Аудит по 683-П: обзор положения Банка России

Требования Центробанка при проведении аудита по 683-П

Данным положением Банк России устанавливает требования для проведения аудита, которые заключаются в периодичности и методике проведения оценки соответствия защиты информации. А именно:

• Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций имеющих лицензию на проведение работ.
• Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»

Когда положение 683-П вступает в действие?

21 мая 2019 года Центральный Банк обнародовал текст документа, датируемый 17.04.2019. Через 10 дней 1.06.2019 обязательное требование вступило в законную силу.

Исполнять отдельные указания потребуется после:

• 1.01.2020 – п.4. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее — ОУД) не ниже чем ОУД4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»;
• 1.07.2021 – п.9. Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
• 1.01.2023 – п. 9.2. Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.

Официальные разъяснения Банка России в отношении сфер применения 683-П

Центробанк намерен кардинально поменять сферу действия 382-П, чтобы защита ИБ при безналичных переводах ушла под контроль 683-П ЦБ РФ. Анализировать уязвимости субъекты кредитных отношений смогут самостоятельно или с привлечением сторонних лицензиатов. Результаты оценивания оформляются письменно по порядку, изложенному в ГОСТ 15408. Отправлять результаты оценивания на проверку не потребуется. Способы и объемы аудита по 683-П Банка России оставлены на усмотрение кредитного учреждения. Когда требования 382-П в будущем упразднят, тогда останется единственная оценка соответствия по ГОСТу.

Готовится к пересмотру форма отчетности № 202. Если требования смежных нормативов пересекаются, то потребуется исполнять более строгие предписания регулятора, которые содержит положение Банка России 683-П. Детально изучается вопрос внесения в текст 63-ФЗ упоминание третьей доверенной стороны, чтобы согласовать с 683-П ЦБ. Пока изменения остаются на стадии исследования. Центробанк интересуют не выбранные защитные механизмы, а объективная оценка риска, с учетом норм 683-П и 382-П. Так выглядит краткий обзор изменения подходов регулятора к защите информации коммерческими структурами, действующими в кредитной сфере хозяйствования. Хотя изменения вызвали неоднозначную реакцию, но детальное знакомство с документом 683-П ЦБ показывает, что это нововведение может оказаться полезным.

Как пересекаются требования 683-П и Гост Р 57580?

В положении 683-П есть требование, что Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». На основании вышеизложенного указано, что все кредитные организации должны реализовывать требования к защите информации определенные ГОСТ Р 57580.1-2017.

Положение 683-П: обзор обновленных инструкций

В подпункте 5.2.1 положения ЦБ 683-П предписывается выбор способа получения цифрового подтверждения транзакции от клиента. Внутреннюю политику управления рисками на предприятии понадобится согласовать с предоставленными регулятором указаниями. Центробанк не интересует методика и поэтапность получения клиентского согласия на перевод безналичных активов. Подходит любой способ, который подтверждает, что собственник счета согласился и подтвердит отправку.

Требования 683-П: комментарии по проведению оценки рисков

Специализированные компании, которые получили лицензию ФСТЭК России, вправе проводить комплексные мероприятия по защите личной информации или тестированию объектов корпоративной инфраструктуры для выявления брешей в ПО. Сотрудники нашей компании проводят по 683-П анализ уязвимостей, учитывая исполнение предписаний национального стандарта, пересекающегося норматива 382-П и методических рекомендации № 4-МР.

Наши специалисты постоянно следят за тем, какие предоставляет разъяснения ЦБ по 683-П, чтобы оказывать аудиторские услуги требуемого качества. После выявления серьезных угроз, клиенту предоставляется план мероприятий по ликвидации уязвимостей и совершенствованию системы обеспечения защиты информации (организационных и технических мер).

В связи с выходом положения Центрального Банка России от 17 апреля 2019 года, № 683-П «Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении Банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», конкретизировались требования к обеспечению защиты информации при осуществлении переводов денежных средств. Планируется поэтапный переход к необходимому уровню защиты информации не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.