Простыми словами о сложном: ИБ в финансовых организациях

Простыми словами о сложном: ИБ в финансовых организациях
Банк России выпустил Положения, которые регулируют требования к обеспечению информационной безопасности в финансовых организациях. Некоторые финансовые организации до сих пор не могут понять, каким требованиям им нужно соответствовать.

Поэтому мы решили собрать общие сведения о некоторых обязательных документах в одной статье, а также уделить внимание содержанию каждого из них.

Положение Банка России от 17 апреля 2019 г. N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"

Это положение, которое регламентирует выполнение определённых требований для кредитных организаций:
  • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
  • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
  • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4.
Также документ производит градацию, в которой представлено, какому уровню должны соответствовать различные организации при проведении оценки соответствия уровню защиты информации, установленному ГОСТ 57580. Например, системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации. Остальные кредитные организации должны реализовывать стандартный уровень защиты информации.

Информацию об инфраструктурных организациях финансового рынка, в отношении которых Банком России принято решение о признание их системно значимыми, можно посмотреть здесь .


Положение Банка России от 17 апреля 2019 г. N 684-П "Об установлении обязательных для НЕкредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"

Это положение, которое регламентирует выполнение определённых требований для НЕкредитных финансовых организаций:
  • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
  • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
  • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4.
Оценка определенного уровня защиты информации должна осуществляться НЕкредитными финансовыми организациями, реализующими усиленный уровень защиты информации, не реже 1 раза в год; НЕкредитными финансовыми организациями, реализующими стандартный уровень защиты информации, – не реже 1 раза в 3 года.

Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей усиленному уровню защиты, должны соблюдать центральные контрагенты, центральный депозитарий.

Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей стандартному уровню защиты, должны соблюдать следующие НЕкредитные организации:
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов которых в течение последних 6 месяцев подряд превышала 20 миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних 6 месяцев подряд превышал 10 миллиардов рублей;
  • репозитарии;
  • брокеры, которые в течение 3 последних кварталов заключили сделки купли-продажи ценных бумаг в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов осуществляли брокерское обслуживание более чем 100 000 лиц;
  • диллеры, которые в течение последних 3 кварталов заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
  • депозитарии (в т.ч. расчётные), осуществившие в течение 3 последних кварталов учет ценных бумаг на счетах, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
  • регистраторы, которые в течение 3 последних кварталов открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
  • управляющие, которые в течение 3 последних кварталов заключали сделки купли-продажи ценных бумаг в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение 3 последних кварталов осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

Это документ, в котором регламентированы требования, необходимые для обеспечения безопасности при переводах денежных средств, и порядок проведения работ по оценке соответствия установленным требованиям.

Объем оцениваемых требований Положения Банка России № 382-П насчитывает порядка 170 показателей оценки.

Согласно 382-П, если требование к обеспечению защиты при переводе денежных средств:
  • полностью не выполняется – оценке присваивается числовое значение 0;
  • выполняется частично – оценке присваивается числовое значение 0.25, 0.5 или 0.75;
  • выполняется полностью – оценке присваивается числовое значение 1.
В целом, процесс оценки соответствия, осуществляемый на основании требований Положения № 382-П, идентичен процессу оценки соответствия по требованиям СТО БР ИББС-1.0.


ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"

Документ, в котором регламентированы организационные и технические требования, необходимые финансовым организациям для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Методика оценивания изложена в ГОСТ Р 57580.2-2018, а сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе ГОСТ Р 57580.1-2017.

Основные цели ГОСТ 57580:
  • определение уровней защиты информации и соответствующих им требований;
  • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями;
  • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.
Настоящий стандарт определяет три уровня защиты информации:
- уровень 3 – минимальный – нормативные документы не регламентируют проведение аудита на соответствие данному уровню;
- уровень 2 – стандартный – должен выполняться кредитными и НЕкредитными организациями;
- уровень 1 – усиленный – должен выполняться значимыми кредитными и НЕкредитными организациями.

Также финансовые организации при обработке биометрической информации в ЕБС обязаны использовать информационные технологии и технические средства, которые соответствуют первому уровню защиты информации (усиленный) в соответствии с ГОСТ 57580 для контура ЕБС, согласно Приказу Минкомсвязи №321.


Мы собрали для Вас краткую шпаргалку со сроками, которые дают регуляторы финансовым организациям для проведения того или иного вида аудита.

2ece45bbdb4cf63e541d64c7cc1ae3fd.png

e8f5fded366da83259c9e4d8aad5dc6d.png


Наш блог на Яндекс.Дзен
банки банковская безопасность ГОСТ финансовые организации
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ООО «Акстел-Безопасность»

ГК Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.