Знаковым событием в защите данных для Банков РФ стал выпуск Положения 747-П, нормативного документа, официально опубликованного 15 февраля 2021 года. Это положение, озаглавленное «О требованиях к защите информации в платежной системе Банка России», стало важным шагом в укреплении защиты денежных операций, проводимых в рамках Платежной системы ЦБ.
Стоит отметить, что 747-П не был совершенно новой концепцией, а скорее хорошо продуманным расширением своего предшественника, положения 672-П, которое было введено в действие 26 марта 2019 года.
Одной из движущих сил, стоявших за введением положения 747-П, было постоянно расширяющееся число организаций, участвующих в национальной платежной системе. Поскольку финансовая экосистема в России продолжала развиваться и диверсифицироваться, регулирующим органам стало необходимо адаптировать и расширять способы обеспечения безопасности данных, чтобы эффективно реагировать на эти изменения. Еще одним важным катализатором внедрения 747-П стало стремительное развитие системы быстрых платежей (СБП) в России.
Положение 747-П сыграло важную роль в установлении основных принципов безопасности данных. Однако прогресс никогда не стоит на месте. Само положение 747-П в итоге было заменено усовершенствованным 802-П.
Обзор Положения 802-П и его основные особенности
Постановление Центрального банка Российской Федерации № 802 (802-П) представляет собой замену устаревшему нормативному правовому акту, который больше не является актуальным в нынешних финансовых условиях. Основной целью этого нового регламента является рассмотрение и регулирование безопасного взаимодействия с СБП. Многие из требований Положения 802-П перенесены из предыдущего 747-П.
Главным из требований 802-П является внедрение электронных подписей (ЭП) для аутентификации и защиты сообщений, проходящих через платежную систему Банка России. Электронные подписи служат цифровым подтверждением личности и авторизации физического лица. Даны четкие инструкции использовать ЭП при передаче сообщений через систему. Электронные подписи выступают в качестве гарантов целостности сообщений, содержимое остается неизменным на протяжении всего его прохождения по системе.
Еще одним первостепенным требованием является внедрение системы защиты электронных сообщений в рамках Системы быстрых платежей ЦБ. Благодаря внедрению этой меры защиты конфиденциальные данные защищены от потенциальных угроз и несанкционированного доступа, что повышает общую безопасность системы.
Регламент 802-П подчеркивает необходимость строгого соблюдения стандартов, регулирующих безопасные криптографические средства защиты информации, обычно называемые СКЗИ, с особым акцентом на ПКЗ-2005. СКЗИ (Secure Cryptographic Information Security Tools) включает в себя специализированный стандарт, предназначенный для управления криптографическими инструментами, используемыми для защиты данных и предотвращения утечки данных. Соблюдение требований предполагает, что участники следуют установленным принципам, регулирующим использование криптографических средств. Эти инструменты играют ключевую роль в обеспечении неприкосновенности данных путем их шифрования и обеспечения того, чтобы только уполномоченный персонал имел возможность получать к ним доступ и манипулировать ими, тем самым защищая конфиденциальность данных.
Регламент также предписывает комплексную процедуру оперативного информирования об инцидентах информационной безопасности непосредственно в Банк России. Такой подход обеспечивает быстрое выявление скрытых угроз, позволяя принимать контрмеры для их устранения. Следовательно, воздействие на платежную систему сводится к минимуму.
Участники также обязаны применять строгие меры обеспечения безопасности данных в соответствии со вторым уровнем защиты, описанным в ГОСТ 57580.1. Примечательно, что этот уровень защиты никогда не должен опускаться ниже четвертого уровня, требование, изложенное в методологии, определенной в ГОСТ 57580.2.
Основные отличия Положения 802-П от устаревшего Положения 747-П
Россия, как и многие другие страны, постоянно адаптирует правила своей платежной системы, чтобы идти в ногу с меняющимися технологиями и расширяющимся кругом финансовых институтов. Одним из важных шагов на этом пути стал переход от 747-П к Положению 802-П.
Основу 747-П можно проследить по ФЗ № 161, вступившему в силу 27 июня 2011 года под названием «О национальной платежной системе». Этот закон заложил первоначальную основу для развития национальной платежной системы России и надзора за ней. Однако по мере развития финансового рынка и появления новых игроков и технологий необходимость в обновлении нормативных актов стала очевидной.
Затем вступил в силу Федеральный закон № 264-ФЗ, принятый 2 августа 2019 года, который внес существенные изменения в структуру и состав национальной платежной системы России. Одним из ключевых изменений, внесенных этим законом, стало расширение перечня организаций, участвующих в национальной платежной системе. Это расширение потребовало всестороннего пересмотра и обновления существующих нормативных актов.
Несмотря на важность Постановления № 747-П, постепенно стало очевидно, что оно больше не может эффективно удовлетворять меняющиеся потребности защиты информации для банков. 10 декабря 2022 года было введено в действие Постановление № 802-П.
Положение № 747-П, которое стало «родителем» 802-П, основывается на основных принципах, которые были заложены его предшественником, Положением № 672-П. В нем вводилось несколько ключевых правил, направленных на усиление безопасности информации в платежной системе Банка России. Некоторые из них:
- Регламент предписывает использовать передовые методы шифрования для защиты конфиденциальных финансовых данных во время передачи и хранения. Это гарантирует, что даже в случае перехвата данные остаются защищенными и нечитаемыми для посторонних лиц.
- Дан определенный перечень защищаемой информации с конкретными требованиями к ее обработке и защите.
- Доступ к критически важным компонентам платежной системы строго контролируется с помощью комплексных процессов аутентификации и авторизации пользователей. Это снижает риск несанкционированного доступа и утечки данных.
- Глава 7 Положения 719-П описывает процедуры мониторинга выполнения требований Банка России и процесс представления сообщений об инцидентах. В регламенте изложены процедуры оперативного информирования об инцидентах кибербезопасности и управления ими. Это гарантирует быстрое устранение любых потенциальных угроз или нарушений, чтобы свести к минимуму ущерб и предотвратить повторение в будущем.
- Регулярное тестирование на проникновение и оценка уязвимостей необходимы для выявления и устранения слабых мест в инфраструктуре безопасности платежной системы.
- Установлены строгие принципы хранения и удаления платежных данных, гарантирующие, что конфиденциальная информация не будет храниться дольше, чем необходимо, что снижает риск раскрытия данных.
Многие из этих требований, как видно, перешли в новое Положение. Положение 802-П отвечает на запросы о разъяснении требований, изложенных в его предшественнике. Оно предлагает более четкие рекомендации, гарантирует, что участники платежной системы будут иметь более ясное представление о своих обязательствах. Такая ясность уменьшает двусмысленность и способствует лучшему соблюдению мер информационной безопасности. Новые правила также касаются обновлений для отдельных групп нарушителей и связанных с ними рисков ИБ.
Основные различия между 802-П и 747-П:
- В 747-П содержится ссылка на положение 382-П, которое было отменено. Положение 802-П ссылается на Положение № 719, которое является фактической заменой отмененного положения 382-П.
- Положение 802-П устанавливает четкие требования к разработке документов в рамках сегмента Платежной системы Банка России в соответствии с руководящими принципами, изложенными в ГОСТ. Такой акцент на стандартизированной документации обеспечивает единообразие и соответствие требованиям внутри системы.
- В Положении 802-П учтены разъяснения, предоставленные Банком России в отношении Положения 747-П, срок действия которого истек. Это означает, что любые неясности или вопросы, возникшие в связи с предыдущим регламентом, были устранены.
- Одним из ключевых отличий является обновление списка угроз и рисков, связанных с информационной безопасностью. Примечательным дополнением является требование о применении модели оценки рисков для операций. Это подразумевает, что участники должны систематически оценивать и снижать риски, укрепляя общую систему безопасности платежной системы.
- Регламент 802-П вводит особые требования к шифрованию в рамках модели взаимодействия открытых систем. Шифрование играет ключевую роль в обеспечении безопасности данных при передаче и хранении, и эти требования обеспечивают надежную защиту.
- Участники платежной системы Банка России теперь обязаны разработать план ОНИВД. План ОНИВД является внутренним документом или сборником документов, который служит основой для того, как организация должна реагировать на неожиданные события или инциденты, которые могут нарушить ее повседневную деятельность, особенно в контексте информационной безопасности. В плане излагаются основные задачи организации по реагированию на инциденты. Эти цели обычно включают сведение к минимуму последствий инцидентов безопасности, защиту конфиденциальных данных и обеспечение бесперебойной работы основных служб. План определяет пошаговую процедуру, которой должна следовать организация при возникновении инцидента информационной безопасности. В нем описывается, кто должен быть уведомлен, какие действия следует предпринять и как следует документировать инцидент и сообщать о нем. План включает в себя временные рамки реагирования на инциденты безопасности и их устранения. Хотя план в первую очередь ориентирован на реагирование, он может также включать превентивные меры, которые организации могут внедрить, чтобы снизить вероятность возникновения инцидентов безопасности. Эти меры могут включать в себя передовые методы обеспечения безопасности, обучение сотрудников и ужесточение системы. Ключевой целью плана является обеспечение своевременного устранения последствий инцидентов безопасности. Это означает принятие быстрых и эффективных мер для восстановления нормальной работы и сведения к минимуму сбоев.
Как провести аудит (оценку) согласно Положению 802-П (бывшему 747-П)?
Основной целью аудита является оценка степени соответствия системы ИБ требованиям, изложенным в 802-П. По сути, он направлен на то, чтобы оценить, насколько эффективно эти правила применяются на практике. Процесс оценки осуществляется удаленно и опирается в основном на два основных источника: документацию и интервью.
Аудит проверяет соответствие широкому спектру требований информационной безопасности. К ним относятся защита автоматизированных систем, телекоммуникаций и сохранение конфиденциальности данных в определенных сегментах. Оценка также содержит в себе изучение документов, которые определяют меры безопасности и обеспечивают надлежащее применение защищенных криптографических средств.
Для поддержания стандартов необходимо проводить оценку соответствия на регулярной основе с минимальной периодичностью не реже одного раза в два года. Эта периодическая оценка помогает участникам убедиться в том, что их меры информационной безопасности остаются эффективными и актуальными.
Кроме того, банки обязаны гарантировать, что их объекты информационной инфраструктуры, расположенные в определенных сегментах сети, соответствуют предписанному уровню. В частности, этот уровень соответствия не должен опускаться ниже 4 уровня, как подробно описано в разделе 6 ГОСТ Р 57580.2–2018.
Ответственность за отслеживанием соблюдения требований в процессе осуществления денежных переводов лежит непосредственно на самом Банке России. Конкретные протоколы и процедуры, регулирующие такой мониторинг, можно найти в главе 7 Положения № 719-П, официальной публикации Банка России.
Реклама.Реквизиты:ООО«РТМТехнологии»
ИНН 7720337868
Сайт: https://rtmtech.ru/
