6.9.18

Новые требования ЦБ устанавливают обязательность ГОСТа для кредитных и некредитных финансовых организаций

История нередко делает очень неожиданные зигзаги, показывая, что у нее есть какой-то свой план, который изначально не всем виден и не всеми воспринимается в позитивном ключе. Такая история была и с обеспечением безопасности кредитно-финансовой сферы, регулированием которой занимается Центральный Банк. Давайте вспомним, как выстраивалась система требований по защите в Национальной платежной системе? В 2011-м году вступил в силу ФЗ-161 и в нем были прописаны (пожалуй, впервые на уровне закона для целой отрасли) обязательства по защите информации для участников НПС (27-я статья). Мне довелось поучаствовать в рабочей группе, которая писала "детализацию" этих требований, позже получившей название "382-П".

И вот ту мы подходим к первому событию в истории, которое повторилось совсем недавно. Начав работу над 382-П в рамках ГУБЗИ, завершалась работа уже в рамках нового Департамента регулирования расчетов. И отчасти такое разделение выглядело логичным. ГУБЗИ, как и любая структурная единица любой организации, занимавшаяся ИБ, делала это сугубо для внутренних целей самого Центрального Банка. Но он же был не только финансовой организацией, но и регулятором, который устанавливал правила игры для целого рынка. И если первоначально предполагалось, что и внутренняя ИБ и внешняя должна быть исходить из одних рук, то потом пришло понимание, что это не совсем правильно и надо бы разнести эти задачи между разными департаментами. Так и случилось - ГУБЗИ продолжал отвечать за внутреннюю ИБ, а ДРР, который позже был реформирован в ДНПС (Департамент Национальной платежной системы), была делегирована задача установления правил по ИБ для участников НПС и сбора отчетности от них. Так бы все и продолжалось, если бы в ЦБ не произошли определенные изменения, которые привели к тому, что в ДНПС почти не осталось ресурсов, которые бы могли разрабатывать требования по ИБ и анализировать получаемую ежемесячно статистику об инцидентах. В итоге некоторое время назад история сделала крутой поворот и вся "внешняя ИБ" вновь вернулась к истокам, в ГУБЗИ.

Некоторое время все было прекрасно - ГУБЗИ занималось внутренней ИБ и разработкой обязательных Положений и Указаний, методических документов в виде СТО и РС, а позже и в виде обязательных в перспективе ГОСТов. Однако тема кибербезопасности становилась более публичной и политизированной, а после слияния ЦБ с ФСФР, еще и гораздо более масштабной. В итоге история вновь резко развернулась и возникла задача разделить два направления - внутренняя ИБ для целей самого Банка России и внешняя - для установления правил ИБ уже не только для кредитных организаций, и не только для участников НПС, но и для всех остальных профессиональных участников финансового рынка, страховых, негосударственных пенсионных фондов, микрофинансовых организаций, бирж и т.п. И вот недавно в ЦБ был создан новый Департамент (ДИБ), целиком занимающийся внешней ИБ, - разработкой новых стандартов, сбором статистики, обеспечением работы ФинЦЕРТ.

Примерно так мне видится история, а теперь, после долгого предисловия, пора вернуться к тому, ради чего я затевал эту заметку. Речь идет о двух проектах, выпущенных вчера Банком России, и посвященных установлению обязательных требований по кибербезопасности для кредитных и некредитных финансовых организаций.

Требования для кредитных организаций

Первый возникающий вопрос касается первого проекта. Зачем он нужен, если ЦБ уже выпустил 382-П и имеет ГОСТ 57580.1, устанавливающий базовый набор защитных мер. Ответ на этот вопрос очень просто. 382-П касается только участников НПС и защиты информации в Национальной платежной системе, а разработанный проект распространяется на всю банковскую деятельность, исключая те области, которые уже покрыты требованиями по ИБ, установленными федеральными законами (ФЗ-152 о ПДн, ФЗ-161 о НПС, ФЗ-187 о безопасности КИИ). Идеологически новый проект схож с 382-П и его реализация не будет чем-то новым для кредитных организаций, но есть и ряд отличий. Пусть и с некоторым опозданием (обещали это сделать еще в конце 2017-го года), но Банк России наконец-то сделал обязательным использование своего ГОСТа 57580.1, сославшись на него в новом проекте. Именно в нем даются ссылки на 3 уровня защиты информации из ГОСТа, которые и описывают базовый (рекомендуемый, а не минимальный) набор защитных мер для разных типов кредитных организаций. Оценка соответствия новым требованиям осуществляется внешним лицензиатом на соответствие ГОСТ 57580.2.

В целом ничего нового в этом проекте нет, за исключением всего одного момента. Выполнение требований нового ГОСТа с дифференциацией требований по уровням защиты выглядит вполне разумно, но... кредитные организации обязаны также выполнять и 382-П наряду с новым Положением. А 382-П никак не привязывает требования по защите к 3-м уровням. И вот этот момент мне пока непонятен. Допускаю, что ЦБ в перспективе планирует внести изменения и в 382-П, но позже; после недавнего крупного изменения, вносить еще одни правки было бы неразумным.

Требования для некредитных финансовых организаций

Второй проект стал следствием получения Банком России новых полномочий. Он почти ничем не отличается от первого, разве что он не требует от некредитных финансовых организаций выполнять 382-П. Но в любом случае он может стать для них неприятным сюрпризом (хотя ЦБ неоднократно на протяжении последних лет предупреждал о том, что он обяжет всех профессиональных участников финансового рынка выполнять требования по ИБ, схожие с теми, что были установлены для банков). Он также как и предыдущий проект привязывает требования по защите к уровням из ГОСТа 57580.1, но уже не к двум, а к трем. Последний, минимальный уровень устанавливается для микрофинансовых организаций, кредитных потребкооперативов, жилищных накопительных кооперативов, сельскохозяйственных кредитных потребкооперативов и ломбардов. Вроде бы им и радоваться надо, что требований для них мало (хотя "мало" понятие субъективное; особенно для тех, кто никогда не занимался своей кибербезопасностью профессионально), но есть три нюанса, на которые я бы обратил внимание:

  1. Такие организации обязаны изучить регулирование криптографии, которая им может потребоваться как для защиты ПДн, так и для защиты иной информации. Также они должны изучить законодательство об электронной подписи.
  2. Такие организации обязаны информировать ФинЦЕРТ о выявленных инцидентах.
  3. Такие организации обязаны присоединиться к ГосСОПКЕ и взаимодействать с ФСБ для уточнения порядка информирования ФинЦЕРТа и ГосСОПКИ.
Последние три пункта - не блажь ЦБ, а требования ФСБ, которая уже не раз высказывала позицию, что им не важен размер контролируемой организации в области КИИ - сообщать об инцидентах должны все субъекты КИИ; как и соответствовать требованиям по криптографии. И вот именно эти три пункта могут вызвать основную сложность у небольних финансовых некредитных организаций. Остается надеяться, что до их проверки дело не дойдет. А то проверка по формальным признакам может закончиться прекращением их деятельности оздоровлением рынка.

Дата вступления в силу новых проектов не установлена (будет зависеть от даты принятия), а вот  требование по сертификации банковского/финансового ПО (исключая небольшие финансовые некредитные организации, которым это не требуется) вступают в силу с 1-го января 2020 года, требования по использованию ГОСТа 57580.1 и внешнему аудиту соответствия ГОСТ 57580.2 - с 1-го января 2021 года.

9 коммент.:

Unknown комментирует...

а на данном этапе некредитные организации обязаны присоединиться к ГосСОПКЕ?

Zuz комментирует...

Интересно, но
1. Я не понимаю, даже с учётом того, что этот документ будет распространятся на всю БС, а 382-П может станет ссылочным через меры, описанные в ГОСТе, но зачем снова делать стену текста по типу 382-П и 552-П?
Почему не ввести было только уровни защищённости и ограничится требованиями ГОСТ, зачем было их дублировать в этом документе и переиначивать?
2. Сам документ, по сравнению с ГОСТ — это просто куча текста слабоструктурированная (не в табличной форме, требования комплексные, не разбиты на элементарные, сформированы канцелярским языком), без методики оценки соответствия (а ведь проверку выполнения этого положения тоже нужно будет проводить помимо проверки по ГОСТ), и вновь без методики реализации отдельных положений.
3. Касательно методики реализации, это основная проблема: вот написано, что нужно обеспечить регистрацию лиц по осуществлению доступа к защищаемой информации, а как именно практически это сделать нигде не указано. Записали в реестр лиц и всё? Выполнили формально? А какой в этом формально смысл?
4. Начал читать, дочитал, что криптографические ключи делают или банки, или клиент самостоятельно. А вот у нас ключи делают клиенты в сторонних УЦ (причём УЦ может сделать и саму ключевую пару по желанию клиента).
Это подходит под самостоятельно клиентом или УЦ не должен делать ключевую пару, а клиент должен делать её на своей стороне? Т.е. нам придётся ограничивать это как-то в договоре с клиентом и даже контролировать это?
5. Индульгенция на КС2 через СТО БР ИББС для ПДн больше не действует. )

Алексей Лукацкий комментирует...

Paul: если некредитная организация финансовая, то обязана

1-2. Не знаю, насколько это относится к ЦБ, но у ФСТЭК юристы всегда заворачивают что-то отличное от стены текста. Я про это уже как-то писал :-(
3. Может в этом есть плюс - вас не ограничиваются в способе реализации меры.
4. Да, это под самостоятельно клиентом
5. Ну ГОСТ же КС2 обязывает

Zuz комментирует...

1-2. Т.е. надежд на адекватную нормативку с приходом ГОСТ через заимствование мер и ссылочную структуру не осталось?
3. Для формального подхода возможно, но если проверяющий посчитает по-другому, то уже минус. А в общем случае методика реализации, варианты реализации, подходы, а главное методика проверки должны быть обязательной составляющей любых требований, тогда от реализации требований будет эффект, а не формальный подход, хотя эффект может быть и формальным. )))

4. Этот вопрос самый интересный был...

5. Но в положении прямо прописано руководствоваться приказом ФСБ, что прописано в ГОСТ уже не важно, он на уровень ниже.

Алексей Лукацкий комментирует...

Zuz: 1-2. Ну почему? Со временем все защитные меры должны уйти на уровень ГОСТа, а тут скорее какие-то остаточные явления. Я надеюсь на это.
3. Учитывая глобальный планы ЦБ по стандартизации, я думаю у них просто нет ресурсов на то, чтобы еще к каждому из двух десятков ГОСТов еще и методичку разрабатывать
5. Так приказ и КС1 допускает, то есть лучше условия создает, чем ГОСТ

Zuz комментирует...

1-2 Будем надеяться вместе! )
3. А они сами свои стандарты разве не будут выполнять? И проверять выполнение? Комплекс стандартов и рекомендации СТО БР ИББС они же выполняют. Если будут, то и методику выполнения (подходы, рекомендации) могли бы сделать.
5. Зачем вообще в положении писать про приказ ФСБ по ПДн в явном виде? Вот если бы было сказано, что для защиты конфиденциальности защита ПДн должна осуществляться с помощью СКЗИ было бы ясно. А сейчас написано, что и так всем известно. В ФСБ попросили напомнить? )
Вот приказ поменяют, что положение тоже менять? Зачем прямые ссылки не ясно.

Ладно лирика это всё.

Zuz комментирует...

Вдогонку, детально почитал:
1. Куча требований просто продублирована из ГОСТ. Зачем?
2. А есть такие, которые сужают требования ГОСТ, к примеру:
Положение: 10.1. В случае если кредитная организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.
ГОСТ: 6.12 ... В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности.
Это усложняет и без того сложную нормативную базу. Придётся из множества требований выбирать самое жёсткое, переносить во внтуреннюю нормативку и всё это сопровождать.

Алексей Лукацкий комментирует...

3. Ну они вообще странные в этом вопросе - одни и те же пишут требования и проверяют они же.
5. А это ФСБ настояла скорее всего. А приказ ФСБ не поменяют - они никогда не меняются.

1. Ну так получилось :-) Все равно это мало на что влияет, если они повторяются
2. Ну там вообще странностей много. Например, одновременное выполнение ГОСТа с 3-мя уровнями защиты и 382-П у которого нет такой дифференциации.

Zuz комментирует...

Меня тут смущает вот такой переход от частного к общему: «настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента (далее – требования к защите информации при осуществлении банковской деятельности), за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами» — 167-ФЗ дал право устанавливать обязательные требования именно в целях противодействия осуществлению переводов денежных средств без согласия клиента. А тут происходит обобщение через сокращение на ВСЮ банковскую деятельность!
Да, в 4 пункте есть уточнение. Но оно не упрощает, а усложняет жизнь. Т.е. необходимо идентифицировать все информационные активы, все объекты среды информационных активов, все инфраструктурные элементы (типа помещений, зданий, и пр.) и ко всем им применять требования ГОСТ в соответствии с уровнем защиты.
Т.е. у нас усложняется и без того сложная система: у нас есть требования 382-П, требования СТО БР ИББС, требования ГОСТ, отдельные требования по ПДн (как в общие, так и в составе требований указанных выше), готовятся требования к ТБ и ИТ по рискам (удивительно как можно в положение по рискам включить требования к информационной безопасности, а не системе рисков) и у всех своя область применения.
Даже простой пример, СКЗИ, получается некоторые требования есть только для СКЗИ, используемых при подготовке и осуществлении банковских операций, есть для 382-П, есть для ПДн. Сложен именно сам контекст, какой набор требований применять к тому или иному объекту. Понятно, что можно выполнять для всех объектов самые строгие правила, но такая система не выглядит эффективной.
История в начале вашей статьи объясняет в целом, почему это случилось, но всё же считать, что текущая система требований даёт больше пользы чем вреда я не готов.
Я не уверен, что небольшие банки (и даже средние) смогут в принципе справится с этим набором требований на организационном уровне. Это не значит, что у них всё плохо с практической безопасностью, но регуляторная нагрузка зашкаливает уже все разумные пределы из-за своей неэффективности и отсутствия грамотной методической поддержки со стороны регулятора.
Считаю, что вместе с требованиями всё равно должны выпускаться методические материалы по их реализации, иначе всё это будет внедрятся очень медленно и неэффективно.