BIS Journal №4(31)/2018

17 декабря, 2018

Безопасность финансов

В августе 2017 года Ростехрегулирование утвердило национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». На данный момент национальный стандарт является рекомендательным, но в нем содержится, например, такое положение: «настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах». Банком России разработаны и опубликованы проекты положений, устанавливающих обязанность кредитных и некредитных финансовых организаций выполнять требования ГОСТ Р 57580.1-2017, начиная с 2021 года. Более того, ссылки на необходимость выполнения требований данного стандарта установлены в приказе Министерства цифрового развития, связи и массовых коммуникаций РФ для информационных технологий и технических средств, использующихся при обработке, включая сбор и хранение параметров биометрических персональных данных в целях идентификации (Приказ от 25.06.2018 г. № 321).

«…И ВОТ ОПЯТЬ»

Исторически Банк России разрабатывает собственные рекомендательные стандарты серии БР ИББС начиная с 2004 года, включающие в себя как базовые документы, содержащие требования к реализации системы обеспечения информационной безопасности и описание порядка проведения оценки соответствия (в том числе методику оценки соответствия), так и рекомендации по реализации отдельных процессов управления и обеспечения ИБ, таких как оценка рисков ИБ, менеджмент инцидентов ИБ, обеспечение ИБ на стадиях жизненного цикла автоматизированных банковских систем и другие. Область применения СТО БР ИББС определялась организацией банковской системы самостоятельно.

С выходом Положения Банка России 382-П были формализованы требования по обеспечению информационной безопасности при осуществлении переводов денежных средств, которые учитывали специфичные процессы и используемые информационные технологии: информационные системы дистанционного банковского обслуживания (в том числе использование мобильных приложений), терминальные устройства дистанционного банковского обслуживания (банкоматы и платежные терминалы). При этом общие требования к основным процессам обеспечения информационной безопасности в большей степени дублируют положения СТО БР ИББС.

ГОСТ 57580.1-2017 является логичным продолжением многолетней работы Банка России в области стандартизации вопросов обеспечения информационной безопасности, так как в область его «потенциального» действия входят не только банки, но и другие финансовые организации (микрофинансовые организации, бюро кредитных историй, страховые компании и другие).

ОСНОВНЫЕ ПОЛОЖЕНИЯ

Стандарт ГОСТ Р 57580.1-2017 разработан совместно Центробанком и НПФ «КРИСТАЛЛ» (является одним из разработчиков документов Банка России в области стандартизации СТО БР ИББС) и внесен на рассмотрение в Ростехрегулирование техническим комитетом 122 (ТК-122) «Стандарты финансовых операций».

Положения стандарта могут использоваться кредитными и некредитными финансовыми организациями, а также субъектами национальной платежной системы для достижения следующих целей защиты информации:

определение требований к составу и содержанию организационных и технических мер защиты информации;
соответствие состава и содержания мер защиты информации актуальным угрозам безопасности информации и уровню принятого организацией операционного риска (риск-аппетиту);
обеспечение эффективного контроля состояния защиты информации на основе стандартизованного подхода.

Определение требований к составу и содержанию организационных и технических мер защиты информации осуществляется на основании выбранного уровня защиты. Стандартом установлены три уровня защиты: минимальный (третий), стандартный (второй) и усиленный (первый). Причем в финансовой организации могут быть выделены несколько контуров безопасности, каждый из которых может защищаться по своему уровню.

В соответствии с опубликованным проектом Положения Банка России «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности» установлены следующие критерии определения необходимого уровня защиты:

1-ый уровень защиты (усиленный) – для системно значимых кредитных организаций, выполняющих функции оператора услуг платежной инфраструктуры значимых платежных систем, кредитных организаций, значимых на рынке платежных услуг, при осуществлении более 3 млн. банковских операций (среднегодовой показатель);
2-ой уровень защиты (стандартный) – для всех остальных кредитных организаций.

Значение 3 млн. единиц операций соответствует критерию отнесения объектов критической информационной инфраструктуры Банка к значимым.

Соответствие состава и содержания мер защиты информации актуальным угрозам безопасности информации и уровню принятого организацией операционного риска (риск-аппетиту) должно достигаться путем адаптации, исключения и дополнения базового набора мер по результатам моделирования угроз безопасности информации и оценки рисков с учетом особенностей информационной инфраструктуры и реализуемых бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств организации.

ГОСТ Р 57580.1-2017 описывает следующие основные направления в рамках организации системы защиты информации Банка:

  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств;
  • защита информации на этапах жизненного цикла автоматизированных систем и приложений.

В рамках каждого направления определен перечень мер, необходимых к реализации как в виде организационных мероприятий по защите информации, так и путем применения специализированных средств защиты информации. Если мера защиты информации не может быть реализована, то необходимо рассмотреть возможность (а в отдельных случаях необходимость) применения компенсирующих мер, направленных на обработку рисков, связанных с реализацией тех же угроз безопасности (перечень рассматриваемых угроз должен учитывать положения базовой модели угроз и нарушителей безопасности информации, описанные в Приложении А к ГОСТ Р 57580.1-2017). При этом выбор компенсирующих мер должен быть формализован и закреплен во внутренних нормативных документах организации.

Также стоит обратить внимание, что часть мер, описанных в стандарте, дополняют друг друга и могут быть использованы как компенсирующие.

Обеспечение эффективного контроля состояния защиты информации на основе стандартизованного подхода должно достигаться путем реализации следующих мероприятий:

  • осуществление мониторинга и контроля состояния защиты информации;
  • проведение оценки эффективности реализованных мер;
  • анализа и совершенствования системы защиты информации;
  • проведения периодической независимой оценки выполнения установленных требований.

А СУДЬИ КТО?

Примерно через полгода после принятия ГОСТ Р 57580.1-2017 была принята методика оценки соответствия (ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»). Методика оценки соответствия содержит описание как процесса проведения оценки соответствия, так и требования к формированию отчетных материалов по результатам оценки.

Оценка выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1-2017 должна проводиться только независимой организацией: обладающей необходимой компетенцией (порядок оценки такой компетенции не определен) и лицензией на деятельность по технической защите конфиденциальной информации.

И если процесс оценки соответствия требованиям ГОСТ Р 57580.1-2017 не сильно отличается процесса, описанного в документах стандарта Банка России СТО БР ИББС-1.1, то подход к оценке реализации мер защиты информации кардинально изменен:

Из методики убраны оценки, соответствующие состоянию «не в полной мере», «практически полностью», «что-то делается», позволявшие довольно расширенное толкование со стороны проверяющих: все меры, описанные в разделе 7 ГОС Р 57580.1-2017, оцениваются по следующей шкале:

0 – мера не выбрана;
1 – мера выбрана;

Процессы управления информационной безопасности (планирование, реализация, контроль и совершенствование) рассматриваются не в разрезе всей организации, а применительно к 8 основным процессам, описанным в разделе 7 ГОСТ Р 57580.1-2017.
Перечень мер защиты информации, подлежащих оценке, может быть скорректирован по результатам работ по их адаптации и/или применения компенсирующих мер, направленных на обработку рисков, связанных с реализацией тех же угроз безопасности.
Если в организации выделены несколько контуров безопасности, то оценка должна формироваться независимо для каждого контура.

Другим нововведением, определяемым ГОСТ Р 57580.2-2018, являются детализированные требования к отчетным документам, формируемым по результатам оценки соответствия. К таким требованиям в том числе относятся:

отчет по результатам оценки соответствия защиты информации должен быть прошит и скреплен мастичной печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы;
для каждого электронного документа, файла данных, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть вычислены хэш-функции, реализованной в соответствии с ГОСТ Р 34.11-2012.

ЗАКЛЮЧЕНИЕ

Выпущенные под контролем Банка России национальные стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 несколько нарушают традиции отраслевого стандарта СТО БР ИББС, тем не менее понятно, что это только первые документы в создаваемой экосистеме регулирования информационной безопасности в компаниях, которые подотчётны Центробанку. Аналогичный путь для банков, проделанный стандартом СТО БР ИББС, показывает, что со временем и ГОСТ Р 57580.1 также станет фактически обязательным, причем для значительно большего круга организаций, в частности, некредитных финансовых компаний. Поэтому для таких компаний логично рассмотреть возможность реализации данного стандарта уже сейчас. Пока конкретных сроков перевода требований ГОСТ в разряд обязательных официально не названо, в проектах Положений Банка России указан 2021 год.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных