Организации финансового рынка обязаны проводить тестирование на проникновение и анализировать выявленные уязвимости ежегодно.
Ранее мы уже рассматривали нормативную базу, регламентирующую порядок проведения подобных тестирований в банковской сфере. Однако законодательство в области обеспечения защиты информации динамично развивается, и в 2025 году вступили в силу несколько нормативных правовых актов (далее – НПА), содержащих принципиальные изменения относительно ранее существовавших законов и положений.
Перечень основных нормативных документов по анализу защищенности в банковской сфере
Требование о проведении тестирований и анализа уязвимостей зафиксировано целым рядом НПА, в том числе положениями Банка России:
Федеральный закон № 161-ФЗ «О национальной платежной системе»
№719-П от 04.06.2020 г.;
№757-П от 21.04.2021 г.;
№821-П от 17.08.2023 г.;
№851-П от 30.01.2025 г. (введен в действие взамен №683-П от 17.04.2019 г.);
ГОСТ Р 57580.1-2017.
Вплоть до 2025 года сам процесс тестирования был детализирован слабо – основные работы, подходы и рекомендации по составлению итогового отчета содержались только в документе PC БР ИББС-2.6-2014, действие которого распространялось только на автоматизированные банковские системы.
В январе 2025 года Банк России представил новые методические рекомендации 2-МР, регламентирующие проведение анализа защищенности финансовых организаций.
Рассмотрим основные моменты новых нормативных актов.
Новые методические рекомендации
Основная цель документа – унифицировать подход финансовых организаций к тестированию на проникновение, а также определить, как именно должен осуществляться анализ уязвимостей, какая информация должна попадать в отчетные документы в обязательном порядке.
№2-МР регламентирует целый ряд ключевых моментов, в число которых вошли:
требования к техническому заданию на проведение тестирования и анализа уязвимостей;
основные требования к содержанию отчета по итогам проведения работ (также указан рекомендуемый срок хранения отчетных документов – согласно рекомендациям, он составляет 5 лет);
задачи и цели проведения указанных работ;
рекомендованные методики проведения тестирования, а также порядок применения автоматизированных инструментов моделирования (атак с учетом выявленных в ИС уязвимостей;
рекомендованный порядок проведения анализа выявленных уязвимостей (в частности, оценивать их критичность Банк России предлагает в соответствии с Методикой ФСТЭК РФ)
перечень организационно-распорядительных документов и локальных нормативных актов организации, требования которых должны учитываться при тестировании и анализе;
порядок направления информации о результатах тестирования и анализа в адрес Банка России.
Также финансовые организации могут найти в НПА информацию о том, в каких ситуациях они могут проводить подобные работы самостоятельно (и как именно Банк России рекомендует это делать) и в каких случаях стоит привлечь стороннюю организацию (с указанием требований к подобному подрядчику).
Требования по ИБ для иностранных банков
Положение устанавливает обязанность банка защищать данные при совершении операций в рамках своей деятельности, не ограничиваясь при этом только денежными переводами. Действие документа распространяется на кредитные организации и иностранные банки, которые действуют на территории РФ через свои филиалы и представительства.
Основные положения, содержащиеся в документе:
уточнены нормы, регламентирующие использование криптографии для обеспечения безопасности данных;
определен порядок использования средств электронной подписи;
установлены нормы, которые должны помочь предотвратить вовлечение несовершеннолетних граждан в противоправную деятельность в финансовой сфере;
определены механизмы, позволяющие противодействовать совершению денежных операций при злоупотреблении доверием или под влиянием обмана.
Заключение
Тесты на проникновение и проведение анализа выявленных уязвимостей входят в число обязательных мероприятий, необходимых не только для соблюдения требований законодательства в сфере ИБ для финансового сектора, но и повышения общего уровня защищенности информации в Организации.
