Pages - Menu

Страницы

27.5.19

Новые положения Банка России: новые требования и новые вопросы

После того, как осенью прошлого года ЦБ получил новые полномочия по установлению требований по безопасности не только в рамках НПС, но и вообще для кредитных и некредитных организаций, финансовой регулятор выпустил сразу несколько новых нормативных актов:
  • 672-П - положение по защите информации в платежной системе Банка России, которое пришло на смену 552-П. Это первое положение регулятора, которое ссылается на ГОСТ 57580.1 с базовыми защитными мерами. Однако, эта ссылка, наряду с упоминанием и обязательным использованием 382-П, у меня вызвало некоторую фрустрацию. Дело в том, что ГОСТ 57580.1 построено по совершенно иной идеологии - оно разрешает самостоятельный выбор защитных мер. В отличие от 382-П, которое обязывает применять определенный набор из защитных мероприятий. Получается, что в одном документе нас отсылают на ГОСТ с самостоятельным выбором мер ИБ и на 382-П, где меры уже за нас выбраны Банком России. И какой тогда смысл было ссылаться на ГОСТ?
  • 683-П - положение по защите информации, суть и необходимость которого от меня немного ускользает, так как я не могу до конца понять его соотношение со схожим 382-П. Да, у них есть и некоторая разница, но все-таки сфера их действия достаточно сильно пересекается. Можно было бы предположить, что 683-П - это прообраз будущего нормативного акта, который заменит 382-П и в котором не будет обязательного списка защитных мер, которые уйдут в ГОСТ. Но пока 382-П продолжает действовать...

Ключевые вехи 683-П

  •  684-П - положение по защите информации для некредитных финансовых организаций. Этот документ устанавливает требования для НПФ, клиринга, репозитариев, ПИФов, депозитариев, брокеров, управляющих, регистраторов и других свои требования по защите информации в соответствие с ГОСТ 57580.1. Самое неприятное в этом нормативном акте - сертификация платежного/финансового ПО в ФСТЭК на наличие уязвимостей и НДВ (видимо, все-таки, на их отсутствие) или анализ уязвимостей по ОУД4. Боюсь, что многие финансовые организации просто не в состоянии это будут сделать до 1-го января 2020 года (осталось всего 7 месяцев). И, кстати, к какому уровню защиты относить микрофинансовые организации? В 684-П про это ни слова и возникает вопрос - они вообще должны что-то делать с точки зрения защиты или ГОСТ 57580.1 на них не распространяется? 

Ключевые вехи 684-П
В связи с этими новыми документами у меня, после их прочтения, возникло ряд вопросов:
  • ЦБ ссылается на требования ФСТЭК по сертификации на наличие уязвимостей или НДВ. Но у ФСТЭК такие требования отменены были еще до принятия документов ЦБ и заменены на уровни доверия. Какой уровень доверия должен быть у прикладного ПО по требованиям ЦБ? ЦБ обещал выпустить профиль для сертификации такого ПО, но только к концу года. Откуда разработчики платежного софта, особенно если это внутренняя разработка, как у многих, получат ДСПшные документы ФСТЭК? И будут ли испытательные лаборатории ФСТЭК заниматься такой сертификацией, если ФСТЭК регулярно говорит на мероприятиях, что они берутся за сертификацию только средств защиты информации?
  • Если пойти по пути не сертификации прикладного ПО, а анализа уязвимостей по ОУД4, то какова процедура и форма подтверждения для этого варианта? Можно ли проводить анализ защищенности самостоятельно, как это написано в 684-П, или в 683-П/672-П надо привлекать лицензиатов ФСТЭК?
  • Как (и зачем) проводить оценку соответствия одновременно по 382-П и ГОСТ 57580.2? Особенно в тех случаях, когда сроки этой оценки не совпадают. И я молчу про оценку по СТО БР ИББС, которую до сих ряд банков продолжает делать, так как формально она не отменена (как и сам СТО).
Активность созданного в прошлом году Департамента ИБ можно только приветствовать, но появляется слишком много вопросов даже по относительно "старым" требованиям. Чего уж говорить о свежих требованиях по той же ЕБС или по еще невыпущенным требованиям по финтеху (цифровому профилю, маркетплейсу, мастерчейну), СУОР и другим.

Ну а в заключение сводный слайд по все возрастающей отчетности по ИБ, объем которой только возрастает.


13 комментариев:

  1. Valery Estekhin27 мая 2019 г. в 16:07

    Алексей, во 2-й схеме надо поправить: обеспечить уровень соответствия согласно ГОСТ Р 57580.2-2017 не ниже третьего с 01.01.2021 (а не 2022)

    ОтветитьУдалить
  2. Valery Estekhin27 мая 2019 г. в 16:12

    Оопс, тупанул - это же 684-П

    ОтветитьУдалить
  3. Saches27 мая 2019 г. в 17:34

    По результатам, хотелось бы таки понять - п.5.1. 683-П, позволяет использовать ПЭП + какие-то доп средства обеспечения целостности эл сообщений, или только усиленную ЭП?

    ОтветитьУдалить
  4. Алексей Лукацкий28 мая 2019 г. в 10:24

    Saches: учитывая как активно ЦБ "ложится" под ФСБ в требованиях по криптографии (382-П, ГОСТ, 672-П, 683-П, 684-П и т.п.), то я бы предположил, что между ПЭП и УЭП никаких промежутков нет :-( Но официальный ответ лучше запрашивать у ДИБа

    ОтветитьУдалить
  5. Saches29 мая 2019 г. в 10:34

    Судя по последним инициативам ЦБ, складывается впечатление, что ЦБ не то, что бы ложится под ФСБ, а прямо-таки, бежит впереди паровоза, ну или хочет быть "правее правого", или левее левого (в зависимости от контекста).....

    ОтветитьУдалить
  6. Unknown29 мая 2019 г. в 11:21

    Рост нервозности у лиц, считающих Bellingcat источником достоверной открытой информации и выражающих пограничные точки зрения вполне закономерен.
    И вызывает удовлетворение. Значит, всё делается правильно.

    ОтветитьУдалить
  7. Алексей Лукацкий29 мая 2019 г. в 16:35

    Saches: возможно финансовые организации рассматривают как подопытных кроликов?

    ОтветитьУдалить
  8. Yury31 мая 2019 г. в 20:24

    Положение определило уровень защиты для страховых компаний, стоимость активов которых превышает 20 млрд. А более мелким по какому уровню защищаться кто-нить может сказать?

    ОтветитьУдалить
  9. Saches3 июня 2019 г. в 13:24

    Тем, кто не попадает под 1-ый и 2-ой уровень, должны "защищаться" по 3-му. Более детально смотреть в тексте ГОСТ Р 57580.1-2017.

    ОтветитьУдалить
  10. Алексей Лукацкий3 июня 2019 г. в 20:17

    Это из чего вытекает такой вывод?

    ОтветитьУдалить
  11. Yury5 июня 2019 г. в 08:07

    Вероятно, из п.5 …Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее — дата определения уровня защиты информации)...
    И далее из п.5.1 "Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее — дата определения уровня защиты информации)."
    Отсюда можно сделать вывод, что с уровнями защиты (определенных ГОСТом) в любом случае НФО должна определиться к 1 января 2021 года. А если это и не 1-й и не 2-й уровни, то значит - это 3-й. Другого не дано. Или я не прав, коллеги?

    ОтветитьУдалить
  12. Алексей Лукацкий5 июня 2019 г. в 18:24

    Это не совсем так читается. Уровень должен быть явно указан, а не путем исключения. Нет уровня, значит нормы ГОСТ для "мелких" не действуют и применяются только нормы самого 684-П.

    ОтветитьУдалить
  13. Victor Bond18 июня 2019 г. в 11:47

    Алексей, здравствуйте! Это Виктор Бондаренко, компания БСС-Безопасность. Имеется необходимость отправить Вам приватный вопрос. Тви запрещает. В блоге тоже нет. Есть еще какой-нить канал?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.