Положение 833-П. Центральный Банк утвердил новые требования к информационной безопасности платформы цифрового рубля

С 1 января 2024 года вступает в силу Положение Банка России №833-П, которое устанавливает ключевые требования по защите информации в рамках функционирования платформы цифрового рубля. Это положение является логическим продолжением масштабного эксперимента, начатого в январе 2022 года, и теперь оформлено в виде обязательной нормативной базы.

Что регулирует Положение 833-П?

Положение 833-П по цифровому рублю направлено на обеспечение информационной безопасности банков-участников платформы, а также на защиту всех компонентов инфраструктуры, взаимодействующих с платформой цифрового рубля.
К числу таких компонентов относятся:

• Информационные системы участников;
• Программное обеспечение, устанавливаемое у клиентов;
• Каналы криптографического обмена;
• Сегментированная инфраструктура цифрового рубля.

Основные требования Положения 833-П в области криптографии и СКЗИ

Центральный Банк чётко определил перечень криптографических и технических мер, которые должны быть реализованы в системах участников:
1. Использование сертифицированных СКЗИ
При взаимодействии с платформой цифрового рубля необходимо применять только сертифицированные средства криптографической защиты информации (СКЗИ). Порядок их применения должен быть документирован и регламентирован.
2. Средства электронной подписи
Обязателен контроль целостности и подлинности информации с помощью ЭП, как при межбанковском взаимодействии, так и при работе с клиентами.
3. Проведение аудита по ГОСТ 57580.2
Положение требует внешнего независимого аудита информационной безопасности, который должен проводиться аккредитованными организациями, имеющими лицензию ФСТЭК России.

Организационные и технические меры по ГОСТ 57580.1: базовый и усиленный уровни защиты

Каждый банк-участник платформы обязан реализовать меры защиты ИБ в соответствии с ГОСТ Р 57580.1–2017, выбирая либо стандартный, либо усиленный уровень защиты в зависимости от критичности и архитектуры, используемой ИС.
К мерам относятся:

• Контроль доступа и регистрация действий пользователей;
• Изоляция критичных узлов платформы цифрового рубля;
• Проведение анализа защищённости и устранение уязвимостей;
• Реализация процедур управления инцидентами ИБ.

Безопасность пользовательского ПО цифрового рубля

Положение 833-П обязывает банки-участники обеспечивать защищённость клиентского программного обеспечения, которое используется физическими лицами для управления цифровыми рублями.
Такие приложения должны:

• Поддерживать функции защиты данных на устройствах пользователя;
• Обеспечивать криптографическое шифрование и цифровую подпись;
• Быть устойчивыми к попыткам несанкционированного доступа или внедрения вредоносного кода.

Ещё одним значимым пунктом положения является обязательное проведение пентестов:

• Тестирование на проникновение должно проводиться регулярно, в специально выделенном сегменте цифрового рубля;
• Участники обязаны реагировать на выявленные уязвимости и документировать меры по их устранению;
• Также возможна проверка Банком России в любой момент без предварительного уведомления.

Сроки вступления в силу Положения 833-П

Положение 833-П вступает в силу с 1 января 2024 года и уже является обязательным к исполнению. Исключение составляют лишь отдельные положения, касающиеся деталей применения СКЗИ — они вступают в силу позднее, в зависимости от степени готовности инфраструктуры участников.

Участникам важно уже сейчас завершить все подготовительные мероприятия, так как в условиях цифровизации любое отставание — это риск и для банка, и для клиента.