организациями средств простой электронной подписи (ПЭП) при подписании клиентом платежных сообщений с использованием систем ДБО или иных систем. Согласно п. 5.1. Положения 683-П и п. 10 Положения 684-П, организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. К счастью, данный вопрос был урегулирован совсем недавно. ЦБ РФ было опубликовано информационное письмо от 30 января 2020 г. № ИН-014-56/4, согласно которому использование ПЭП по-прежнему допускается при соблюдении закрепления в договорах с клиентами соответствующих положений.
- Выделение так называемых «технологических участков». Данное нововведение устанавливает требование документировать, реализовывать и обеспечивать контроль технологии обработки защищаемой информации на всех этапах переводов денежных средств. В документе определены следующие технологические участки:
- Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций – сюда относится, к примеру, работа клиента с системой ДБО или мобильного банкинга;
- Формирование (подготовка), передача и прием электронных сообщений – формирование электронного сообщения (платежного поручения) в АБС или ДБО;
- Удостоверение права клиентов распоряжаться денежными средствами – получение клиентом подтверждающего СМС или использование иных средств, в том числе и ПЭП;
- Осуществление банковской операции, учет результатов ее осуществления – банковские проводки в АБС;
- Хранение электронных сообщений и информации об осуществленных банковских операциях.
Несмотря на то, что интуитивно требование вполне понятно, обязанность регламентации технологии обработки информации в контексте ее деления на технологические участки является новой и требует определенных трудозатрат, что также необходимо учитывать, планируя реализацию данного требования.
- Финансовые организации обязаны информировать ЦБ РФ об инцидентах информационной безопасности в соответствии с рекомендуемым форматом и способом, согласованным с ФСБ России и размещенным на сайте ЦБ РФ. Речь в данном пункте идет о стандарте СТО БР БФБО 1.5 – 2018 «О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации». Несмотря на то, что стандарт относится к комплексу стандартов СТО БР ИББС и, следовательно, является рекомендательным, он, в то же время, является единственным документом, размещенным на сайте Банка России, который устанавливает форму и сроки, а также описывает именно те форматы, которые используются при взаимодействии финансовых организаций с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (FinCERT). Таким образом «де-факто» СТО БР БФБО 1.5-2018 является обязательным к исполнению. Следовательно, информирование Банка России о выявленных инцидентах организуется с использованием личного кабинета FinCERT, при этом должны быть учтены рекомендации СТО БР БФБО 1.5-2018.
- Использование средств криптографической защиты информации (СКЗИ) – согласно требованиям Положений, при использовании СКЗИ в том числе необходимо выполнять требования технической документации на СКЗИ, к которой относятся формуляры, инструкции, руководства пользователя и прочие документы. На практике об этом часто забывают, например, не всегда заполняются формуляры СКЗИ, в ряде случаев не используются необходимые технические средства для защиты среды функционирования СКЗИ (сертифицированные средства защиты от несанкционированного доступа, антивирусы и т.д.).
Реализация требований Положений 683-П и 684-П с учетом вышеперечисленных моментов позволит финансовой организации быть как гораздо более защищенной, так и более подготовленной к возможным проверкам ЦБ РФ.
Положение ЦБ РФ 672-П
Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» (далее – «Положение 672-П») регламентирует обеспечение информационной безопасности при переводах денежных средств в рамках платежной системы Банка России.
Положение 672-П введено взамен утратившему силу Положению Банка России от 24 августа 2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России». Область действия Положения распространяется на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемое кредитными организациями (в том числе филиалами кредитных организаций) в процессе перевода денежных средств в платежной системе ЦБ РФ.
Необходимость разработки нового Положения тесно связана с изменениями, внесеннымив Положение Банка России № 595-П «О платежной системе Банка России», которое, в свою очередь, описывает основные принципы функционирования платежной системы ЦБ РФ. Теперь перевод денежных средств участников платежной системы Банка России может осуществляться с использованием сервиса срочного перевода, сервиса несрочного перевода и сервиса быстрых платежей.
Сервисы срочного перевода и несрочного перевода являются основными сервисами, которые обязаны использовать все кредитные организации. Сервис (система) быстрых платежей (СБП) – это перспективная технология межбанковских переводов с использованием номера мобильного телефона. На момент написания статьи подключение кредитных организаций к СБП является добровольным.
Было введено понятие операционного и платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (ОПКЦ). В соответствии с официальной информацией, размещенной на сайте СБП, таким центром является Национальная система платежных карт (НСПК). Также на сайте СБП доступен для ознакомления список кредитных организаций, подключившихся к СБП.
Все эти изменения нашли свое отражение в Положении 672-П. Еще одним немаловажным изменением является требование обеспечить подписание электронного сообщения (платежного документа), формируемого в автоматизированной системе (например, АБС), средствами электронной подписи также в АБС. Ранее подписание осуществлялось с использованием ПО АРМ КБР. С выходом нового Положения данное ПО, предназначенное для передачи электронных (платежных) сообщений в Банк России, получило новую модификацию – АРМ КБР-Н.
На практике данное требование реализуется, как правило, добавлением специального функционала (модуля) в АБС. Например, в АБС Diasoft таким модулем является модуль ЗЭС – «Защита электронных сообщений».
Положение 672-П, как и рассмотренные ранее нормативные документы ЦБ РФ, требует обеспечить соответствие кредитных организаций требованиям ГОСТ 57580.1, начиная с 2021 года, в частности обеспечить соответствие стандартному (второму) уровню защиты (за исключением ОПКЦ, который должен обеспечить соответствие усиленному (первому) уровню защиты с момента ввода Положения 672-П в действие).
Среди основных проблем, с которыми кредитная организация может столкнуться при реализации требований данного нормативного документа, важно отметить следующие:
- Представляется достаточно сложным определить четкую область действия Положения. Согласно п. 1.1 Приложения 1 к Положению 672-П в кредитной организации должны быть созданы контуры формирования и контроля формирования электронных сообщений, при этом каждый из контуров должен быть реализован с учетом разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров. Исходя из того, что формирование электронного сообщения зачастую осуществляется в основном (расчетном) модуле АБС, следует, что АБС также необходимо рассматривать в рамках контура формирования сообщений, что приводит к тому, что данная система также входит в область действия рассматриваемого Положения. В то же время, действовавшее ранее Положение 552-П распространялось исключительно на АРМ КБР. На момент написания статьи со стороны ЦБ РФ не предоставлено официальных разъяснений по данному вопросу. Пока кредитной организации следует принимать решение, готова ли она включать АБС в область действия новых требований, самостоятельно.
- Другой немаловажный вопрос, на который также следует обратить внимание, заключается в обеспечении защиты информации с использованием СКЗИ. В рамках платежной системы Банка России для работы с АРМ КБР-Н требуется использование СКЗИ «СКАД Сигнатура», произведенного компанией ООО «Валидата». При этом согласно п. 7 Положения 672-П, защита информации с использованием СКЗИ должна осуществляться в том числе в соответствии с требованиями технической документации на СКЗИ. Как показывает практика, зачастую в банках не выполняются требования документа «ВАМБ.00107-01 30 01 «Система криптографической авторизации электронных документов «Сигнатура» версия 5 «Сигнатура-Клиент» (формуляр)», документа «ВАМБ.00106-01 30 01 «Система криптографической авторизации электронных документов «Сигнатура» версия 5 (формуляр)», такие как:
- Использование межсетевых экранов, сертифицированных по требованиям ФСБ России не ниже 4 класса защиты, для передачи информации, поступающей от СКЗИ и на СКЗИ при использовании выходящих за пределы контролируемой зоны каналов связи;
- Использование средств антивирусной защиты, сертифицированных ФСБ России по классу Б (для применения на серверах) и классу В (для применения на рабочих станциях).
- Невыполнение данных требований автор связывает в том числе и с тем, что указанных межсетевых экранов практически нет на рынке (по состоянию на 01.03.2020 в реестр сертифицированных средств защиты информации ФСБ включено всего 14 продуктов, соответствующих данным требованиям). В то же время известно, что в рамках проводимых надзорных мероприятий ЦБ РФ проверяет в том числе и реализацию указанных требований, следовательно, кредитным организациям нужно быть готовыми к возможным вопросам, которые могут возникнуть у проверяющих.
- Еще один момент, о котором часто забывают, – требования Положения 672-П не отменяют необходимость выполнения иных требований Банка России. Участок платежной системы Банка России попадает в область действия и рассмотренного ранее Положения 683-П и Положения 382-П, в связи с чем важно учитывать все применимые требования всех указанных документов.
В заключение – несколько слов о Положении 552-П. Несмотря на то, что, как уже говорилось ранее, данное Положение утратило силу, описанные в нем требования по защите информации были перенесены в договор между кредитной организацией и Банком России (форма договора установлена информационным письмом ЦБ РФ от 5 апреля 2018 г. № 04-45/2470 «О договоре об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России». При этом, согласно п. 5.2 договора, данные требования применяются не ко всем кредитным организациям, а к тем, которые являются участниками Системы передачи финансовых сообщений (СПФС) Банка России – им нужно учитывать в своей работе как требования Положения 672-П, так и требования Положения 552-П.
ГОСТ 57580.1
В 2018 году вступил в действие государственный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – «ГОСТ»). Цель разработки нового стандарта заключалась в необходимости унификации требований к обеспечению защиты информации в финансовых организациях в связи с изменением подхода к нормативному регулированию со стороны Банка России.
В стандарте меры по защите информации разделяются в соответствии с тремя уровнями защиты (третий – «базовый», второй – «стандартный», первый – «усиленный»). Также введено понятие контура безопасности – совокупности объектов информатизации, определяемой областью применения стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Необходимость обеспечения того или иного уровня защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Так, согласно рассмотренным ранее Положениям ЦБ РФ, банки, в рамках переводов денежных средств, обязаны реализовать требования, соответствующие второму (стандартному) уровню (за исключением системно значимых, которые должны реализовать требования для первого (усиленного) уровня).
Еще одно нововведение данного стандарта заключается в том, что он является обязательным к исполнению, даже несмотря на то, что, согласно законодательству РФ о техническом регулировании, стандарты представляют собой рекомендательные документы. Это в корне отличает данный стандарт от СТО БР ИББС, обязанность исполнения которого могла быть установлена только путем ввода в действие приказа руководства кредитной организации о присоединении к стандарту. Обязательность же исполнения ГОСТ конкретными типами финансовых организаций устанавливается нормативными актами ЦБ РФ, рассмотренными ранее.
С какими сложностями можно столкнуться при реализации требований стандарта?
- ГОСТ написан на стыке технического и юридического языков, некоторые формулировки перегружены излишними словесными конструкциями, также не все требования стандарта являются однозначными, формулировка некоторых требований может допускать их расширенное трактование. В качестве примера можно привести требование РД 18: «Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации». На первый взгляд данное требование достаточно тривиально и является реализацией стандартной практики хеширования паролей, однако фраза «передачу куда-либо, кроме средств или систем аутентификации» может трактоваться в том числе как необходимость обеспечить контроль за передаваемыми паролями между сотрудниками организации с использованием организационных методов или средств DLP. Другой пример – требование ПУИ.14: «Запрет хранения и обработки информации конфиденциального характера на объектах доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет». Если трактовать данное требование так, как оно описано, можно прийти к выводу, что все рабочие места пользователей автоматизированной системы (например, АБС) не должны иметь доступа в Интернет, так как в АБС осуществляется обработка конфиденциальной информации. Однако, автор полагает, что речь в данном требовании идет об объектах информационной инфраструктуры, находящихся в сегменте DMZ, в отношении которых должны быть приняты меры по размещению баз данных, в которых осуществляется хранение и обработка конфиденциальной информации, во внутреннем сегменте сети, отделенном от демилитаризованной зоны и иных недоверенных сетей (по аналогии с требованием 1.3.6 стандарта PCI DSS). Таким образом, трактовка того или иного требования будет в существенной мере зависеть от аудитора, проводящего оценку выполнения требований. При этом нужно учитывать, что от лица, проводящего аудит, требуется высокий уровень компетентности и внимательности. Для решения данной проблемы Центральный Банк в настоящее время рассматривает необходимость введения механизма обязательной аккредитации аудиторов, а также организации обучения по курсам, согласованным с ЦБ РФ.
- Управлению информационной безопасности в самом стандарте отведен небольшой раздел, описывающий конкретные меры (преимущественно организационного характера) в соответствии с известным подходом PDCA (Plan – Do – Check – Act, Планирование – Реализация – Контроль – Совершенствование). При этом в стандарте отсутствует требование проведения оценки рисков информационной безопасности, в отличие от того же СТО БР ИББС. По информации от Банка России, в настоящее время завершается разработка отдельного ГОСТ, описывающего процесс управления рисками информационной безопасности (киберрисками). Известно, что управление рисками информационной безопасности в новом стандарте планируется связать с управлением операционными рисками организации. В связи с этим ЦБ РФ опубликован проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», с выходом которого риски нарушения информационной безопасности, а также ИТ-риски будут официально включены в состав операционных.
При всех описанных недостатках новый ГОСТ является значительным шагом вперед в нормативном регулировании ЦБ РФ. Порядок реализации защитных мер приобрел схожесть с порядком, установленным в приказах ФСТЭК России, меры можно исключать, дополнять и адаптировать исходя из структурно-функциональных особенностей защищаемых объектов, наличия или отсутствия конкретных применяемых технологий, а также от наличия актуальных угроз безопасности информации.
В целом, по своей идеологии и детализации требований ГОСТ схож с ранее упомянутым стандартом PCI DSS, а также стандартами общества SWIFT. Стандарт направлен на повышение реальной защищенности финансовых организаций путем применения технических мер, в том числе путем использования продвинутых технических средств защиты информации, таких как системы SIEM, DLP, MDM и другие. ГОСТ также допускает использование компенсирующих защитных мер, однако применять их стоит с осторожностью, так как важно помнить, что с 2021 года Банк России начнет проводить проверочные мероприятия по реализации требований данного стандарта. Соответственно, при использовании компенсирующих мер финансовой организации следует в том числе подготовить достаточные документальные обоснования их применения и быть готовой продемонстрировать их проверяющим.
В настоящей статье были рассмотрены новые нормативные документы Банка России, в том числе их основные требования и положения, которые могут вызывать вопросы при их реализации у финансовых организаций.
По результатам анализа новых документов можно сделать однозначный вывод, что новые положения отражают тенденцию Банка России к усилению нормативного регулирования информационной безопасности, а также смещают фокус с выполнения формальных требований на обеспечение реальной защищенности подведомственных организаций.
Автор:
Эксперт отдела консалтинга и аудита
Angara Technologies Group
Статья опубликавана на портале
ib-bank.ru