Требования Положения 683-П от ЦБ РФ, обязательные к соблюдению

Сейчас обсудим некоторые положения 683-П от ЦБ РФ. Раскрыть тему нам  помогли сотрудники одной из профильных компаний. Вот, что они поведали в разговоре с нашим корреспондентом.

По информации наших сегодняшних собеседников, требования положения 683-П обязательны для исполнения множеством организаций, однако далеко не все понимают, что это и какие правила вступили в силу совсем недавно.

Основные требования Положения 683-П

Положение Центрального банка Российской Федерации № 683-П от 17 апреля 2019 года представляет собой свод правил и требований, направленных на обеспечение безопасности финансовой информации и предотвращение несанкционированных денежных переводов в банковском секторе.

Банкам доверено огромное количество конфиденциальной финансовой информации о своих клиентах, включая реквизиты счетов и историю транзакций. Регламент устанавливает обязательные стандарты защиты информации, которых должны придерживаться все банки, работающие в России. Эти стандарты применяются для обеспечения безопасности данных пользователей и исключения любых несанкционированных транзакций, особенно переводов финансовых средств, без явного согласия клиента.

Положение № 683-П содержит несколько существенных пунктов, которых обязаны придерживаться кредитные учреждения:

• Одним из требований является ежегодный пентест. Пентестирование включает в себя имитацию кибератак на систему с целью выявления уязвимостей.
• Кредитные организации обязаны использовать прикладное программное обеспечение, сертифицированное в соответствии с принципами, указанными в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК) Российской Федерации № 76. Эта сертификация гарантирует надежность и безопасность программного обеспечения, обеспечивая дополнительный уровень защиты от киберугроз.
• Кредитные учреждения должны внедрять соответствующие технологии и протоколы для обеспечения подлинности и надежности своих цифровых взаимодействий. Эта мера предотвращает подделку данных и обеспечивает конфиденциальность информации.
• Особое внимание уделяется внедрению безопасных технологий обработки защищенной информации. Это влечет за собой использование шифрования, токенизации и других передовых методов для обеспечения неразборчивости финансовых данных для неавторизованных лиц.
• На кредитные учреждения возложена ответственность за информирование клиентов о наилучших методах защиты их информации. Это включает в себя информирование клиентов о рисках, связанных с вредоносным кодом, несанкционированным доступом и мерами по снижению этих рисков.
• Наличие четко определенной процедуры реагирования на инциденты ИБ является обязательным условием. Кредитные учреждения должны разработать протоколы для оперативного выявления, сдерживания и смягчения последствий нарушений безопасности.
• Учреждения обязаны оценивать уровень защиты своей информации хотя бы один раз за два года, опираясь на требования, которые приведены в ГОСТ Р 57580. Помимо этого существует определенный уровень, который определяет полноту исполнения требований и который был установлен на третьем уровне до конца 2022 года и повышен до четвертого уровня с января 2023 года.

Какую информацию необходимо защищать согласно 683-П?

В Положении 683-П определены несколько важнейших категорий данных, которые требуют защиты:

• Электронные сообщения составляют существенную часть современных банковских операций. В контексте финансовых транзакций электронные сообщения часто содержат конфиденциальную информацию, такую как суммы транзакций, номера счетов и коды авторизации. Защита этих сообщений имеет значение для предотвращения перехвата их злоумышленниками во время передачи.
• Криптографические ключи являются важными компонентами в обеспечении безопасности цифровой связи и хранения данных. В банковской сфере криптографические ключи используются для шифрования конфиденциальной информации, что делает ее нечитаемой без соответствующего ключа дешифрования.
• Информация, необходимая для авторизации клиента, охватывает широкий спектр элементов данных, необходимых для аутентификации и авторизации транзакций клиентов. Она включает в себя имена пользователей, пароли, PIN-коды (личные идентификационные номера), секретные вопросы, биометрические данные и любые другие учетные данные, используемые для верификации клиента. Защита этой информации имеет значение для предотвращения несанкционированного доступа к учетным записям клиентов. Несанкционированный доступ может привести к несанкционированным денежным переводам или краже личных данных, что приведет к финансовым потерям и ущербу репутации как клиентов, так и кредитной организации.
• Каждая банковская транзакция генерирует цепочку информации. Сюда входят такие сведения, как суммы транзакций, даты, время, вовлеченные стороны (отправитель и получатель), цель транзакции и номера ссылок на транзакции.

Оценка по ГОСТ Р 57580 согласно Положению 683-П

Как отмечают наши сегодняшние гости, оценка соответствия с ГОСТ Р 57580, предусмотренная 683-П, является важным аспектом обеспечения информационной безопасности кредитных организаций в России. Эта оценка классифицирует кредитные организации по различным уровням безопасности, к каждому из которых предъявляются особые требования, адаптированные к характеру и масштабу их операций.

Кредитные учреждения, подпадающие под категорию с повышенным уровнем безопасности, включают:

• Системно значимые кредитные организации: это крупные финансовые учреждения, банкротство или сбой в работе которых может существенно повлиять на стабильность всей финансовой системы. В силу своей роли эти организации подчиняются самым высоким стандартам защиты информации.
• Кредитные организации, действующие в качестве операторов услуг платежной инфраструктуры: это учреждения, ответственные за управление услугами платежной инфраструктуры системно значимых платежных систем. Учитывая критический характер их операций, они придерживаются строгих протоколов безопасности.
• Кредитные организации, играющие значительную роль на рынке платежных услуг: кредитные организации, играющие значительную роль на рынке платежных услуг, также подпадают под эту категорию. Их влияние и масштабы на рынке требуют повышенных мер безопасности для защиты конфиденциальной финансовой информации и обеспечения целостности транзакций.

Ожидается, что кредитные организации, отнесенные к категории с повышенным уровнем безопасности, будут применять надежные меры ИБ. Эти меры могут включать в себя современные протоколы шифрования, сложные механизмы контроля доступа, регулярные проверки безопасности и непрерывный мониторинг для оперативного выявления и смягчения потенциальных угроз.

Стандартный уровень безопасности распространяется на все другие кредитные организации, не отнесенные к повышенному уровню. Эти учреждения, возможно, не оказывают такого системного воздействия, как перечисленные выше, но они обрабатывают значительные объемы конфиденциальных данных и транзакций.

Требования к учреждениям стандартного уровня безопасности:

• Хотя к кредитным организациям не предъявляется такой же уровень строгости, как к учреждениям с повышенным уровнем безопасности, кредитные организации на стандартном уровне по-прежнему обязаны придерживаться надежных методов обеспечения информационной безопасности. Они должны внедрять шифрование, контроль доступа, защищенные протоколы связи и регулярные оценки безопасности.

Как проводится аудит по Положению 683-П от ЦБ РФ?

Аудит, который предполагает проверку соответствия правилам Положения 683-П, проводится таким образом:

• Перед началом оценки эксперты инициируют процесс, изучая внутреннюю нормативную документацию кредитной организации. Этот шаг обеспечивает фундаментальное понимание существующих в учреждении протоколов и политик безопасности.
• Важнейшим аспектом оценки является всесторонний анализ информационных систем (ИС), которые задействованы при финансовых переводах. Это включает в себя автоматизированные банковские системы, серверы, конфигурации оборудования и различные используемые средства информационной безопасности.
• Взаимодействуя с персоналом, эксперты определяют, какие инструменты информационной безопасности (ИБ) в настоящее время внедрены в компании, и получают представление о методологиях их внедрения. Вклад сотрудников дает практический взгляд на эффективность мер безопасности в реальных сценариях.
• Основываясь на собранных данных и анализе, эксперты оценивают, соблюдает ли компания установленные меры, обеспечивающие защиту информации. Выявляются любые отклонения или области, требующие улучшения. Впоследствии учреждению предлагаются устные рекомендации. Эти рекомендации служат полезной информацией, направленной на укрепление существующей системы информационной безопасности.
• Весь процесс, от предварительного обследования до предоставления рекомендаций, занимает от 2 до 10 дней.
• После оценки эксперты подготавливают отчет в соответствии с установленным Центральным банком форматом. В рамках отчета эксперты по оценке определяют, соответствуют ли меры и инструменты, используемые кредитной организацией, требованиям, изложенным в Положении № 683-П. Окончательные показатели оценки соответствия рассчитываются на основе критериев оценки.

Требования к электронной подписи в Положении 683-П

Согласно новому регламенту, кредитные учреждения обязаны обеспечивать подписание электронных сообщений способом, гарантирующим их целостность и подтверждающим их происхождение от уполномоченного лица. Этот шаг направлен на укрепление протоколов безопасности, связанных с электронными транзакциями, и снижение риска несанкционированного доступа или манипулирования цифровыми документами.

Более того, электронные сообщения, подписанные электронной подписью, теперь признаются эквивалентными традиционным бумажным документам с собственноручными подписями.

Однако этот сдвиг парадигмы сопряжен с трудностями. Многие кредитные организации, привыкшие к более простым электронным подписям, должны пересмотреть раздел 9 Закона 63-ФЗ. Теперь они сталкиваются с непростой задачей перехода на усовершенствованные электронные подписи, часто хранящиеся на токенах или в облаке.