Для обеспечения безопасности персональных данных работники банка обязаны в случае попытки

Обновлено: 04.07.2024

Соответствие требованиям информационной безопасности в финансовых организациях

В современном мире все больше финансовых сервисов и услуг переходят в цифровой формат. Растет объем операций с использованием электронных средств платежа. Вместе с этим растет и активность злоумышленников. С целью обеспечения защиты финансовых сервисов Банк России разрабатывает требования по информационной безопасности и усиливает их с каждым годом.

Банк России устанавливает требования по информационной безопасности для финансовых организаций в положениях, информационных письмах, методических рекомендациях, стандартах и других нормативных документов. Основные и обязательные требования в области защиты информации для финансовых организаций описаны в Положениях Банка России. На данный момент Банком России утверждены Положения 382-П (719-П), 683-П, 747-П, 757-П.

К основным требованиям Положений, которые обязательны для исполнения, можно отнести:

Требования для финансовых организаций:

Положение Банка России 382-П действует с 2012 года и утратит силу с 31 декабря 2021 года.

Положение 382-П обязаны соблюдать:

  • Банковские организации
  • Операторы национальных и международных платежных систем
  • Платежные агенты/субагенты/платежные шлюзы
  • Расчетные центры, платежные клиринговые центры, операционные центры.

Одним из основных способов определения уровня информационной безопасности в финансовых организациях является оценка соответствия Положению 382-П, которая должна проводиться на регулярной основе раз в 2 года. Если последняя оценка проведена до 31 декабря 2019 года, то требуется провести оценку соответствия в период действия Положения 382-П.

Положение Банка России 683-П от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента. Положение 683-П обязаны соблюдать все кредитные организации.

В соответствии с Положением 683-П должна защищаться следующая информация:

В Положении 683-П содержатся ссылки на иные требования и стандарты, которые необходимо выполнять для обеспечения защиты информации. Дополнительно для соответствия всем требованиям 683-П необходимо обеспечивать защиту по ГОСТ Р 57580, проводить тестирование на проникновение, выполнять анализ исходного кода по ГОСТ 15408 или проводить сертификацию ПО.

23 сентября 2020 года Минюст зарегистрировал новое Положение Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” (Далее - Положение 719-П). Положение 719-П приходит на смену Положению Банка России от 9 июня 2012 г. № 382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” (Далее - Положение 382-П).

Из основных требований Положения 719-П можно выделить следующие:

1) Была расширена область действия Положения 719-П. К субъектам платежной системы:

  • Операторы по переводу денежных средств (ОПДС);
  • Операторы услуг платежной инфраструктуры (ОУПИ);
  • Операторы платежных систем (ОПС);
  • Банковские платежные агенты (субагенты) (БПА).
  • Операторы услуг информационного обмена (ОУИО);
  • Поставщики платежных приложений (ППП).

2) Установлено обязательное соответствие стандарту ГОСТ Р 57580.1-2017 для всех участников кроме ОПС.

3) Добавлена необходимость для ОПДС ежеквартального вычислять значение показателя, характеризующего уровень переводов денежных средств без согласия клиента (не более 0,005 процента).

4) Добавлена обязанность для ОПДС подтверждать принадлежность клиенту адреса электронной почты, на который ОПДС направляет уведомления о совершенных переводах денежных средств.

5) В случае если защищаемая информация содержит персональные данные их защита должна осуществляться в соответствии с ФЗ №152 и Приказом ФСТЭК №21.

7) Добавлены приложения 1 и 2, которые содержат дополнительные технологические меры защиты для БПА, ОУИО и ОУПИ (Приложение 1), а также порядок их применения на технологических участках (Приложение 2)

Впервые Банк России в своих Положениях по защите информации определил ответственность за невыполнение требований защиты информации. Меры, которые может принимать Банк России в случае неисполнения требований Положения 719-П, указаны в п.7.3 Положения и будут приниматься в порядке, установленном:

  • частью двенадцатой ст.74 86-ФЗ – для являющихся кредитными организациями ОПС, ОУПИ и ОПДС;
  • частью четвертой ст.32 161-ФЗ – для не являющихся кредитными организациями ОПС и ОУПИ

Требования Положения 747-П распространяются на прямых участников платежной системы Банка России, имеющих доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств в электронном виде, являющихся кредитными организациями (их филиалами), а также на операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей, оператора услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей.

Как и в Положении 672-П, в новом документе содержится требование проведения оценки соответствия с необходимостью реализации стандартного уровня защиты информации по ГОСТ Р 57580.1-2017. До 1 июля 2021 года необходимо обеспечить уровень соответствия ГОСТу не ниже третьего, а с 1 января 2023 года – не ниже четвертого.

В Положении 757-П, как и в других Положениях Банка России по информационной безопасности, определена информация, которая подлежит защите:

Положение 757-П устанавливает для финансовых организаций требования по обеспечению защиты информации мерами ГОСТ 57580. Основным изменением в новом положении является расширение перечня некредитных финансовых организаций, выполняющих требования усиленного и стандартного уровня защиты информации: к усиленному уровню защиты добавились регистраторы финансовых транзакций, а к среднему операторы инвестиционной платформы, операторы информационных систем, выпускающие цифровые финансовые активы, а также операторы обмена цифровых финансовых активов . В отличии от утратившего силу Положения 684-П, в новом документе дополнительно предъявляются требования к организациям, выполняющим минимальный уровень защиты информации.

Оценка соответствия по ГОСТ Р 57580

Процесс по проведению оценки проводится в соответствии с методологией, описанной в стандарте ГОСТ 57580.2-2018. Периодичность проведения оценки устанавливается Положениями Банка России. Ключевыми особенностями является выделение трех направлений оценки:

  • Выбор организационных и технических мер защиты информации
  • Оценка полноты реализации организационных и технических мер защиты информации
  • Оценка обеспечения защиты информации на этапах жизненного цикла автоматизированных систем.

При проведении оценки проверяемой организации необходимо предоставить свидетельства для проверяющей организации для подтверждения реализации мер защиты. В качестве основных свидетельств, которые проверяющие могут использовать для оценки, являются документы, результаты интервью, результаты наблюдений, параметры конфигураций и настроек технических средств, а также результаты анализа уязвимостей и тестирования на проникновение.

По результатам оценки соответствия проверяющая организация должна подготовить отчет, требования к которому описаны в 8 разделе ГОСТ Р 57580.2-2018. Также отчет должен содержать перечень предоставленных свидетельств, перечень выявленных нарушений защиты информации, а также рекомендации по совершенствованию защиты информации и устранению выявленных нарушений.

Читайте также: