Информация

Защита информации в некредитных финансовых организациях

Кредитные организации и некредитные финансовые организации — цель киберпреступников номер один, поскольку они непосредственно связаны с денежными операциями и принесут прибыль хакерам. По данным Центрального Банка за полгода 2021 было совершено 168 атак на российские банки, в 2022 количество атак увеличилось в несколько раз.

Часто атаки происходят не напрямую, а через партнеров и контрагентов банков.

В конце прошлого года стало известно, что кибермошенники успешно атаковали один из российских банков и выкрали более полумиллиарда рублей. Хакеры смогли проникнуть в сеть банка и ещё полгода оставаться незамеченными, изучая сеть организации изнутри.

К главным угрозам информационной безопасности для финансовых организаций относят: атаки хакеров и системные сбои.

Важно научиться предвидеть именно эти риски и позаботиться о защите информации заранее.

Необходим комплексный подход к защите технических средств, контроль за действиями сотрудников и построение SOC-центра для контроля и управления информационной безопасностью организации.

В статье вы узнаете, как:

  • Соблюсти актуальные требования регуляторов
  • Защитить финансовую организацию от кибератак
  • Построить понятную систему информационной безопасности

Законодательство по информационной безопасности в финансовых организациях

Развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России.

Одним из основных условий реализации этих целей является обеспечение необходимого и достаточного уровня защиты информации в кредитных организациях, некредитных финансовых организациях РФ, а также субъектах национальной платежной системы (далее — финансовые организации).

Стоит отметить, что к финансовым организациям относятся кредитные (банки, займы и т.д.) и некредитные (страховые компании, пенсионные фонды и др.) организации.

Для финансовых организаций существует целый ряд нормативно-правовых документов, регламентирующих информационную безопасность. И некоторые организации до сих пор не понимают, каким требованиям им необходимо соответствовать.1. Положение Банка России от 17.04.

2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»2. Положение Банка России от 17 апреля 2019 г.

№ 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций без согласия клиента»3. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.

Базовый состав организационных и технических мер»4. PCI DSS «Стандарт безопасности индустрии платежных карт»5. Отраслевые стандарты (СТО) и рекомендации (РС) Банка России, распространяющиеся на организации банковской системы Российской Федерации:СТО БР ИББС-1.0-2014СТО БР ИББС-1.1-2007СТО БР ИББС-1.2-2014СТО БР ИББС-1.3-2016СТО БР ИББС-1.4-2018РС БР ИББС-2.0-2007РС БР ИББС-2.

1-2007РС БР ИББС-2.2-2009РС БР ИББС-2.5-2014РС БР ИББС-2.6-2014РС БР ИББС-2.7-2015РС БР ИББС-2.8-2015РС БР ИББС-2.9-2016

Основным документов для финансовых организаций (а не только банков) по защите информации является ГОСТ Р 57580.1-2017.

Данный стандарт распространяется на:

  • Банки;
  • Небанковские кредитные организации;
  • Некредитные финансовые организации;
  • и т.д.

Он определяет уровни защиты информации и соответствующие им требования к содержанию состава мер по защите информации. В стандарте определено 3 уровня защиты информации. Уровень защиты информации для конкретного контура безопасности устанавливается нормативным актами Банка России.Каждый из уровней устанавливается для определенного контура безопасности. Примерами таких контуров безопасности могут быть:

  • Работы с карточными данными;
  • Управление банкоматной сетью и платежными терминалами;
  • Системы взаимодействия с платежными системами (ССНП, СБП и др);
  • Технологический участок обработки персональных данных в ЕБС;
  • Другие.

Также данные уровни защиты сопоставимы с уровнями защищенности персональных данных. Сопоставление показано в таблице.

ФСТЭК (ПДн);ЦБ (УЗ)

4-й уровень защищенности ПДн;3-й уровень защиты информации 3-й уровень защищенности ПДн;2-й уровень защиты информации 2-й уровень защищенности ПДн;2-й уровень защиты информации 1-й уровень защищенности ПДн;1-й уровень защиты информации

Базовые требования в ГОСТ 57580.1 подразделяются на три направления: 1. Требования к системе защиты информации; 2. Требования к организации и управлению защитой информации (Plan-Do-Check-Act); 3. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений. Мы же в статье подробно разберем первое направление – требования к системе защиты информации.

Требования к системе защиты в ГОСТ 57580.1-2017

Требования к защите информации в стандарте подразделяются на 8 процессов. Некоторые из них содержат подпроцессы:

Защита информации в некредитных финансовых организациях

Для каждого подпроцесса предусмотрен состав мер, который выглядит следующим образом:

Условное обозначение и номер меры;Содержание мер системы защиты информации;Уровень защиты информации

;;3;2;1

СМЭ.1;Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности;Н;Т;Т ВСА.

5;Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным удаленным доступом;Н;Т;Т РД.

34;Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС;О;Т;Т

Виды требований: Т – выполняются с помощью технических средств. О – выполняются с помощью организационных средств. Н – необязательные меры. Всего в документе перечислено 343 меры к системе защиты информации.

Теперь рассмотрим, как под эти требования подходит UserGate.

Процесс 1 – «Обеспечение защиты информации при управлении доступом»

UserGate позволяет осуществлять идентификацию, аутентификацию, авторизацию и разграничение доступа при осуществлении логического доступа.

Защита информации в некредитных финансовых организациях Аутентификация пользователей и применение к пользователям правил межсетевого экранирования, контентной фильтрации, контроля приложений возможна с поддержкой:

  • Active Directory;
  • Kerberos;
  • RADIUS;
  • TACACS +;
  • Captive Portal.

Также возможно использование многофакторной аутентификации, как для локальных, так и для удаленных пользователей. Защита информации в некредитных финансовых организациях

Процесс 2 – «Обеспечение защиты вычислительных сетей»

UserGate позволяет выполнять требования таких подпроцессов как: 1. Сегментация и межсетевое экранирование вычислительных сетей; 2. Выявление сетевых вторжений и атак; 3. Защита информации, передаваемой по вычислительным сетям; 4. Защита беспроводных сетей. Защита информации в некредитных финансовых организациях Usergate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности. По умолчанию в Usergate представлены следующие зоны:

  • Management
  • Trusted
  • Untrusted
  • DMZ
  • VPN for Site-to-Site
  • VPN for remote access
  • Cluster

Представляет собой зону для подключения доверенных сетей, для администрирования Usergate. Представляет собой зону для подключения доверенных сетей (LAN-сети). Представляет собой зону для подключения к недоверенным сетям (Интернет). Представляет собой зону для интерфейсов, подключенных к общедоступному сегменту корпоративной сети (общедоступный веб-сервер, общедоступный почтовый сервер и т.д.). Зона для организации Site-to-Site VPN. Зона для организации Remote access VPN. Зона для интерфейсов, используемых для работы кластера. Таким образом можно сегментировать сетевые объекты: Защита информации в некредитных финансовых организациях

С помощью политик сети администратор может настроить необходимый доступ в интернет для пользователей, опубликовать внутренние ресурсы сети в интернете и управлять скоростью передачи данных для определенных сервисов и приложений.

Защита информации в некредитных финансовых организациях

Встроенный модуль системы обнаружения и предотвращения вторжений (СОВ) позволяет реагировать на атаки злоумышленников, использующих известные уязвимости

Защита информации в некредитных финансовых организациях

UserGate позволяет создавать списки гостевых пользователей. Данная возможность может быть полезна для гостиниц, публичных Wi-Fi, сетей интернет, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.

Защита информации в некредитных финансовых организациях

Процесс 4 – «Защита от вредоносного кода»

UserGate может обеспечивать защиту от вредоносного кода в финансовых организациях

Защита информации в некредитных финансовых организациях

В UserGate встроен модуль потокового антивируса, который позволяет проверять трафик на наличие вредоносных активностей.

  • Защита информации в некредитных финансовых организациях

Предусмотрен вариант с передачей веб и почтового трафика на внешние серверы ICAP для антивирусной проверки.

Процесс 6 – «Управление инцидентами защиты информации»

UserGate позволяет осуществлять: 1. Мониторинг и анализ событий защиты информации; 2. Обнаружение инцидентов защиты информации и реагирование на них. У UserGate существует собственная система мониторинга – UserGate Log Analyzer.

C помощью LogAn можно выполнить следующие задачи:

  • Мониторинг внешней и внутренней сетей;
  • Сбор логов с сетевых устройств для анализа информации;
  • Построение автоматизированной системы отчетности.

Одним из возможных сценариев использования UserGate Log Analyzer является построение комплексной системы мониторинга и реагирования.

Читайте также:  Фз 53 о языке

Основные системы, входящие в комплекс мониторинга и реагирования:

  • Системы управления журналами событий (Log Management);
  • Системы сбора и корреляции событий информационной безопасности (SIEM);
  • Системы обнаружения и предотвращения вторжений (IDS/IPS);
  • Системы управления, автоматизации и реагирования на инциденты информационной безопасности (SOAR);
  • Системы управления информационной безопасностью, рисками и соответствием законодательству;
  • Средства и системы защиты и мониторинга, встроенные в ОС и оборудование, которые подключаются в качестве источников событий информационной безопасности к LM/SIEM-системам.

На момент публикации статьи Log Analyzer является LM-системой, но планируется расширить функционал до полноценной SIEM-системы.

Процесс 7 – «Защиты среды виртуализации»

Для обеспечения должного уровня защиты информации при использовании технологии виртуализации UserGate позволяет осуществлять: 1.

Идентификацию, аутентификацию, авторизацию (разграничение доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации; 2. Сегментацию и межсетевое экранирование вычислительных сетей.

Межсетевой экран UserGate может поставляться в виртуальном исполнении, поэтому все функции безопасности могут быть применимы и для защиты виртуальных машин.

Процесс 8 – «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»

Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать: 1. Защиту информации от раскрытия и модификации при осуществлении удаленного доступа; 2.

Защиту внутренних вычислительных сетей при осуществлении удаленного доступа; 3. Защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.

В UserGate поддерживается работа сотрудников с персональных устройств, принадлежащих самим сотрудникам.

Это так называемая поддержка устройств BYOD (Bring Your Own Device).

UserGate дает администратору возможность управлять BYOD устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет.

Еще одной возможностью для работы с использованием личных устройств является веб-портал, реализованный по технологии SSL VPN.

Веб-портал позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS.

Данная технология не требует установки специального клиента VPN, будет достаточно обычного браузера.

Сертификация продуктов UserGate

UserGate NGFW обладает сертификатами ФСТЭК России:

  • По 4 уровню доверия к средствам технической защиты информации;
  • По требованиям к профилям защиты межсетевых экранов типа «А», «Б» и «Д» 4 класса защиты;
  • Системам обнаружения вторжений 4 класса защиты.

UserGate NGFW занесён в Реестр отечественного ПО Минкомсвязи (№ записи 1194), а недавно Минпромторг России включил новые аппаратные платформы UserGate C150 в единый реестр российской радиоэлектронной промышленности.

30 марта 2022 года президент России Владимир Путин подписал указ, запрещающий закупать иностранный софт для критической информационной инфраструктуры (КИИ), к которым могут быть отнесены банковская сфера и иные сферы финансового рынка.

Поэтому сертификация по вышеперечисленным требованиям и наличие в Реестре отечественного ПО Минкомсвязи делает возможным использование UserGate в финансовых организациях. Финансовые организации обрабатывают большие объемы денежных средств, поэтому необходимо минимизировать риски, выполняя требования регуляторов и решая проблемы практической защиты информации.

Продукты UserGate позволяют соответствовать требованиям регуляторов и решать проблемы комплексной защиты информации от различных угроз.

Связка UserGate NGFW и UserGate Log Analyzer позволит организовать центр реагирования и мониторинга на инциденты информационной безопасности, отслеживать и контролировать все критичные бизнес-процессы.

Автор статьи: Дмитрий Лебедев, инженер TS Solution

Положение Банка России №684-П

Главная / Положение Банка России 684-П

Положение Банка России от 17 апреля 2019 г.

N 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций” устанавливает требования для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях противодействия осуществлению незаконных финансовых операций. Положение устанавливает необходимость осуществления защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Положение 684-П должно выполняться следующими некредитным организациям:

  • центральные контрагенты (усиленный уровень защиты информации),
  • центральный депозитарий (усиленный уровень защиты информации),
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (стандартный уровень защиты информации),
  • клиринговые организации (стандартный уровень защиты информации),
  • организаторы торговли (стандартный уровень защиты информации),
  • страховые организации (стандартный уровень защиты информации),
  • негосударственные пенсионные фонды (стандартный уровень защиты информации),
  • репозитарии (стандартный уровень защиты информации),
  • брокеры (стандартный уровень защиты информации),
  • дилеры (стандартный уровень защиты информации),
  • депозитарии (стандартный уровень защиты информации),
  • регистраторы;
  • управляющие*.

— Для указанных организаций определены специальные требования. Подробности – в положении 684-П

Защита информации в некредитных финансовых организациях

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия с 1 января 2022 года.

Для подтверждения соответствия некредитные организации должны проводить внешнюю оценку соответствия требованиям 684-П (включая ГОСТ Р 57580.

2-2018) организацией, имеющей лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». Оценка проводится ежегодно для организаций, реализующих усиленный уровень защиты информации, и раз в три года для организаций, реализующих стандартный уровень защиты информации.

Преимущества нашей компании

  • Наша компания обладает необходимой лицензией по технической защите конфиденциальной информации для проведения работ от Федеральной службы по техническому и экспортному контролю.
  • В нашей компании работают два специалиста, сертифицированных по программе «Введение, внедрение и оценка соответствия финансовых организаций ГОСТ Р 57589 «Безопасность финансовых (банковских) операций», подготовленной разработчиками стандарта
  • Наши специалисты получили опыт, успешно реализовав проекты в нескольких крупных банках, доведя оценку до необходимого третьего уровня.

1 Этап

Определение области оценки соответствия и согласование плана оценки

2 Этап

Удаленная проверка организационно-распорядительной документации заказчика на соответствие требованиям Положения

3 Этап

Оценка соответствия на месте, включающая

4 Этап

Подготовка предварительной отчетной документации и рекомендаций по обеспечению организацией необходимого уровня защищенности

5 Этап

Доработка заказчиком несоответствий

6 Этап

Подтверждение устранения несоответствий, разработка итогового отчета в соответствии с требованиями Банка России

  • По результатам выполненных работ будут подготовлены следующие отчётные материалы:
  • отчет о предварительной оценке соответствия требованиям ГОСТ Р 57580.1 – 2017
  • рекомендации по повышению уровня защищенности и общей оценки
  • отчет об оценке соответствия требованиям ГОСТ Р 57580.1 – 2017 , включающий
  • — сведения о проверяющей организации;
  • — сведения о руководителе и членах проверяющей группы;
  • — сведения о проверяемой организации;
  • — сведения о заказчике оценки соответствия ЗИ;
  • — цель оценки соответствия ЗИ;
  • — сроки проведения оценки соответствия ЗИ;

Положение №684-П. План мероприятий по реализации требований Центробанка

8 октября 2019

// Информационная безопасность В выпущенном Положении №684-П Центробанк установил обязательные требования по защите информации для НФО. Рассмотрим подробнее. Получить оценку защищенности

Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций.

В предыдущем материале мы постарались систематизировать и показать в более доступном виде информацию из положений №683-П и №684-П. В этом материалы мы рассмотрим положение №684-П, а именно типовой план мероприятий по реализации положения Центробанка.

Для вашего удобства мы систематизировали всю информацию в табличном виде. Документы, которые вам могут пригодится:

  • Положение №684-П
  • ГОСТ Р 57580.1-2017
  • ГОСТ Р 57580.2-2018
Читайте также:  Ответственность гарантирующего поставщика электроэнергии
Этап Мероприятие Что делать? Основание Сроки/ периодичность Примечание Не зависимо от уровня защиты Для усиленного и стандартного уровней защиты
1 Определение уровня защиты некредитной финансовой организации. Определить уровень защиты некредитной финансовой организации:

  • усиленный уровень защиты;
  • стандартный уровень защиты;
  • не соответствует усиленному и стандартному уровню защиты.

Усиленный уровень защиты:

  • центральные контрагенты;
  • центральный депозитарий.

Стандартный уровень защиты:

  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов, которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов, которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей;
  • репозитарии;
  • брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц;
  • дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
  • депозитарии (в том числе расчетные депозитарии), депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П 'О порядке открытия и ведения депозитариями счетов депо и иных счетов', зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
  • регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
  • управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2000 лиц, с которыми заключены договоры доверительного управления.
п. 5.1 – 5.3 Положения №684-П
  • Де-юре – с 1 января 2021 года.
  • Де-факто – в кратчайшие сроки!
  • Периодичность – ежегодно не позднее первого рабочего дня календарного года.
Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации. Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка!
2 Оценка текущего уровня соответствия требованиям ЦБ. Необходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для: 1. Финансового планирования расходов на модернизацию системы защиты;2. Планирования ресурсов для своевременного исполнения требований ЦБ. Письмо ЦБ № 56-3-3/551 от 12.09.2019 г. Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ.
3 Разработка рекомендаций по защите информации. Разработать рекомендации по информированию клиентов о мероприятиях по защите информации:

  • о рисках несанкционированного доступа, в том числе при утрате (потере, хищении) устройств, при осуществлении финансовых операций;
  • по антивирусной защите (своевременному обнаружению воздействия вредоносного кода).
п.2 Вступило в силу.
4 Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках. Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках. п.13, п. 15 Вступило в силу.
5 Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений. Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы. Для остальных организаций необходимо самостоятельно определить потребность в данных услугах. п. 9 С 1 января 2020 г. Для какого ПО необходим анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации.
6 Сертификация прочего ПО. В отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимости. п. 9 С 1 января 2020 г.
7 Защита информации. Осуществлять защиту:

  • всех документов (в т.ч. сведения о транзакциях), составляемых при осуществлении финансовых операций;
  • информации, необходимой для авторизации клиентов;
  • информации о финансовых операциях;
  • ключевой информации СКЗИ, при работе с клиентами.

В т.ч. должна обеспечиваться целостность данной информации.

8 Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ. Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись. Необходимо обеспечить выполнение требований технической документации на СКЗИ. п.3 (абзацы 1,2,5,6), п.11 Вступило в силу. Невозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом».
9 Анализ уязвимостей ПО ДБО по ОУД 4 Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. п.9 С 1 января 2020 г. Для какого ПО необходимо анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации.
10 Оценка соответствия требованиям ГОСТ Р 57580.1-2017. Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 п.5, п.6.2, п.6.3
  1. С 1 января 2021 г.
  2. Усиленный уровень защиты – ежегодно.
  3. Стандартный уровень защиты – не реже 1 раза в 3 года.
Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций! Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7)
11 Пентест Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры. п.5.4 С 1 января 2021 г. Проводить систематически.
12 Модернизация системы защиты информации (1 этап). Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 п.8 С 1 января 2022 г. и действует по 30 июня 2023 г. включительно.
13 Модернизация системы защиты информации (2 этап). Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018. п.8 С 1 июля 2023 г.

Для удобства, представляем краткую информацию по реализации положения № 684-П ЦБ РФ в виде инфографики:

Чтобы информация всегда была у вас под рукой, вы можете скачать инфографику в высоком разрешении и распечатать до формата А3.

Мы пишем о том, что делаем!  

Мы решим ваши задачи по выполнению требований Положений Банка России №683-П и №684-П:

  • разработаем полный комплект документации по результатам проведения оценки (самооценки) требований для направления в адрес Департамента информационной безопасности Банка России (согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019);
  • проведем анализ уязвимостей программного обеспечения по ОУД 4;
  • проведем оценку соответствия требованиям ГОСТ Р 57580.1-2017;
  • организуем тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (пентест).
  • модернизируем системы защиты информации по требованиям Положений Банка России №683-П и №684-П.

Простыми словами о сложном: ИБ в финансовых организациях

Банк России выпустил Положения, которые регулируют требования к обеспечению информационной безопасности в финансовых организациях. Некоторые финансовые организации до сих пор не могут понять, каким требованиям им нужно соответствовать.

Поэтому мы решили собрать общие сведения о некоторых обязательных документах в одной статье, а также уделить внимание содержанию каждого из них.

Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

Это положение, которое регламентирует выполнение определённых требований для кредитных организаций:

  • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
  • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
  • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4.

Также документ производит градацию, в которой представлено, какому уровню должны соответствовать различные организации при проведении оценки соответствия уровню защиты информации, установленному ГОСТ 57580.

Например, системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации.

Остальные кредитные организации должны реализовывать стандартный уровень защиты информации.

Информацию об инфраструктурных организациях финансового рынка, в отношении которых Банком России принято решение о признание их системно значимыми, можно посмотреть здесь.

Положение Банка России от 17 апреля 2019 г. N 684-П «Об установлении обязательных для НЕкредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

Это положение, которое регламентирует выполнение определённых требований для НЕкредитных финансовых организаций:

  • проведение оценки соответствия уровню защиты информации, установленному ГОСТ 57580;
  • ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности;
  • использование прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4.
  • Оценка определенного уровня защиты информации должна осуществляться НЕкредитными финансовыми организациями, реализующими усиленный уровень защиты информации, не реже 1 раза в год; НЕкредитными финансовыми организациями, реализующими стандартный уровень защиты информации, – не реже 1 раза в 3 года.
  • Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей усиленному уровню защиты, должны соблюдать центральные контрагенты, центральный депозитарий.
  • Требования к оценке соответствия, установленной в ГОСТ 57580, соответствующей стандартному уровню защиты, должны соблюдать следующие НЕкредитные организации:
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов которых в течение последних 6 месяцев подряд превышала 20 миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних 6 месяцев подряд превышал 10 миллиардов рублей;
  • репозитарии;
  • брокеры, которые в течение 3 последних кварталов заключили сделки купли-продажи ценных бумаг в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов осуществляли брокерское обслуживание более чем 100 000 лиц;
  • диллеры, которые в течение последних 3 кварталов заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
  • депозитарии (в т.ч. расчётные), осуществившие в течение 3 последних кварталов учет ценных бумаг на счетах, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
  • регистраторы, которые в течение 3 последних кварталов открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
  • управляющие, которые в течение 3 последних кварталов заключали сделки купли-продажи ценных бумаг в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение 3 последних кварталов осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

  1. Это документ, в котором регламентированы требования, необходимые для обеспечения безопасности при переводах денежных средств, и порядок проведения работ по оценке соответствия установленным требованиям.

  2. Объем оцениваемых требований Положения Банка России № 382-П насчитывает порядка 170 показателей оценки.

  3. Согласно 382-П, если требование к обеспечению защиты при переводе денежных средств:
  • полностью не выполняется – оценке присваивается числовое значение 0;
  • выполняется частично – оценке присваивается числовое значение 0.25, 0.5 или 0.75;
  • выполняется полностью – оценке присваивается числовое значение 1.

В целом, процесс оценки соответствия, осуществляемый на основании требований Положения № 382-П, идентичен процессу оценки соответствия по требованиям СТО БР ИББС-1.0.

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»

Документ, в котором регламентированы организационные и технические требования, необходимые финансовым организациям для реализации требований к обеспечению защиты информации, установленных нормативными актами Банка России.

Методика оценивания изложена в ГОСТ Р 57580.2-2018, а сами требования к содержанию базового состава организационных и технических мер защиты информации содержатся в документе ГОСТ Р 57580.1-2017.

Основные цели ГОСТ 57580:

  • определение уровней защиты информации и соответствующих им требований;
  • достижение адекватности состава и содержания мер защиты информации, применяемых финансовыми организациями;
  • обеспечение эффективности и возможности стандартизированного контроля мероприятий по защите информации, проводимых финансовыми организациями.
  • Настоящий стандарт определяет три уровня защиты информации:
  • — уровень 3 – минимальный – нормативные документы не регламентируют проведение аудита на соответствие данному уровню;
  • — уровень 2 – стандартный – должен выполняться кредитными и НЕкредитными организациями;
  • — уровень 1 – усиленный – должен выполняться значимыми кредитными и НЕкредитными организациями.
  • Также финансовые организации при обработке биометрической информации в ЕБС обязаны использовать информационные технологии и технические средства, которые соответствуют первому уровню защиты информации (усиленный) в соответствии с ГОСТ 57580 для контура ЕБС, согласно Приказу Минкомсвязи №321.
  • Мы собрали для Вас краткую шпаргалку со сроками, которые дают регуляторы финансовым организациям для проведения того или иного вида аудита.