Материалы вебинара по реализации требований Центробанка к ИБ в некредитных финансовых организациях.

2 июня 2020

// Информационная безопасность

Видео вебинара для некредитных финансовых организаций по реализации требований Центробанка к информационной безопасности организации. Материалы для ознакомления: запись вебинара, доклады, вопросы и ответы, которые обсуждались на вебинаре и бонусом - инфографика "План по реализации требований Центробанка".

Получить оценку защищенности

Запись вебинара «Эффективные методы реализации требований Центробанка к ИБ в некредитных финансовых организациях»

Презентации к докладам

Ответы на вопросы заданные во время вебинара

Возможные меры воздействия на некредитные финансовые организации со стороны Регулятора? В соответствии с чем? Сколько в рублях? Периодичность?

Практика в части санкций ЦБ по отношению к некредитным финансовым организациям, которые нарушают требования положений в сфере ИБ, в настоящий момент отсутствует.

Сам ЦБ имеет широкие полномочия для «принуждения» финансовых организаций к реализации собственных требований – начиная от предписания и заканчивая лишением лицензии некредитной финансовой организации.

Сказать за ЦБ какие меры воздействия он предпримет в отношении того или иного нарушения мы не можем. Кстати, ДИБ ЦБРФ Артем Сычев на одном из вебинаров обозначил, что ЦБ не планирует проводить выездные проверки финансовых организаций в период пандемии.

А также обращаем на свежее информационное письмо ЦБ РФ, в котором сообщается, что регулятор до 1 июля 2021 года не будет применять санкций к финансовым организациям за нарушение ОУД.

Если для финансовых операций используем стороннее приложение, например, банк-клиент нужно ли его анализировать на уязвимости?

Согласно п.9 Положения №684 анализу уязвимостей по требованию ОУД (либо сертификации по требованиям ФСТЭК) подлежит следующее программное обеспечение:

ПО автоматизированных систем и приложений, распространяемых некредитной организацией своим Клиентам для совершения транзакций.
ПО, обрабатывающего защищаемую информацию (перечень ЗИ в п.1) при приеме электронных сообщений к исполнению в АС и приложениях с использованием Интернет.

Тут важно определиться про какое программное обеспечение мы сейчас говорим. Если Вы имеете ввиду приложение банка, клиентом которого являетесь некредитная финансовая организация, то анализ уязвимостей для данного ПО проводить не нужно.

Но, если Вы распространяете своим Клиентам программное обеспечение для проведения транзакций, разработанное сторонней организацией, то для такого ПО нужно провести либо анализ уязвимостей, либо сертификацию в системе ФСТЭК.

Теперь к вопросу о том, кто именно должен проводить данные работы. Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. Если разработчик, с которым заключен договор на разработку и сопровождение программного обеспечения, не готов:

передать исходные коды программного продукта;
реализовать у себя и задокументировать процесс безопасной разработки;
разработать документацию на программное обеспечение;
исправлять выявленные уязвимости в документации и исходном коде;

то успешно пройти анализ уязвимости программного обеспечения у НФО не получится, а Центробанк будет спрашивать именно с НФО, как с финансовой организации, использующей ПО, которая должна выполнять требования законодательства.

В такой ситуации возможны 2 пути:

Договориться с разработчиком о предоставлении необходимой документации и информации.
Предложить разработчику ПО от своего лица провести анализ уязвимостей к оценочному уровню доверия.

В противном случае использование ПО, не прошедшего анализ уязвимостей к оценочному уровню доверия (ОУД) является прямым нарушение требований Банка России со всеми вытекающими последствиями. Обратите внимание и на то, что даже если разработчик ПО самостоятельно проведет анализ уязвимостей по требованиям ОУД, то Вам в конечном итоге все равно придется провести ОУД повторно (такое требование указано в ГОСТ 15408). Но в данном случае объем работ по ОУД будет существенно меньше. Вам (с привлечением лицензиата) нужно лишь подтвердить отсутствие отличий в ПО и инфраструктуре от той версии, для которой разработчик провел ОУД.

Правильно я понимаю, сроки на проведение ОУД долгие, чтобы вовремя успеть нужно первые шаги завершить до конца этого квартала?

Сроки проведения самого анализа уязвимостей по требованию к оценочному уровню доверия (ОУД) могут достигать – 120-160 рабочих дней в зависимости от объема поверки. Также финансовой организации перед проведением проверки уязвимостей по требованиям ОУД необходимо провести подготовительные работы значительного объема – к примеру, корректировка существующей и разработка недостающей документации.

Подробнее о подготовке к проведению анализа уязвимости по требованиям к ОУД4 можно ознакомиться в нашем материале (ссылка). Там же приведен перечень документов и стандарты, которые нужно учесть при разработке документации. Помимо этого не стоит забывать и о возможной корректировке ПО и документации по результатам проверки. В итоге суммарно длительность работ от начала до получения положительного заключения может составить календарный год. Наиболее логичным выходом из сложившейся ситуации мы видим в оперативном заключением договора с лицензиатом о проведении подобных работ.

Что делать с ПО, которое мы не разрабатываем но используем. в плане тестирования на уязвимости? Требовать какую-то документацию от разработчиков? Если разработчиков уже нет, или ПО уже ими не поддерживается, что делать?

Самостоятельно без привлечения разработчика (без разницы – собственный или внешний) провести анализ уязвимостей по требованиям ОУД Вам не получится. Разработчик ПО должен:

передать исходные коды программного продукта;
реализовать у себя и задокументировать процесс безопасной разработки;
разработать документацию на программное обеспечение;
исправлять выявленные уязвимости в документации и исходном коде.

Также обращаю Ваше внимание на то, что Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. И вопрос о проведении подобного анализа по требованиям ОУД силами разработчика лежит в плоскости Ваших с ним договоренностей. Обратите внимание и на то, что даже если разработчик ПО самостоятельно проведет анализ уязвимостей по требованиям ОУД, то Вам в конечном итоге все равно формально придется провести ОУД повторно (такое требование указано в ГОСТ 15408). Но в данном случае объем работ по ОУД будет существенно меньше. Вам (с привлечением лицензиата) нужно лишь подтвердить отсутствие отличий в ПО и инфраструктуре от той версии, для которой разработчик провел ОУД.

Нашел АПКШ Континент в нескольких пополнениях 1-6 в чем отличия? Какой класс защиты (КС 1,2,3) использовать самостоятельно для обработки ПДн и соблюдения 684-П?

Исполнения АПКШ «Континента» были нужны для оптимизации процесса сертификации. Сейчас все заказчики получают шестое, наиболее полное исполнение. Класс защиты СКЗИ для обработки ПДн определяется постановлением правительства №1119 и приказом ФСБ №278. В целом, если речь не идет о обработке биометрических персональных данных, рекомендуется использовать СКЗИ класса не ниже КС2.

Континент 4 сертифицирован, если нет, то когда планируется?

Сертификация Континент 4 ожидается в первом полугодии 2021 года.

Есть ли какая-либо стандартизированная методика самостоятельной оценки соответствия ИБ?

Методика описана в ГОСТ Р 57580.2-2018. По сути, надо взять требования из ГОСТ Р 57580.1, расставить им значения соответствия/не соответствия/частичного соответствия (раздел 8 и 9, далее полученные результаты считаются по формулам из ГОСТ О 57580.2. Но имейте ввиду то, что оценку соответствия может проводить только лицензиат ФСТЭК (п.6.1 Положения 684-П).

Нужно ли писать задание по безопасности, если объект оценки - страничка, позволяющая выполнять перевод с карты на карту (т.е нет идентификации /аутентификации, администраторов и т.д)?

Да. В рабочей беседе с представителями ДИБ ЦБ РФ было сказано, что Web-приложения попадают под требования ОУД, если распространяются клиентам и используются для проведения финансовой операции.

Инфографика

Представляем краткую информацию по реализации положения № 684-П ЦБ РФ в виде инфографики. Чтобы информация всегда была у вас под рукой, вы можете скачать инфографику в высоком разрешении и распечатать до формата А3.

Остались вопросы? Нужна консультация?
Мы всегда готовы помочь!

Спросить

Услуги

Оценка и приведение к требованиям по Положению 684-П для НФО

Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций

Положение № 684-П является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ). Положение 684-П устанавливает обязательные к выполнению требования к защите информации для НФО.