Аудит положения банка России 672-П: обзор требований к межсетевым экранам

Получив особые полномочия, Центробанк инициировал усиление мер по защите информационной безопасности (ИБ). Появились обновленные нормативные документы и ГОСТы, которые распространяются на финансовую деятельность кредитных и некредитных учреждений. Регулятивный документ 672-П пришел на смену 552-П, чтобы гарантировать устойчивое развитие рынка финансов в изменяющих экономических реалиях. ЦБ РФ намерен предупредить потери из-за киберпреступности и несанкционированного доступа к БД с использованием платежных карт.

Обзор системных требований Положения 672-П к межсетевым экранам

В тексте Положения БР № 672-П прописаны собственные и отсылочные требования на обязательные ведомственные акты: ГОСТ Р 57580.1-2017 и 57580.2-2018, 382-П, 2831-У. Введение в действие обновленных документов – это мера Центрального Банка,направленная на создание комплексного механизма защиты информации по общенациональному стандарту. Обязательны для исполнения прямые указания и дополнительные нормы, которые содержатся в формуляре СКЗИ «Сигнатура». Требуется применение МСЭ, одобренных ФСБ. Если сведения передаются за пределы контролируемой зоны корпоративной сети, то требования к межсетевым экранам(МЭ) повышаются. Для соответствия требуемого уровня защиты необходимо использовать средства защиты, сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса.

Введение в действие положения 672-П

Документ официально принят 9 января 2019 года, а опубликован уже 21 марта. Согласно законодательным нормативам, Положение 672-П вступило в законную силу 06.04.2019. Начало действия отдельных норм перенесено на 1 июля 2021 года, но это не касается клиринговых и операционных центров. Чтобы защитить участников ПС БР, документ обязывает выполнять требования ГОСТ Р 57580.1-2017. Оценка соответствия по 672-П включает регламентные процедуры, упомянутые в государственном стандарте 57580.2-2018.

Финансовые организации обязываются:

  • размещать ИТ-объекты для денежных переводов в отдельных кластерах или сегментах вычислительных сетей;
  • применять стандартный уровень защиты информации;
  • реализовывать усиленные защитные меры для ОПКЦ;
  • создать документацию с описанием методов защиты и порядка претворения в жизнь намеченных целей;
  • гарантировать применение криптографических способов безопасности информации, согласно ПКЗ-2005.

Для жесткого централизованного регулирования ИБ с 01 июля 2021 вводится в действие 672-П ЦБ. Что это означает для финучреждений? Оценку соответствия можно проводить отдельно по 672-П, 683-П и окончательной редакции приказа Минкомсвязи №321 или комплексно, чтобы максимально оптимизировать расходы.

В рамках 672-П Банк России обязывает выполнять сопутствующие требования

Предписания ГОСТ 57580.1, основанные на свободном выборе мер защиты, объединены с фиксированным обязательным перечнем, изложенным в 382-П. Отдельные требования672-П Банка России предписывают выполнять оба норматива. В пункте 20 документа 672-П указано, что оценка соответствия должна проводиться в соответствиями положения стандарта Российской Федерации ГОСТ Р 57580.2 – 2018. Кредитные учреждения, независимо от категории участников ПС, должны проводить оценку соответствия не реже одного раза в два года.

Реализация обязательных и добровольных мер по 672-П при аудите

Согласно статье 20 части 9 ФЗ № 161, набор правил использования платежной системы устанавливает Центробанк. Это значит, что 672-П в последней редакции – это часть правовых мероприятий по ИБ, предоставленных регулятором. Методика выборочного или комплексного анализа 672-П от 9.01.2019 по ГОСТ Р 57580.2-2018 дополнительно описана в приказе № 156-ст от 28.03.2018.

Центральный банк предоставил официальный ответ на вопрос о том, кто анализирует и контролирует уровень защищенности встроенных СКЗИ для АРМ КБР-Н. Такой анализ 672-П защитных инструментов, используемых в корпоративной сети, проводит ЦБ РФ, а не кредитная организация. Сертификация на соответствие требованиям ФСТЭК не потребуется.

Обзор требований 672-П к контролю контура формирования ЭС

Окончательная компоновка исходящих электронных сообщений происходит на основании первичной документации.Этот процесс предшествует отправке информации в БД централизованной платежной системы БР. В соответствии с Положение Банка России № 672-П, контур формирования должен находиться под постоянным контролем. В первом пункте Приложения к положению детально описана процедура подписания электронной подписью. Когда проводится анализ выполнения положения Банка России № 672-П ЦБ РФ в части формирования текстов электронных сообщений, к данному пункту регулятор обращает пристальное внимание.

Центральный Банк предоставляет в рамках 672-П разъяснения по текущей отчетности

В пункте 18 обязательного к исполнению 672-П БР упоминается требование обеспечения ИБ национальной платежной банковской системы для официальных участников СБП или ССНП. Кредитные учреждения при переводе финансовых активов должны защищать финансовую информацию, руководствуясь отчетностью по 2831-У. Регулятор планирует предоставить дополнительные пояснения о текущих изменениях, чтобы анализ выполнение положения 672-П проходил объективно и квалифицированно.

Стоимость аудита по 672-П: требования к межсетевым экранам

Этот краткий обзор положения 672-П предназначен для знакомства с обновленными способами защиты финансовой информации, которые предписывают банковским структурам внедрять обязательные мероприятия. Применение межсетевых экранов помогает снизить риск несанкционированного проникновения, повысить защищенность БД, своевременно обнаружить вторжения извне и утечку сведений. Чтобы проверить защищенность, нужно проводить периодическое тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.

Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности. В ООО «ЛИТЕРАФОРТЕ» имеется квалицированный штат сотрудников, прошедших соответствующее обучение и курсы повышения квалификации, а также имеющих большой опыт в проведении аудитов.

Наши преимущества

Стоимость

Услуга Стоимость
Консультация

бесплатно

Оценка соответствия по 672-П - от 4 недель

от 180000 руб.

Свяжитесь с нами

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Аудит по 683-П

Аудит по 683-П положения Банка России

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка уровня информационной безопасности по 684-П

Оценка уровня информационной безопасности предприятия и организации по 684-П

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Положение Банка России 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее