Что грядёт на смену 552-П

Что грядёт на смену 552-П

Ознакомившись с проектом нового Положения О требованиях к защите информации в платежной системе Банка России", которое в скором времени придет на смену Положению от 24 августа 2016 г. 552-П с тем же названием, сначала испытываешь шок от радикальности обновления документа.
Роднит эти два нормативных документа с одним и тем же названием только тот факт, что документы подготовлены Банком России. В остальном от 552-П почти ничего не осталось.
Что же поменялось в нормативном регулировании банковской сферы с даты регистрации Положения 552-П в Минюсте 06.12.2016, что так или иначе имело отношение к защите информации в платежной системе Банка России? Давайте разбираться.
- Вышло Положение от 6 июля 2017 г. 595-П О платежной системе Банка России, в котором появились термины сервис срочного перевода и сервис несрочного перевода и др.
- С 1 января 2018 года вступил в силу Национальный стандарт РФ ГОСТ 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер".
- В дополнение к ГОСТ 57580.1-2017 с 01.09.2018 действует ГОСТ Р 57580.2-2018 "Методика оценки соответствия".
- С 1 июля 2018 года вступили в силу некоторые положения из Указания Банка России от 07.05.2018 4793-У "О внесении изменений в Положение Банка России от 9 июня 2012 года  382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств ".
- Согласно закону РФ от 27 июня 2018  167-ФЗ, в закон от 27 июня 2011 161-ФЗ "О национальной платежной системе" внесено ряд изменений.
- С 1 июля 2018 года вступило в силу Указание Банка России от 30 марта 2018 года 4753-У "О внесении изменений в Указание Банка России от 9 июня 2012
2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств .

- Банком России был установлен новый срок окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС 28.06.2019.
В связи с этими нормативными изменениями "апгрейт" Положения 552-П, возможно, вообще готовили в другом департаменте Банка России. 552-П разрабатывали как инструкцию по защите АРМ-КБР, решая задачу "Как организационно-техническими мерами защитить в кредитной организации платежный сегмент со старым АРМ-КБР" (со всеми несуразностями 552-П: п. 5.1 и лютостью требований: длительные сроки хранения (от 3-х до 5-ти лет) информации 6-ти видов; необходимостью наличия в кредитной организации 37 видов нормативной документации и т.д.).
Читая проект нового Положения, призванного заменить 552-П, приходишь к выводу, что все многочисленные требования 552-П к защите информации на участке ПС БР, которые надо было выполнить (в соответствии с 552-П) до 30 июня 2017 года надо простить (считать, что все выполнено) и забыть в новом проекте Положения "О требованиях к защите информации в ПС БР" всё по-другому. Ну, да, в кредитных организациях теперь же АРМ КБР-Н везде.
Но обо всём по порядку (далее мои комментарии будут выделяться так: Прим.).
Читаем проект нового Положения [О требованиях к защите информации в ПС БРk и, справедливости ради, отмечаем одинаковую с 552-П преамбулу с перечислением нормативных документов.
В п.1 проекта нового Положения указывается, что термины Положения применяются в значениях, установленных Положением Банка России от 9 июня 2012 года  382-П и Положением Банка России от 6 июля 2017 года 595-П.
В п. 2. в качестве участников платежной системы Банка России предлагается рассматривать:
- участников обмена при осуществлении перевода денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее при совместном упоминании участники ССНП), не являющимися подразделениями Банка России (Прим.я бы заменил не являющимися подразделениями Банка России на имеющими с Банком России договорные отношения);
- участников обмена при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее участники СБП);
- операционный центр и платежный клиринговый центр другой платежной системы (далее ОПКЦ внешней платежной системы) при предоставлении операционных услуг и услуг платежного клиринга участникам СБП.
(Прим. в 552-П были просто участники платежной системы Банка России, являющиеся клиентами Банка России, без расшифровки).
3. Участники ССНП и участники СБП обеспечивают защиту информации при осуществлении переводов денежных средств в соответствии с требованиями Положения Банка России от 9 июня 2012 года  382-П, установленными для операторов по переводу денежных средств, с учетом требований настоящего Положения.
ОПКЦ внешней платежной системы обеспечивает защиту информации при осуществлении переводов денежных средств в соответствии с требованиями Положения Банка России от 9 июня 2012 года  382-П, установленными для операторов услуг платежной инфраструктуры, с учетом требований настоящего Положения.
(Прим. Только-только освоив терминологию 382-П: операторы по переводу денежных средств (ОПДС), операторы платежных систем (ОПС), операторы услуг платежной инфраструктуры (ОУПИ), начинаем заучивать новые: ССНП, СБП, ОПКЦ).
3 ССНП размещают объекты информационной инфраструктуры в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
(Прим. Следует отметить в проекте нового Положения указание в явном виде требования к сегментированию сети (ранее похожие требования были регламентированы в пункте 2.1 главы 2 того же Положения 552-П (в рамках участка Платежной системы Банка России), а также в подпункте 7.4.5 СТО БР ИББС-1.0-2014 (не все кредитные организации присоединились к Комплексу стандартов СТО БР).
4 Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участниками ССНП реализуется стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017
В п. 5 для СБП то же самое.
6 Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) ОПКЦ внешней платежной системы реализуется усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.
7.
Порядок обеспечения защиты информации при осуществлении переводов денежных средств определяется самостоятельно участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы.
7.1.Документы, составляющие порядок обеспечения защиты информации при осуществлении переводов денежных средств, определяют состав и порядок применения организационных мер защиты информации и использования технических средств защиты информации в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
-обеспечение защиты информации при управлении доступом;
-обеспечение защиты вычислительных сетей;
-контроль целостности и защищенности информационной инфраструктуры;
-защита от вредоносного кода;
-предотвращение утечек информации;
-управление инцидентами защиты информации;
-защита среды виртуализации;
-защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
7.2.Документы, составляющие порядок обеспечения защиты информации при осуществлении переводов денежных средств, определяют:
-описание технологий подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
-состав и порядок применения технологических мер защиты информации, применяемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее СКЗИ) и управления ключевой информацией СКЗИ;
-план и порядок действий по обеспечению непрерывности и восстановления деятельности.
(Прим.в 552-П, как мы помним, 37 документов, в проекте нового Положения - документы из п.7.1. и 7.2., без конкретики)
8. Обеспечение защиты информации участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы с помощью СКЗИ осуществляется в соответствии с  63-ФЗ, Положением ПКЗ-2005 и технической документацией на СКЗИ.
Участники ССНП, участники СБП и ОПКЦ внешней платежной системы обеспечивают назначение лиц:
-допущенных к работе с СКЗИ;
-ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
-обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.
9.Участники СБП обеспечивают регистрацию информации, связанной с действиями клиентов участников СБП в объеме, достаточном для информирования Банка России обо всех случаях и попытках осуществления переводов денежных средств без согласия клиентов (в соответствии с Указанием Банка России от 8 октября 2018 года 4926У).
Регистрации подлежит следующая информация:
-информация, устанавливающая операцию плательщика и получателя перевода денежных средств без согласия клиента;
-параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, при наличии информации, определяющей параметры указанных устройств.
10. Распоряжение клиента, направляемое участнику СБП в электронном виде, может быть удостоверено электронной подписью клиента, а также в соответствии с пунктом 4 статьи 847 Гражданского кодекса Российской Федерации аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить целостность и составление распоряжения уполномоченным на это лицом.
Распоряжение участника СБП, направляемое в ОПКЦ внешней платежной системы, удостоверяется усиленной электронной подписью участника СБП.
Распоряжение участника ССНП, направляемое в Банк России, удостоверяется двумя усиленными электронными подписями участника ССНП: электронной подписью, применяемой в контуре формирования электронных сообщений, и электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений. Правила выделения контура формирования электронных сообщений (Прим. операционист готовит в АБС электронное сообщение (пакет ЭС), формирует для него ЭП защитный код (ЗК) и направляет ответственному за электронное взаимодействие с Банком России сотруднику банка) и контура контроля реквизитов электронных сообщений (Прим. сотрудник банка, после проверки ЗК визуально и/или с помощью функции сверки проверяет ЭС (пакет ЭС), подписывает его ЭП кодом аутентификации (КА), и передает в АРМ КБР-Н для сжатия, шифрования и отправки в Банк России) в информационной инфраструктуре участника ССНП определены в приложении 1 к настоящему Положению.
Электронные сообщения, содержащие распоряжения участника ССНП, направляемые в Банк России, защищаются согласно третьему варианту защиты, предусмотренному Альбомом унифицированных форматов электронных банковских сообщений.
Распоряжение ОПКЦ внешней платежной системы, направляемое в Банк России, удостоверяется двумя усиленными электронными подписями: электронной подписью, применяемой в контуре обработки электронных сообщений, и электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений. Правила выделения контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы определены в приложении 1 к настоящему Положению.
11. Формирование и подписание электронных сообщений осуществляются собственной информационной инфраструктурой (автоматизированной системой) участника ССНП и ОПКЦ внешней платежной системы. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России.
(Прим.в п.11 наконец то появляется предмет рассмотрения в 552-П АРМ КБР).
12. Участники ССНП, участники СБП и ОПКЦ внешней платежной системы обеспечивают ведение архива входящих и исходящих электронных сообщений, подписанных электронной подписью. Сроки хранения входящих и исходящих электронных сообщений должны составлять не менее пяти лет.
13. Банк России управляет ключевой системой при обмене электронными сообщениями между Банком России и ОПКЦ внешней платежной системы, Банком России и участниками ССНП.
ОПКЦ внешней платежной системы управляет ключевой системой при обмене электронными сообщениями между ОПКЦ внешней платежной системы и участниками СБП.
В п. 14 про изготовление криптографических ключей участниками: ССНП, ОПКЦ, СБП.
В п. 15 перечень угроз (15.1.) и защитные меры (15.2. - 15.4.).
В п. 16 для СБП про формирование значения показателя, характеризующего уровень быстрых платежей без согласия клиента на ежеквартальной основе, и меры для обеспечения не превышения показателя.
В п. 17-18 для ОПКЦ перечень угроз, защитные меры и порядок взаимодействия ОПКЦ СБП в случае выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента.
В п. 19 об информировании Банка России участниками ССНП, СБП и ОПКЦ.
В п. 20 порядок взаимодействия ССНП Банк России в случае выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента.
В п. 21 для ССНП, СБП и ОПКЦ про оценку соответствия защиты информации на объектах информационной инфраструктуры.
Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России, в рамках оценки соответствия, проводимой в соответствии с пунктом 2.15 Положения Банка России от 9 июня 2012 года  382-П.
В п. 22 для ССНП, СБП и ОПКЦ про отчетность по результатам оценки соответствия в соответствии с требованиями к содержанию, форме и периодичности представления информации, установленными Указанием Банка России от 9 июня 2012 года  2831-У (уровень соответствия не ниже четвертого в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018).
Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года 552-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 декабря 2016 года  44582.
Приложение "Правила выделения контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП и выделения контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы".
(Прим.в Приложении всё, что касается разделения контуров после перехода клиентов Банка России на новый АРМ КБР-Н подробности перехода здесь )
Следует отметить, что в Приложении содержится очень нужная информация для банков, например, в п. 2.1 Приложения прописано: Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть разделены по персоналу, реализованы с использованием разных рабочих мест и разных криптографических ключей.
После прочтения Приложения многие вопросы, волнующие банки при переходе со старого АРМ КБР на АРМ КБР-Н, отпадут автоматически.
Как знать, может Банком России будет разработан отдельный нормативный документ, содержащий требования по защите АРМ КБР-Н.
Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)