17.12.19

Банк России разъясняет. 672-П

Ответы Банка России на вопросы по 672-П, поступившие от отрасли.

Вопрос № 1. Какая область действия у 672-П? Пункт 2 указывает, что требования распространяются на все средства, применяемые для обработки защищаемой информации, перечисленные в пункте 2.1 382-П, а пункт 2.1 очень обширный, в т.ч. информация ограниченного доступа, подлежащая обязательной защите в соответствии с законодательством. 

Ответ: Положение № 672-П устанавливает требования к защите информации в платежной системе Банка России и распространяется на участников платежной системы Банка России, являющиеся кредитными организациями (их филиалами), имеющими доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, предусмотренный пунктом 3.7 Положения Банка России от 06.07.2017 № 595-П «О платежной системе Банка России», а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.

Требования Положения 672-П распространяются на объекты информационной инфраструктуры, эксплуатация и использование которых обеспечиваются кредитной организацией при осуществлении переводов денежных средств в соответствии с пунктами 3, 4 Положения 672-П. 

Вопрос № 2. Что такое контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений? Как их реализовывать в существующих АБС с учётом того, что все электронные сообщения хранятся в одной базе данных АБС?

Ответ: Контур формирования ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая формирование исходящего ЭС на основе первичного документа, предназначенного для направления в платежную систему Банка России, его контроль и подписание электронной подписью в соответствии с подпунктом 1.3 пункта 1 приложения к Положению 672-П.

Контур контроля ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая прием исходящего ЭС из контура формирования, его контроль и подписание электронной подписью в соответствии с подпунктом 1.4 пункта 1 приложения к Положению 672-П.

Техническая реализация указанных подсистем осуществляется кредитной организацией с учетом требований, указанных в подпунктах 1.1 и 1.2 пункта 1 приложения к Положению 672-П.

Вопрос № 3. Какие планируются изменения в отчётности по обеспечению защиты информации 2831-У, с учётом того, что предоставлять отчётность по 2831-У нужно и по соответствию требованиям 382-П и по соответствии требованиям 672-П?

Ответ: Отчетность по 2831-У в соответствии с требованием, указанном в пункте 18 Положения 672-П направляется в части анализа обеспечения в платежной системе Банка России защиты информации при осуществлении переводов денежных средств кредитной организацией, являющейся участником ССНП и СБП. Об изменениях в отчетности 2831-У будет сообщено дополнительно.

Вопрос № 4. С чем связано то, что сроки реализации требований ГОСТ 57580.1 и проведения оценки соответствия ГОСТ 57580.1 разные в 683-П и в 672- П?

Ответ: Это связано с оптимизацией сроков вступления в силу по требованиям Положения 672-П в части реализации технологических мер защиты информации в платежной системе Банка России. В соответствии с Положением 683-П сроки проведения оценки по ГОСТ установлены для кредитных организаций. Положение № 672-П распространяется на иные субъекты, кроме КО (ОЦ, ПЦ).

Вопрос № 5. Нужно ли проводить оценку соответствия требованиям ГОСТ 57580.1 согласно 683-П, 672-П и приказа Минкомсвязи от 25.06.2018 №321 отдельно или можно их совместить для оптимизации расходов? 

Ответ: Оценку соответствия требованиям ГОСТ 57580.1 можно совместить для оптимизации расходов, с учетом покрытия области действия нормативных документов, в рамках которых выполняется оценка.

Вопрос № 6. Кто должен осуществлять анализ защищенности и контроль встраивания СКЗИ для АРМ КБР-Н? Кредитная организация или Банк России? Планируется ли сертификация АРМ КБР-Н по требованиям ФСТЭК? 

Ответ: Контроль встраивания СКЗИ для АРМ-КБР-Н осуществляется Банком России. Сертификация АРМ-КБР-Н по требованиям ФСТЭК не планируется.

Вопрос № 7. 672-П требует исполнения ГОСТ 57580.1, который построен на свободе выбора защитных мер. Также 672-П требует исполнения 382-П, который описывает закрытый перечень защитных мер, которые должны быть обязательно реализованы. Как одновременно реализовывать два набора защитных мер, которые могут отличаться от друг от друга? В чем смысл руководствоваться ГОСТ 57580.1, если все равно необходимо выполнять полный набор защитных мер из 382-П?

Ответ: В соответствии с частью 9 статьи 20 Федерального закона № 161-ФЗ правила платежной системы Банка России определяются нормативными актами Банка России. Таким образом, Положение № 672-П является частью правил платежной системы Банка России.

При проведении оценки соответствия участники платежной системы Банка России должны учитывать не только требования Положения № 382-П, но также особенности, определенные пунктом 20 Положения № 672-П, то есть с применением национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28.03.2018 № 156-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.2-2018).

Участники иных платежных систем проводят оценку соответствия, основываясь на Положении № 382-П.

Вместе с тем необходимо обратить внимание, что кредитные организации независимо от того, участниками какой платежной системы они являются, должны проводить оценку соответствия в соответствии с Положением № 683-П, а именно с учетом ГОСТ Р 57580.2-2018.

Реализация защитных мер в рамках Положения 672-П направлена на защиту информации в платежной системе Банка России. Все требования Положения 382-П входят в состав мер, указанных в ГОСТ 57580.1. Требования по защите информационной инфраструктуры через применение мер ГОСТ 57580.1 планируется реализовать в Положении 382-П.

Вопрос № 8. Помимо прямого исполнения требований 672-П кредитным организациям также необходимо руководствоваться формуляром на СКЗИ «Сигнатура», который требует применения МСЭ, сертифицированного по требованиям ФСБ. Таких решений на рынке практически нет (у части решений сертификаты прекратят действие в ближайшее время и их производители не планируют их продлять). Как выполнить это требование в условиях отсутствия на рынке соответствующих решений? Возможно ли его замена на МСЭ, сертифицированный по требованиям ФСТЭК, как это указано в руководстве по обеспечению ИБ АРМ КБР-Н?

Ответ: В соответствии с формуляром на СКАД «Сигнатура», для передачи информации, поступающей от криптосредства и на криптосредство, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных межсетевыми экранами, сертифицированными по требованиям ФСБ России не ниже 4 класса защиты для обеспечения конфиденциальности передаваемой информации. В настоящее время в перечень средств защиты информации, сертифицированных ФСБ России, содержится информация об одиннадцати межсетевых экранах, позволяющих выполнить данное требование. 

Примечание от меня: вот тут ЦБ, конечно, постоянно меняет свою позицию :-( Еще в сентябре звучала другая позиция по поводу этих МСЭ. Да и практика региональных проверок тоже местами отличается от данного ответа.

Вопрос № 9. С 01.07.2021 согласно 672-П требуется сертификация СКЗИ. Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО, участвующего в платежной системе Банка России?

Ответ: Требуется уточнение, о каком именно требовании 672-П идет речь. Изменения в 672-П, вступающие в силу с 01.07.2021 в пп. 14.2, 14.3, касаются применения СЗИ, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

Завтра будут ответы по ГОСТ 57580.1.