Эксперты группы компаний Angara разобрались, в чем заключаются основные предлагаемые изменения и какие последствия они принесут для кредитных организаций. Изменения затронули требования:
1.К прикладному программному обеспечению автоматизированных систем и приложений.
2.К обеспечению целостности электронных сообщений и подтверждению их подлинности.
3. В отношении технологии обработки защищаемой информации.
4. К регистрации действий работников и клиентов, связанных с осуществлением доступа к защищаемой информации.
5. По ограничению параметров операций по осуществлению переводов денежных средств.
6. По регистрации инцидентов ИБ и реагированию на инциденты.
7. По информированию Банка России.
8. В части критической информационной инфраструктуры (КИИ).
Требования к сертификации ПО приравнены к тем, что приведены в Положении Банка России №719-П, и полностью им аналогичны. Также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного программного обеспечения (ППО). В случае невозможности или нежелания привлечения внешнего поставщика, Банк, при наличии у него соответствующих ресурсов и возможностей, может провести данную оценку самостоятельно.
Изменения требований в части использования усиленной квалифицированной и/или неквалифицированной электронной подписи (ЭП) являются наиболее спорным и неоднозначно трактуемым в новом проекте. Как правило, в связке АБС/АРМ КБР для подписания формируемых электронных сообщений используются аппаратные токены с ключами усиленной неквалифицированной электронной подписи (УНЭП). Эти токены также используются и для подписания клиентами – юридическими лицами сообщений в системах дистанционного банковского обслуживания (ДБО). Для подписания же электронных сообщений, формируемых клиентами Банка в системе ДБО для физических лиц, используется простая электронная подпись (ПЭП) в виде логина/пароля и кодов подтверждения по СМС/Push.
В новой редакции не конкретизировано, к каким именно случаям подписания электронных сообщений относится указанное требование. Если оно касается в том числе системы ДБО для физических лиц, то, по сути, вводится запрет на использование ПЭП в таких системах. Требования к подписанию электронных сообщений в системах ДБО юридических лиц не меняются.
В число технологических мер, применяемых в рамках идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций, включены новые, предусматривающие необходимость обеспечить:
● в случае если банковская операция осуществляется с мобильных (переносных) устройств вычислительной техники, проверку используемого клиентом – физическим лицом абонентского номера подвижной радиотелефонной связи на основе анализа характера, параметров и объема совершаемых их клиентами операций.
Требование направлено на реализацию дополнительных механизмов проверки номера мобильного телефона клиента, привязанного в мобильном приложении ДБО. Предположительно такие проверки следует осуществлять с использованием антифрод и других аналитических систем. Также внесено требование обеспечить реализацию механизмов подтверждения принадлежности клиенту адреса электронной почты.
Кроме того, добавлено требование о внесении в атрибуты событий кода банковской операции, которое, как правило, выполняется во многих автоматизированных банковских системах. Стоит отметить, что Банк России не отменяет используемый ранее атрибут – «код технологического участка», из чего следует, что эти понятия не тождественны, поэтому надлежит обеспечить регистрацию и кода банковской операции и кода, соответствующего технологическому участку.
Требования об ограничениях на осуществление операций клиентами в целом аналогичны требованию пункта 2.8.3 Положения №382-П и включены в проект в связи с отменой этого нормативного акта с 1 января 2022 года. Ограничения на осуществление переводов денежных средств, как правило, реализуются на уровне настроек параметров систем ДБО и антифрод-систем.
Незначительное изменение внесено в требование к передаче информации об инцидентах ИБ в службу управления рисками кредитной организации. В явном виде указано, что такая передача должна осуществляться в соответствии с пунктом 7.3 Положения Банка России от 8 апреля 2020 года №716-П.
Дополненные рекомендации по информированию Банка России об официальных сайтах организации не являются новыми и устанавливаются Письмом Банка России от 23 октября 2009 года № 128-Т «О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет». В новой редакции Положения №683-П данная рекомендация переведена в разряд обязательного требования.
Дополнение требования о предоставлении информации об инцидентах ИБ видится более существенным: теперь в ФинЦЕРТ официально требуется предоставлять не только информацию о реализованном инциденте ИБ, но и о предпринятых мерах по реагированию на инцидент. Отмечено, что указанные сведения должны предоставляться с использованием технической инфраструктуры ФинЦЕРТ Банка России, а в случае возникновения технической невозможности предоставления – резервного способа взаимодействия, установленного Банком России.
Формулировка в действующей редакции Положения могла быть истолкована как нераспространение Положения №683-П на системы, отнесенные к объектам КИИ. Скорректированная формулировка устанавливает однозначную трактовку в части применения к данным системам и требований к защите КИИ, и требований Положения №683-П.
«Новый проект вносит ряд изменений в требования действующего Положения №683-П, часть из которых является достаточно существенными», – комментирует Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara. По его словам, в случае принятия и утверждения проекта потребуется внести изменения во внутреннюю нормативную документацию, а также в ряд мероприятий по ИБ.
Отдел консалтинга группы компаний Angara предлагает услугу обеспечения комплексной защиты информации в кредитных и некредитных финансовых организациях (НФО). Эксперты выполняют оценку и приведение в соответствие НФО следующим российским и международным стандартам в области ИБ:
● ГОСТ Р 57580.1-2017, №747-П, методики ГОСТ Р 57580.2-2018;
● Закон от 27.06.2011 №161-ФЗ «О национальной платежной системе», Положение Банка России №382-П;
● СТО БР ИББС, СТО БР БФБО, рекомендации РС БР ИББС Банка России;
● Положения Банка России №719-П, №683-П и №757-П,
● PCI DSS и другие стандарты PCI SSC,
● стандарт безопасности SWIFT.
