719-П: обзор положения ЦБ РФ от Cyber-Fort

719-П: обзор нового положения от Центрального Банка РФ
Несмотря на приближающуюся вторую волну коронавируса, удаленку и другие прелести настоящего времени, ДИБ (Департамент Информационной Безопасности) Банка России работает в полную силу и продолжает радовать нас новой нормативной документацией.

Очевидно, что положению 382-П в текущей редакции осталось жить совсем недолго. В связи с этим появлением нового нормативного документа взамен 382-П не стало чем-то неожиданным. После всех согласований с Министерством Юстиции (новое положение несколько раз возвращали на доработку), 23 сентября 2020 года было зарегистрировано Положение Банка России от 4 июня 2020 г. N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Cyber-Fort провел детальный анализ и выяснили, чем оно отличается от 382-П, вводятся ли новые требования и чего ждать финансовым организациям в относительно ближайшем будущем.

СТРУКТУРА
Первое, на что хотелось бы обратить внимание – структура Положения, которая стала намного понятнее и проще для восприятия. Теперь каждый раздел, кроме первого, относится к конкретному субъекту ПС – операторам по переводу, БПА, операторам услуг, операторам ПС и т.д. Нет необходимости вчитываться в каждый пункт Положения, как в 382-П, чтобы понять, относится требование к субъекту или нет. Также стоит отметить, что основная часть требований 719-П перекочевала туда из 382-П и 683-П, то есть сложности в их выполнении быть не должно, если ФО (финансовая организация) соблюдала их и раньше.

ОТДЕЛЬНЫЕ ПУНКТЫ
ОУД и сертификация ПО
Первое, на что обращаешь внимание при чтении Положения (может быть, потому что это один из первых пунктов) — никуда не делось требование по сертификации или анализу уязвимостей по требованиям ОУД.4, причем со ссылкой на ГОСТ Р 15408-3-2013. Однако теперь ПО, подлежащее сертификации/анализу уязвимостей, явно указано по пунктам, а не в одном сумбурном предложении. Итак, сертификации/анализу уязвимостей по ОУД.4 подлежит следующее ПО:
  • ПО, отдаваемое клиентам для перевода денежных средств;
  • ПО, осуществляющее непосредственный прием к исполнению поручений клиентов через Интернет.
Далее по тексту в пунктах 2.5, 3.8-3.10, 4.6 и 6.10 обозначены требования, согласно которым в случае, если все-таки было принято решение делать сертификацию, выполнять ее необходимо согласно Приказу ФСТЭК России №131 (новая система сертификации по УД).
Причем, что немаловажно, разным типам субъектов разрешается сертифицировать ПО по разным УД:
  • Системно значимые операторы по переводу денежных средств (ОПДС) – обязательная сертификация по требованиям УД.4  (п.2.5)
  • Иные ОПДС – обязательная сертификация по требованиям УД.5 (п.2.5)
  • Банковские платежные агенты (БПА) – по требованию ОПДС проводится сертификация по требованиям УД.6 (п.3.8-п.3.10)
  • Операторы услуг информационного обмена (ОУИО) – добровольная сертификация по требованиям УД.5 (п.4.6)
  • Значимые операторы услуг платежной инфраструктуры (ОУПИ) – добровольная сертификация по требованиям УД.4 (п.6.9-п.6.10)
  • Иные ОУПИ – добровольная сертификация по требованиям УД.5 (п.6.9-п.6.10)
Таким образом, вывод следующий — анализ уязвимостей можно проводить по старым требованиям (ГОСТ Р 15408-3-2013), а сертификацию — только по новым требованиям (Приказ ФСТЭК России №131). При этом, для ОПДС установлена обязательная сертификация, а для остальных типов субъектов – относительно добровольная, т.е. им оставили возможность делать анализ уязвимостей по ОУД.4 вместо сертификации.

Стоит отметить, что нигде не упоминается недавно разработанный и выпущенный Банком России профиль защиты платежных приложений, на основании которого, по идее, и должна проводиться сертификация или анализ уязвимостей.

Требования к обеспечению безопасности БПА
Следующее, на что хотелось бы обратить внимание – увеличение требований по ИБ для БПА, ведь теперь под них даже выделена отдельная глава.

Согласно положению 719-П, всем БПА необходимо обеспечивать минимальный уровень защищенности по ГОСТ (п.3.5). Естественно, по решению самого БПА данный уровень может быть повышен. Как можно заметить, это первое появление минимального уровня защищенности по ГОСТ в системе нормативной документации Банка России. Ждем подобного и для других небольших ФО.

Тем не менее, требование об обеспечении какого-либо уровня соответствия по ГОСТ Р 57580 и о проведении оценки соответствия установлены только для БПА, являющихся платежными агрегаторами (п.3.5-3.7). Для других БПА данных требований в явном виде не установлено.

Но согласно п.2.11 ОПДС должны при привлечении БПА, самостоятельно определить для них критерии необходимости и периодичности тестирования на проникновение , оценки соответствия, сертификации или оценки соответствия используемого прикладного ПО АС. Такими критериями, например, могут являться: оборот БПА, значимость БПА для бизнес-процессов ОПДС, операции, которые выполняет БПА и т.д.  каждый ОПДС может определять их самостоятельно.

БПА, в свою очередь, должны выполнять указанные мероприятия в соответствии с критериями, установленными ОПДС (п.3.8, 3.9).

Указание ответственности за невыполнение требований Положения
ЦБ впервые добавил в Положение по ИБ конкретную ответственность за его невыполнение. А это, как показывает практика, вопрос достаточно частый и насущный. Теперь в п.7.3 Положения 719-П указываются конкретные статьи 86-ФЗ и 161-ФЗ, согласно которым ЦБ может применять меры:
  • ст.74 86-ФЗ – для КО;
  • ст.32 161-ФЗ – для НФО.
Дополнительные требования для БПА, ОУИО, ОУПИ
В дополнение к основным мерам, перечисленным в Положении 719-П, к нему добавлены приложения 1 и 2, содержащие дополнительные технологические меры защиты для БПА, ОУИО, ОУПИ (прил.1), а также порядок их применения (прил.2).

Приятно видеть, что приложение 2 ЦБ гранулированно разделяет требования не только в отношении субъектов ПС, а также и в отношении конкретных технологических участков деятельности ФО – например, «участок формирования и приема электронных сообщений», «участок хранения электронных сообщений» и т.д.

Для каждого из таких участков определен необходимый набор мер из п.1.1-1.11 из приложения 1. Данные требования перекочевали напрямую из 683-П, которое и так необходимо для выполнения всеми кредитными организациями и ОПДС (п.2.1 Положения 719-П). Следовательно, теперь они частично распространяются и на других субъектов национальной платежной системы (НПС).

Необходимый уровень соответствия ГОСТ Р 57580 и сроки вступления Положения в силу
Теперь всем субъектам НПС необходимо в той или иной степени выполнять требования ГОСТ Р 57580 и проводить оценку соответствия:
  • ОПДС – стандартный или усиленный уровень защищенности (УЗ) (п.2.3, 2.4);
  • БПА (платежные агрегаторы) – минимальный УЗ (3.5-3.7);
  • БПА (иные) – минимальный УЗ (по требованию ОПДС) (3.5-3.7);
  • ОУИО – стандартный УЗ (4.3-4.5);
  • ОУПИ – стандартный или усиленный УЗ (6.5, 6.7, 6.8).
Оценку соответствия по ГОСТ необходимо проводить раз в два года. И обеспечивать необходимо уровень соответствия не ниже четвертого (оценка по ГОСТ от 0,86).

А теперь самое интересное:
  • Согласно п.9.2 Положения 683-П, кредитные организации должны обеспечить четвертый уровень соответствия по ГОСТ с 1 января 2023 года;
  • Положение 719-П вступает в силу с 1 января 2022 года;
  • Отсрочки пунктов, регламентирующих уровень соответствия в 719-П, не предусмотрено.
Сложив все факты, получаем, что четвертый уровень соответствия, которому ранее необходимо было соответствовать с 1 января 2023 года, теперь необходимо соответствовать с 1 января 2022 года. То есть, для кредитных организаций время обеспечения такого уровня соответствия сократилось на год! А связано это с тем, что вступление в силу Положения 719-П планировалось с 1 января 2023 года, что полностью вписывается в указанные сроки. Но при сдвиге этого срока на год назад, в ЦБ, видимо, не обратили внимание на несостыковку. Возможен и другой вариант: ЦБ таким образом форсирует события и заставляет ФО быстрее внедрять требования ГОСТ.

В любом случае, что и как будет дальше – неизвестно. Тем более, что требования об обеспечении третьего уровня соответствия (оценка 0,71) в силу еще не вступили. Возможно, что и этот срок будет сдвинут, так как недавно ЦБ разослал всем ФО требование о проведении самооценки – своеобразный скрининг текущего состояния.
719-П Cyber-Fort обзор ЦБ России ЦБ РФ
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Cyber Fort

Корпоративный блог Cyber-Fort.Ru про банковскую информационную безопасность и не только.