Разбор требований Положения Банка России № 683-П
Положение Банка России № 683-П от 17 апреля 2019 г (далее – 683-П) вступило в силу 01.06.2019 г. и устанавливает требования к защите информации в кредитных организациях, направленные на уменьшение случаев совершения платежей без согласия клиента. Требования предъявляются как к инфраструктуре, так и к общему уровню ИБ в организации, осуществляющей перевод денежных средств. В 2022 году в 683-П вносятся изменения, гармонизирующие требования к прикладному ПО банков с требованиями Положения № 719-П. Практически идентичное Положение 757-П (684-П) было введено для НФО.
683-П распространяется на кредитные организации (далее - КО).
Рассмотрим подробнее основные моменты положения.
Защите подлежит информация в автоматизированных и информационных системах (далее - ЗИ), используемых для осуществления банковских операций (далее - БО):
О мерах защиты по ГОСТ Р 57580.1-2017 можно прочитать в статье.
Рассмотрим подробнее основные моменты положения.
Защите подлежит информация в автоматизированных и информационных системах (далее - ЗИ), используемых для осуществления банковских операций (далее - БО):
- электронные сообщения о БО;
- авторизационная информация;
- информация о БО;
- ключи СКЗИ.
- в отношении АС, ПО, СВТ, телекоммуникационному оборудованию, используемых для БО (далее - объекты ИИ);
- к прикладному ПО АС и приложений;
- технологиям обработки.
- Системно значимые КО, значимые КО на рынке платёжных услуг, ОУПИ, должны обеспечить усиленный уровень защиты информации по ГОСТ Р 57580.1-2017.
- Остальные КО должны обеспечить стандартный уровень защиты информации по ГОСТ Р 57580.1-2017.
- Оценка должна проводиться по ГОСТ Р 57580.2-2018 не реже, чем один раз в два года.
- Требования к компании-оценщику – наличие лицензии ФСТЭК на ТЗКИ с подпунктами "б", "д" или "е" пункта 4 Положения №79 от 03.02.2012 (далее – лицензия ФСТЭК).
- Уровень соответствия ГОСТ Р 57580.2-2018 с 01.01.2021 должен быть не ниже третьего, а с и 01.01.2023 - не ниже четвертого.
- Хранение отчета по результатам оценки по ГОСТ 57580 не менее 5 лет.
- Необходимо проводить ежегодный пентест и анализ уязвимостей.
О мерах защиты по ГОСТ Р 57580.1-2017 можно прочитать в статье.
Требования к прикладному ПО
Кредитные организации перед выбором - сертифицировать ПО во ФСТЭК или проводить анализ уязвимостей по ОУД4
Кредитные организации должны использовать прикладное ПО, для которого:
Для проведения АУ компания-оценщик должна обладать лицензией ФСТЭК.
Требования предъявляются к ПО, обрабатывающему защищаемую информацию в КО на участке приема к исполнению ПДС, и к ПО, передаваемому клиентам для осуществления ПДС. Для остального ПО кредитная организация самостоятельно определяет необходимость сертификации или анализа уязвимостей.
- проведена сертификация в системе сертификации ФСТЭК
или - проведён анализ уязвимостей по требованиям ОУД4 ГОСТ 15408 (далее - АУ).
Для проведения АУ компания-оценщик должна обладать лицензией ФСТЭК.
Требования предъявляются к ПО, обрабатывающему защищаемую информацию в КО на участке приема к исполнению ПДС, и к ПО, передаваемому клиентам для осуществления ПДС. Для остального ПО кредитная организация самостоятельно определяет необходимость сертификации или анализа уязвимостей.
Новое определение в 683-П - технологические участки и требования к защите информации на них.
По сути, технологические участки являются путём ЭС для совершения БО от авторизации клиента и проверки его прав до передачи на исполнение в платёжную систему.
Вводится определение следующих технологических участков обработки электронных сообщений:
1. идентификации, аутентификации и авторизации клиентов;
2. формирования (подготовки), передачи и приеме электронных сообщений;
3. удостоверении права клиентов распоряжаться денежными средствами;
4. осуществлении БО, учет результатов ее осуществления;
5. хранения электронных сообщений и информации об осуществленных БО.
В информационных системах банков согласно 683-П необходимо:
Участок формирования (подготовки), передачи и приёма ЭС:
1. проверять правильность формирования ЭС (двойной контроль) – может выполняться за счет передачи клиенту реквизитов содержащихся в ЭС и запросе кода подтверждения;
2. проверять правильность заполнения полей ЭС и прав владельца ЭП (входной контроль) – может выполняться за счет проверки на стороне прикладного ПО или АС;
3. контроль дублирования ЭС – может выполняться за счет контроля и использования уникальных номеров в платежных поручениях;
4. структурный контроль ЭС – может выполняться за счет проверки на стороне прикладного ПО или АС;
5. защита ЗИ при передаче в интернете – может выполняться при использовании защищенных протоколов, шифрования.
Участок удостоверения прав клиентов распоряжаться денежными средствами:
1. подписывать клиентские ЭС с помощью ЭП – может выполняться с использованием любого аналога собственноручной подписи в соответствии с 63-ФЗ;
2. получать от клиента подтверждения о совершенной БО – может выполняться с использованием различных одноразовых паролей.
Участок осуществления банковской операции и учета результатов:
1. Проводить соответствие(сверку) входных и выходных ЭС – может выполняться на стороне прикладного ПО или АС, АБС, АРМ КБР-Н.
2. Проводить соответствие(сверку) результата БО с ЭС – может выполняться на стороне прикладного ПО или АС, АБС.
3. Отправлять клиентам уведомлений об осуществлении БО – может выполняться с использованием различных одноразовых паролей.
Участок регистрации действий работников банка, связанных с доступом к ЗИ
Необходимо фиксировать:
1. дату (день, месяц, год) и время (часы, минуты, секунды) осуществления БО;
2. id работника;
3. код соответствующий технологическому участку;
4. результат осуществления БО, успешная\неуспешная;
5. идентификационная информация об устройстве доступа работника, например, IP адрес устройства/маршрутизатора.
Участок регистрации действий клиентов, связанные с доступом к ЗИ.
Необходимо фиксировать:
1. дату (день, месяц, год) и время (часы, минуты, секунды) осуществления БО;
2. идентификатор клиента;
3. код, соответствующий технологическому участку;
4. результат осуществления БО, успешная/неуспешная:
5. идентификационная информация об устройстве доступа клиента, например, IP адрес устройства/маршрутизатора, мобильный номер, MAC, IMEI, IMSI.
Участок хранения информации.
Должна обеспечиваться целостность и доступность следующей информации в течении 5 лет:
1. ЭС, электронных документов о совершении БО;
2. данных о действиях клиентов и работников, инцидентах приведших или приводящих к осуществлению БО без согласия клиента/неоказанию услуг по БО и др. в соответствии с перечнем типов инцидентов ЦБ РФ.
1. идентификации, аутентификации и авторизации клиентов;
2. формирования (подготовки), передачи и приеме электронных сообщений;
3. удостоверении права клиентов распоряжаться денежными средствами;
4. осуществлении БО, учет результатов ее осуществления;
5. хранения электронных сообщений и информации об осуществленных БО.
В информационных системах банков согласно 683-П необходимо:
- Подписывать электронные сообщения (далее - ЭС) в соответствии с 63-ФЗ.
- Обеспечить регламентацию, реализацию, мониторинг на технологических участках.
Участок формирования (подготовки), передачи и приёма ЭС:
1. проверять правильность формирования ЭС (двойной контроль) – может выполняться за счет передачи клиенту реквизитов содержащихся в ЭС и запросе кода подтверждения;
2. проверять правильность заполнения полей ЭС и прав владельца ЭП (входной контроль) – может выполняться за счет проверки на стороне прикладного ПО или АС;
3. контроль дублирования ЭС – может выполняться за счет контроля и использования уникальных номеров в платежных поручениях;
4. структурный контроль ЭС – может выполняться за счет проверки на стороне прикладного ПО или АС;
5. защита ЗИ при передаче в интернете – может выполняться при использовании защищенных протоколов, шифрования.
Участок удостоверения прав клиентов распоряжаться денежными средствами:
1. подписывать клиентские ЭС с помощью ЭП – может выполняться с использованием любого аналога собственноручной подписи в соответствии с 63-ФЗ;
2. получать от клиента подтверждения о совершенной БО – может выполняться с использованием различных одноразовых паролей.
Участок осуществления банковской операции и учета результатов:
1. Проводить соответствие(сверку) входных и выходных ЭС – может выполняться на стороне прикладного ПО или АС, АБС, АРМ КБР-Н.
2. Проводить соответствие(сверку) результата БО с ЭС – может выполняться на стороне прикладного ПО или АС, АБС.
3. Отправлять клиентам уведомлений об осуществлении БО – может выполняться с использованием различных одноразовых паролей.
Участок регистрации действий работников банка, связанных с доступом к ЗИ
Необходимо фиксировать:
1. дату (день, месяц, год) и время (часы, минуты, секунды) осуществления БО;
2. id работника;
3. код соответствующий технологическому участку;
4. результат осуществления БО, успешная\неуспешная;
5. идентификационная информация об устройстве доступа работника, например, IP адрес устройства/маршрутизатора.
Участок регистрации действий клиентов, связанные с доступом к ЗИ.
Необходимо фиксировать:
1. дату (день, месяц, год) и время (часы, минуты, секунды) осуществления БО;
2. идентификатор клиента;
3. код, соответствующий технологическому участку;
4. результат осуществления БО, успешная/неуспешная:
5. идентификационная информация об устройстве доступа клиента, например, IP адрес устройства/маршрутизатора, мобильный номер, MAC, IMEI, IMSI.
Участок хранения информации.
Должна обеспечиваться целостность и доступность следующей информации в течении 5 лет:
1. ЭС, электронных документов о совершении БО;
2. данных о действиях клиентов и работников, инцидентах приведших или приводящих к осуществлению БО без согласия клиента/неоказанию услуг по БО и др. в соответствии с перечнем типов инцидентов ЦБ РФ.
Требования к используемым СКЗИ
- Обеспечение защиты информации с использованием СКЗИ при осуществлении банковской деятельности при ПДС должно осуществляться в соответствии с 63-ФЗ, 1119-ПП, ПКЗ-2005, Приказ № 378 ФСБ России и технической документацией на СКЗИ.
- При применении российских СКЗИ они должны иметь сертификаты соответствия ФСБ России.
- Криптографические ключи должны изготавливаться КО или клиентом, с применением процессе организационно-технических мер защиты информации и средств защиты информации в соответствии с документацией на СКЗИ.
Защита от вредоносного кода и НСД
Кредитные организации должны создать рекомендации по защите от вредоносного кода устройства для совершения БО включающие меры по:
- предотвращению НСД к ЗИ, в т.ч. при утрате/потере/хищении устройства;
- контролю конфигурации устройства, для своевременного обнаружения воздействия вредоносного кода.
Инциденты информационной безопасности.
Информация о рекомендуемых формах и сроке предоставления отчетов размещается на сайте ЦБ РФ.
К инцидентам относятся нарушения требований по защите информации связанной с ПДС, события, которые привели или могут привести к осуществлению БО без согласия клиента или неоказанию услуг по БО, а также инциденты из перечня типов инцидентов ЦБ РФ.
Кредитная организация во внутренних распорядительных документах устанавливает порядок регистрации и взаимодействия со службой управления рисками (3624-У).
В отношении каждого инцидента ЗИ кредитная организация должна регистрировать:
Кредитная организация во внутренних распорядительных документах устанавливает порядок регистрации и взаимодействия со службой управления рисками (3624-У).
В отношении каждого инцидента ЗИ кредитная организация должна регистрировать:
- ЗИ и технический участок, на котором произошло НСД;
- результат реагирования, в т.ч. возврат денежных средств.
- о выявленных инцидентах ЗИ, включенных в перечень типов инцидентов;
- о планируемых мероприятиях по инцидентам ЗИ, размещение информации на сайте, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.
05 АПРЕЛЯ / 2022
По всем вопросам свяжитесь с нами любым удобным способом:
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02