27.5.19

Новые положения Банка России: новые требования и новые вопросы

После того, как осенью прошлого года ЦБ получил новые полномочия по установлению требований по безопасности не только в рамках НПС, но и вообще для кредитных и некредитных организаций, финансовой регулятор выпустил сразу несколько новых нормативных актов:
  • 672-П - положение по защите информации в платежной системе Банка России, которое пришло на смену 552-П. Это первое положение регулятора, которое ссылается на ГОСТ 57580.1 с базовыми защитными мерами. Однако, эта ссылка, наряду с упоминанием и обязательным использованием 382-П, у меня вызвало некоторую фрустрацию. Дело в том, что ГОСТ 57580.1 построено по совершенно иной идеологии - оно разрешает самостоятельный выбор защитных мер. В отличие от 382-П, которое обязывает применять определенный набор из защитных мероприятий. Получается, что в одном документе нас отсылают на ГОСТ с самостоятельным выбором мер ИБ и на 382-П, где меры уже за нас выбраны Банком России. И какой тогда смысл было ссылаться на ГОСТ?
  • 683-П - положение по защите информации, суть и необходимость которого от меня немного ускользает, так как я не могу до конца понять его соотношение со схожим 382-П. Да, у них есть и некоторая разница, но все-таки сфера их действия достаточно сильно пересекается. Можно было бы предположить, что 683-П - это прообраз будущего нормативного акта, который заменит 382-П и в котором не будет обязательного списка защитных мер, которые уйдут в ГОСТ. Но пока 382-П продолжает действовать...

Ключевые вехи 683-П

  •  684-П - положение по защите информации для некредитных финансовых организаций. Этот документ устанавливает требования для НПФ, клиринга, репозитариев, ПИФов, депозитариев, брокеров, управляющих, регистраторов и других свои требования по защите информации в соответствие с ГОСТ 57580.1. Самое неприятное в этом нормативном акте - сертификация платежного/финансового ПО в ФСТЭК на наличие уязвимостей и НДВ (видимо, все-таки, на их отсутствие) или анализ уязвимостей по ОУД4. Боюсь, что многие финансовые организации просто не в состоянии это будут сделать до 1-го января 2020 года (осталось всего 7 месяцев). И, кстати, к какому уровню защиты относить микрофинансовые организации? В 684-П про это ни слова и возникает вопрос - они вообще должны что-то делать с точки зрения защиты или ГОСТ 57580.1 на них не распространяется? 

Ключевые вехи 684-П
В связи с этими новыми документами у меня, после их прочтения, возникло ряд вопросов:
  • ЦБ ссылается на требования ФСТЭК по сертификации на наличие уязвимостей или НДВ. Но у ФСТЭК такие требования отменены были еще до принятия документов ЦБ и заменены на уровни доверия. Какой уровень доверия должен быть у прикладного ПО по требованиям ЦБ? ЦБ обещал выпустить профиль для сертификации такого ПО, но только к концу года. Откуда разработчики платежного софта, особенно если это внутренняя разработка, как у многих, получат ДСПшные документы ФСТЭК? И будут ли испытательные лаборатории ФСТЭК заниматься такой сертификацией, если ФСТЭК регулярно говорит на мероприятиях, что они берутся за сертификацию только средств защиты информации?
  • Если пойти по пути не сертификации прикладного ПО, а анализа уязвимостей по ОУД4, то какова процедура и форма подтверждения для этого варианта? Можно ли проводить анализ защищенности самостоятельно, как это написано в 684-П, или в 683-П/672-П надо привлекать лицензиатов ФСТЭК?
  • Как (и зачем) проводить оценку соответствия одновременно по 382-П и ГОСТ 57580.2? Особенно в тех случаях, когда сроки этой оценки не совпадают. И я молчу про оценку по СТО БР ИББС, которую до сих ряд банков продолжает делать, так как формально она не отменена (как и сам СТО).
Активность созданного в прошлом году Департамента ИБ можно только приветствовать, но появляется слишком много вопросов даже по относительно "старым" требованиям. Чего уж говорить о свежих требованиях по той же ЕБС или по еще невыпущенным требованиям по финтеху (цифровому профилю, маркетплейсу, мастерчейну), СУОР и другим.

Ну а в заключение сводный слайд по все возрастающей отчетности по ИБ, объем которой только возрастает.


13 коммент.:

Valery Estekhin комментирует...

Алексей, во 2-й схеме надо поправить: обеспечить уровень соответствия согласно ГОСТ Р 57580.2-2017 не ниже третьего с 01.01.2021 (а не 2022)

Valery Estekhin комментирует...

Оопс, тупанул - это же 684-П

Saches комментирует...

По результатам, хотелось бы таки понять - п.5.1. 683-П, позволяет использовать ПЭП + какие-то доп средства обеспечения целостности эл сообщений, или только усиленную ЭП?

Алексей Лукацкий комментирует...

Saches: учитывая как активно ЦБ "ложится" под ФСБ в требованиях по криптографии (382-П, ГОСТ, 672-П, 683-П, 684-П и т.п.), то я бы предположил, что между ПЭП и УЭП никаких промежутков нет :-( Но официальный ответ лучше запрашивать у ДИБа

Saches комментирует...

Судя по последним инициативам ЦБ, складывается впечатление, что ЦБ не то, что бы ложится под ФСБ, а прямо-таки, бежит впереди паровоза, ну или хочет быть "правее правого", или левее левого (в зависимости от контекста).....

Unknown комментирует...

Рост нервозности у лиц, считающих Bellingcat источником достоверной открытой информации и выражающих пограничные точки зрения вполне закономерен.
И вызывает удовлетворение. Значит, всё делается правильно.

Алексей Лукацкий комментирует...

Saches: возможно финансовые организации рассматривают как подопытных кроликов?

Yury комментирует...

Положение определило уровень защиты для страховых компаний, стоимость активов которых превышает 20 млрд. А более мелким по какому уровню защищаться кто-нить может сказать?

Saches комментирует...

Тем, кто не попадает под 1-ый и 2-ой уровень, должны "защищаться" по 3-му. Более детально смотреть в тексте ГОСТ Р 57580.1-2017.

Алексей Лукацкий комментирует...

Это из чего вытекает такой вывод?

Yury комментирует...

Вероятно, из п.5 …Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее — дата определения уровня защиты информации)...
И далее из п.5.1 "Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее — дата определения уровня защиты информации)."
Отсюда можно сделать вывод, что с уровнями защиты (определенных ГОСТом) в любом случае НФО должна определиться к 1 января 2021 года. А если это и не 1-й и не 2-й уровни, то значит - это 3-й. Другого не дано. Или я не прав, коллеги?

Алексей Лукацкий комментирует...

Это не совсем так читается. Уровень должен быть явно указан, а не путем исключения. Нет уровня, значит нормы ГОСТ для "мелких" не действуют и применяются только нормы самого 684-П.

Victor Bond комментирует...

Алексей, здравствуйте! Это Виктор Бондаренко, компания БСС-Безопасность. Имеется необходимость отправить Вам приватный вопрос. Тви запрещает. В блоге тоже нет. Есть еще какой-нить канал?