Оценка соответствия в сегменте ЕБС

Кому и почему нужно проводить аудит ЕБС?

Согласно п.4 Приложения 3 Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 10.09.2021 г. № 930, организации финансового рынка при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017
Указанный уровень должен реализовываться в сегменте Единой биометрической системы (ЕБС) банка.

Важно: проведение оценки соответствия в сегменте ЕБС банка по ГОСТ Р 57580 осуществляется только в рамках такого сегмента, информационная инфраструктуры всего банка не входит в область оценки.

Кредитные организации, некредитные финансовые организации, которые осуществляют сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049; 2020, N 49, ст. 7943), и информирование Банка России о результатах такой оценки.

ВАЖНО! Для организаций не относящихся к организациям финансового рынка, но осуществляющих сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79, и информирование Минцифры России о результатах такой оценки.

Кто контролирует выполнение требований и какие последствия могут быть?

Регуляторами выполнения требования Приказа Минкомсвязи № 930 являются само Министерство, а также Центральный Банк РФ.

Так в п. 7 Приложения № 1 указано, что кредитные и некредитные финансовые организации, должны обеспечивать:

1) информирование Минцифры России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно — инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.
Организации, указанные в настоящем пункте, осуществляют информирование Минцифры России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления;

Таким образом необходимо ежегодное проведение оценки соответствия по ГОСТ для всех организаций осуществляющих сбор и обработку биометрических данных и обязательное информирование о выявленных инцидентах. Для кредитных и некредитных финансовых организаций – информирование ЦБ. Для организаций не попадающих под регулирование ЦБ – информирование Минцифры России. Последствия за невыполнение данного приказа, могут повлечь за собой штрафные санкции, а также другие меры взыскания, предусмотренные законодательством и регулятором.

Что такое аудит ЕБС и в чем он заключается?

Проведение оценки соответствия сегмента ЕБС является частью аудита и представляет собой проверку выполнения и реализации мер защиты, реализованных в сегменте банка в соответствии со Стандартным уровнем защиты информации по ГОСТ Р 57580.1-2017.
В ходе проведения, осуществляется сбор сведений, свидетельствующих о выполнении мер защиты. В первую очередь рассматривается состав и содержание документации по информационной безопасности в сегменте ЕБС. Вместе с документами проводится интервьюирование сотрудников, анализируются переданные скриншоты, фотографии, лог-файлы и прочие свидетельства о реализации системы защиты.
Как правило, сегмент ЕБС рассматривается в рамках процессов защиты информации в соответствии с ГОСТ Р 57580 в составе:

• Обеспечение защиты информации при управлении доступом;
• Обеспечение защиты вычислительных сетей;
• Контроль целостности и защищенности информационной инфраструктуры;
• Защита от вредоносного кода;
• Предотвращение утечек информации;
• Управление инцидентами защиты информации.

По результатам оценки формируется отчет и прилагаемые к нему свидетельства выполнения по требованиям ГОСТ Р 57580.2-2018.

Важно:
В отличие от требований к оценке соответствия банков при осуществлении переводов денежных средств, не устанавливается минимальный порог к количественным показателям результатов оценки. Как следствие, уровень соответствия защиты информации по ГОСТ Р 57580 может быть любым.
Однако, в п.4 Приложения 3 к Приказу Минкомсвязи № 930 определенно, что в сегменте ЕБС банка должны использоваться информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017. Данный уровень включает около 450 мер защиты.
Следовательно, чем больше количество не выполненных мер, тем меньше организация соответствует условиям требования п. 5.

Какие мероприятия необходимы, кроме проведения оценки?

До проведения финальной оценки соответствия (GAP-анализ) и оформления отчета, рекомендуется провести предварительную оценку. Ее смысл заключается в проверке выполнения организационных и технических мер защиты, и определения мероприятий, которые помогут устранить несоответствия на этапе проведения аудита. Тем самым имеется возможность повысить финальную оценку соответствия.
Также введение в эксплуатацию новых средств защиты способствует повышению количественных показателей итоговой оценки соответствия по ГОСТ Р 57580.

Важно:
Результаты GAP-анализа не являются итоговыми показателями.

Важное значение при проведении оценки имеет внутренняя документация по ИБ сегмента ЕБС. Наличие пакета таких документов, а также приведение в соответствие документов требованиям ГОСТ Р 57580, способствует выполнению не малого перечня организационных мер защиты, что так же влияет на итоговую оценку соответствия.

Кто может проводить аудит ЕБС?

Согласно п.7,8 Приложения 1 к Приказу Минкомсвязи № 930 проведение оценки соответствия должно проводиться сторонней организацией, имеющей соответствующие лицензии:

2) ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79.