Дорожный атлас банковской службы ИБ

Дорожный атлас банковской службы ИБ

(161-ФЗ [1] :статья 27, п.3) Обеспечить защиту информации при осуществлении переводов денежных средств в соответствии с требованиями (382-П [2] ), установленными Банком России.
(382-П:абзац 3, пп. 2.5.5.1, п. 2.5) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.Проведение анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений только с привлечением лицензиатов ФСТЭК.
(382-П: пп. 2.15.2, п. 2.15) Обеспечить проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение 6 месяцев после получения соответствующего статуса.

(382-П:абзац 2 и 3, пп. 2.13.(1)) Информировать Банк России, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации об инцидентах.
(382-П: пп. 2.8.3, п. 2.8) Установка ограничений на основании заявления клиента по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга.
(382-П: абзац 1, пп. 2.9.1, п. 2.9) Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то применение средств защиты должно соответствовать 378-му приказу ФСБ.

К чему банк должен быть готов с 01.01.2019
(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 31.12.2018 обеспечить сбор биометрии не менее чем в 20% офисов.

К чему банк должен быть готов с 27.03.2019 [3]
(161-ФЗ: статья 8, п. 5.1) Обязанность приостанавливать исполнение распоряжения о переводе на срок не более 2 рабочих дней при выявлении операции с признаками перевода денежных средств без согласия клиента. При этом признакиперевода без согласия клиента устанавливает Банк России.
(161-ФЗ: статья 8, п. 5.3) Обязанность незамедлительно возобновлять исполнение распоряжения при получении от клиента подтверждения либо (161-ФЗ статья 9, п. 9.1) возобновлять исполнение распоряжения по истечении 2-х рабочих дней после дня уведомления клиента банком при неполучении от клиента обратной связи.
(161-ФЗ: статья 27, п. 4) Реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке (Указание Банка России от 08.10.2018 № 4926-У [4] , глава 2), установленном Банком России.
(161-ФЗ: статья 27, п. 6) Обязанность направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, которые установлены Банком России.
(Указание Банка России от 08.10.2018 № 4926-У: глава 2, п. 2.1) Обязанность применять полученную от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.
(Указание Банка России от 08.10.2018 № 4926-У: абзац 9, глава 2, п.2.2) Определить в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых клиентами.
(Указание Банка России от 08.10.2018 № 4926-У: абзац 10, глава 2, п.2.2) Обязанность реализовывать в отношении клиента - получателя средств, в адрес которого ранее совершались операции по переводу денежных средств без согласия клиента, в случаях, предусмотренных договором банковского счета, ограничения по параметрам операций по осуществлению переводов денежных средств (переводов электронных денежных средств) с использованием платежных карт, а также ограничения на получение наличных денежных средств в банкоматах за одну операцию и (или) за определенный период времени.
(Указание Банка России от 08.10.2018 № 4926-У: глава 2, п. 2.3) Создать систему выявления и мониторинга переводов денежных средств без согласия клиента в платежной системе на основе информации о переводах без согласия клиента.
Определить порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента для участников платежной системы.

К чему банк должен быть готов с 06.04.2019
(672-П [5] : п. 5) Касается взаимодействия с платежной системой Банка России. ОПКЦ [6] разместить объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП [7] , в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.

(Приложение к Положению 672-П "Правила [8] ": п. 1.1) Касается взаимодействия с платежной системой Банка России. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП [9] реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
(Приложение к Положению 672-П "Правила": п. 1.2) Касается взаимодействия с платежной системой Банка России. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.

К чему банк должен быть готов с 01.06.2019
(683-П [10] : пп. 3.2, п.3) Ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Привлечение к анализу уязвимостей организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ).

К чему банк должен быть готов с 29.06.2019
Работать на ПК АРМ КБР-Н и АРМ КБР-СПФС (окончание срока миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019).
(672-П: п.9) Касается взаимодействия с платежной системой Банка России. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.

К чему банк должен быть готов с 01.07.2019
(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 30.06.2019 обеспечить сбор биометрии не менее чем в 60% офисов.

К чему банк должен быть готов с 01.01.2020
(Информационное письмо Банка России от 28.06.2018 № ИН-03-13/40) По состоянию на 31.12.2019 обеспечить сбор биометрии не менее чем в 100% офисов.
(382-П: абзац 2, пункт 2.5, подпункт 2.5.5.1) Исполнение требований к прикладному ПО [11] (сертификация ФСТЭК или анализ уязвимостей по уровню ОУД 4 [12] с помощью лицензиата ФСТЭК).
(Указание Банка России от 07.05.2018 № 4793-У: пп. 1.5, п. 1) Разделение контуров подготовки и подтверждения платежных поручений при использовании платежей через Интернет. Дополнительной мерой, а в случае, когда разделение  контуров невозможно, то и компенсирующей мерой должны быть введены ограничения на параметры операций (актуально для физлиц, которые не захотят применять два устройства: одно для проведения платежей, другое – для подтверждения платежей).
(672-П: абзац 5, пп. 14.4, п. 14) Касается взаимодействия с платежной системой Банка России. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России с применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
(683-П: пп. 4.1, п.4) Исполнение требований к прикладному ПО (сертификация ФСТЭК или анализ уязвимостей по уровню ОУД 4 с помощью лицензиата ФСТЭК).

К чему банк должен быть готов с 01.01.2021
(683-П: пп. 3.1, п.3) Обеспечить реализацию требований ГОСТ Р 57580.1-2017:

- системно значимые КО - усиленный уровень (уровень 1) защиты информации по ГОСТ Р 57580.1-2017.
- остальные КО - стандартный уровень (уровень 2) защиты информации ГОСТ Р 57580.1-2017.


(683-П: п. 9) Проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации № 79.
(683-П: пп. 9.2, п.9) Соответствие не ниже 3-его [13] уровня согласно ГОСТ Р 57580.2-2017.

К чему банк должен быть готов с 01.07.2021
(672-П: пп. 3 и 4) Касается взаимодействия с платежной системой Банка России. Участники ССНП и СБП размещают объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
(672-П: п. 6) Касается взаимодействия с платежной системой Банка России. Разработать документы, определяющие состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017.
(672-П: абзац 3 и 4 п. 20) Касается взаимодействия с платежной системой Банка России. Проводить оценку соответствия по Методике национального стандарта Российской Федерации ГОСТ Р 57580.2-2018.
Оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.
(672-П: абзац 6 пп. 14.3 п. 14) Касается взаимодействия с платежной системой Банка России. Участники СБП и ОПКЦ должны обеспечить двухстороннюю аутентификацию и шифрование информации на уровне звена данных (канальном?) или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям.

К чему банк должен быть готов с 01.01.2023
(672-П: абзац 5, п.20) Касается взаимодействия с платежной системой Банка России. Участники ССНП, участники СБП и ОПКЦ должны обеспечить для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.
(683-П: пп. 9.2, п.9) Соответствие не ниже 4-ого [14] уровня согласно ГОСТ Р 57580.2-2017.

К чему банк должен быть готов с 01.01.2024
(Указание Банка России от 07.05.2018 № 4793-У [15] : абзац 3, пп. 1.9, п. 1) Оператору значимой платежной системы [16] обеспечить использование в применяемых аппаратных модулях безопасности СКЗИ, реализующие иностранные криптоалгоритмы, имеющие подтверждение ФСБ.

К чему банк должен быть готов с 01.01.2031
(Указание Банка России от 07.05.2018 № 4793-У: абзац 4, пп. 1.9, п. 1) Оператору значимой платежной системы обеспечить использование в применяемых аппаратных модулях безопасности СКЗИ, реализующие отечественные криптоалгоритмы РФ, имеющие подтверждение ФСБ.

Дорожный атлас банковской службы ИБ в формате таблицы можно скачать  здесь .


[1] Федеральный закон от 27.06.2011 № 161 “О национальной платежной системе”.
[2] Положение Банка России от 09.06.2012 № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
[3] Банк России до 26.03.2019 (включительно) отложил меры воздействия к банкам из-за невыполнения положений новой редакции Федерального закона 161-ФЗ “О национальной платежной системе” (Информационное письмо Банка России от 09.10.2018 № ВН-03-56-3-2/3398).
[4] Указание Банка России от 08.10.2018 № 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (Зарегистрировано в Минюсте России 12.12.2018 № 52988).
[5] Положение Банка России от 09.01.2019 г. № 672-П “О требованиях к защите информации в платежной системе Банка России”.
[6] ОПКЦ - операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.
[7] СБП - сервис быстрых платежей.
[8] Правила – “Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ”.
[9] ССНП - сервис срочного перевода и сервис несрочного перевода.
[10] Положение Банка России от 17.05.2019 № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиентов".
[11] Под термином “прикладное ПО”, очевидно, подразумевается ПО, которое непосредственно участвует в переводе денежных средств, например: АБС, клиент-банк, мобильный банк, процессинг, ДБО, интернет-банкинг и др.
[12] ОУД 4 предусматривает методическое проектирование, тестирование и просмотр. ОУД 4 применим, когда разработчикам или пользователям требуется независимо получаемый уровень доверия от умеренного до высокого в ОО (объект оценки) общего назначения и имеется готовность нести дополнительные, связанные с безопасностью производственные затраты. Это самый высокий уровень, на который обычно экономически целесообразно ориентироваться для существующих типов проуктов. Анализ поддерживается независимым тестированием ФБО (функции безопасности объекта оценки), свидетельством разработчика об испытаниях, основанных на функциональной спецификации и проекте верхнего уровня, выборочным независимым подтверждением результатов тестирования разработчиком, анализом стойкости функций, свидетельством поиска разработчиком уязвимостей и независимым анализом уязвимостей, демонстрирующим противодействие попыткам проникновения нарушителей с низким потенциалом нападения
[13] 3 уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически.
[14] 4 уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ.
[15] Указание Банка России от 07.05.2018 № 4793-У “О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П".
[16] К значимым платежным системам можно отнести, например: Visa, Master Card, НСПК и др.
Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)