Изменения в сфере информационной безопасности в 2020 году

В конце года все готовятся к празднику. Но финансовым организациям пора готовиться и к нововведениям в нормативном законодательстве, в том числе в сфере информационной безопасности. Давайте разберемся в новых требованиях, которым необходимо соответствовать в 2020 году.

1. Сертификация прикладного ПО
Начнем, пожалуй, с главного и самого сложного требования, которое сейчас активно обсуждается финансовыми организациями (ФИ). С 2020 года все прикладное программное обеспечение для перевода денежных средств, которое используют финансовые организации (банки, НКО, НФО), должно быть сертифицировано во ФСТЭК или должно соответствовать требованиям по оценочному уровню доверия ОУД.4 (по классификации ГОСТ Р ИСО/МЭК 15408-3-2013).

Первый логичный вопрос: какое ПО имеется в виду? Второй: нужно ли сертифицировать Microsoft Office? Исходя из содержания нормативных документов ЦБ РФ (Положений №382-П, №683-П, №684-П и ГОСТ Р 57580.1-2017), под таким прикладным ПО подразумевается в первую очередь автоматизированная банковская система и система дистанционного банковского обслуживания — системы, которые непосредственно используются для денежных переводов.

Третий вопрос: что вообще означает данное требование? С этим сложнее. Раньше, когда действовала старая система сертификации ФСТЭК, подобное требование означало, что ПО либо должно быть сертифицировано ФСТЭК, либо проверено на отсутствие уязвимостей согласно ОУД.4. С 2020 года ФСТЭК меняет свою систему сертификации, поэтому ГОСТ Р ИСО/МЭК 15408-3-2013 более не актуален. Сейчас из-за путаницы в понятиях ЦБ РФ совместно с Техническим комитетом №122 разрабатывают и обсуждают «Профиль защиты для банковских приложений». В дальнейшем сертификация и/или анализ уязвимостей будут проводиться в соответствии с этим профилем.

Отсюда еще один логичный вопрос: нужно ли финансовым организациям что-то делать уже сейчас? Ответ: да. Несмотря на то, что профиль защиты еще не утвержден, требование все-таки вступает в силу с 1 января 2020 г. Однако самостоятельный анализ уязвимостей большинству ФИ не под силу. Такие работы достаточно сложны и должны проводиться только лицензиатами ФСТЭК. Отдельные испытательные лаборатории уже предлагают услуги по проведению анализа по ГОСТ Р ИСО/МЭК 15408. Другого выхода из ситуации пока что нет. Даже несмотря на утверждения Центробанка о том, что штрафы за нарушение данного требования в 2020-м накладываться не будут, оценка по Положению №382-П и ГОСТ Р 57580 все равно будет снижена.

2. Изменение в требованиях Положения №382-П
Следующее изменение в требованиях касается некоторых пунктов Положения №382-П: в силу вступают пункты 2.10.5 — 2.10.7.

2.10.5 Если коротко, то при переводах денежных средств через интернет и/или распространения платежного ПО для клиента (мобильный банк, приложение для ПК), оператор должен жестко разделить контуры формирования и контроля отправки электронных сообщений — например, использовать два мобильных приложения: в одном создавать платежи, в другом подтверждать. Либо — определить ограничения по операциям и обеспечить возможность для клиента устанавливать такие ограничения.

Пункт 2.10.6 устанавливает требования к первому способу (перечень мер для разделения контуров), а 2.10.7 — ко второму (перечень параметров, по которым могут применяться ограничения).

В целом, если ФИ ранее выполняла похожее требование Положения №382-П про ограничения на параметры операций (п. 57.4), то никаких других мер внедрять не нужно. В любом случае, вводить ограничения по параметрам операций проще, чем изменять логику мобильного приложения — тем более, если оно не собственной разработки.

3. Изменения в Положении №672-П
Это изменение касается операционных и клиринговых центров. С 1 января 2020 года ОПКЦ при отправке сообщений в Банк России должны применять сертифицированные средства защиты информации, которые реализуют двустороннюю аутентификацию и шифрование на канальном и сетевом уровнях модели ISO/OSI. Получается, что теперь для связи с ЦБ РФ необходимо использовать сертифицированные ФСБ криптошлюзы, которых на рынке не так уж много. Непонятно, как выполнение данного требования будет согласовываться с ЦБ РФ, ведь со стороны регулятора также будет необходимо использовать аналогичное сертифицированное СЗИ.

Будем надеяться, что перечисленные в этом посте темные места все-таки будут прояснены или уточнены регулятором.