Летом этого года, спустя несколько месяцев после выхода новых положений и указаний Банка России (683-П, 684-П и т.п.), на разных мероприятиях стала формироваться целая волна вопросов по новым нормативным актам, которые оставались безответными, что приводило к тому, что поднадзорные ЦБ финансовые организации не всегда знали, как им поступать. Когда накопилась некая критическая масса, я через канал банковских безопасников в Telegram собрал вопросы и отправил их в Департамент информационной безопасности. И вот, наконец, я получил ответы на все вопросы, которые в течение этой недели и буду публиковать в блоге (не все сразу, так как там очень много). Первая часть будет касаться 683-П.
Но прежде чем публиковать ответы, хочу сказать
спасибо руководство ДИБ ЦБ и тем, кто готовил ответы на вопросы отрасли. Такая обратная связь очень нужна и важна!
1. В чем отличия 683-П и 382-П?
Ответ: Предметы регулирования Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение № 382-П) разные.
Область применения Положения № 683-П шире области применения Положения № 382-П с точки зрения распространения Положения № 683-П на все банковские операции, связанные с осуществлением перевода денежных средств, и распространения Положения № 382-П только на один вид банковских операций – перевод денежных средств.
В то же время Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.
Положение № 382-П содержит требования к обеспечению защиты информации при осуществлении переводов денежных средств и распространяется на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной инфраструктуры. Положение № 683-П распространяется только на кредитные организации.
Примечание от меня: пока готовился ответ ситуация немного поменялась - ЦБ выложил
проект новой редакции 382-П (и
пояснительная записка), у которого немного иная сфера применения.
2. Положение вводит обязательное для банков требование о «получении от клиента подтверждения совершенной банковской операции», которое не содержит никаких исключений. Однако в настоящее время, в соответствии с правилами международных платежных систем и внутренними политиками банка, операции на суммы меньше 1000 рублей не требуют подтверждения клиентом, к ним относятся операции по оплате покупок через сеть «Интернет», например, электронных книг в litres.ru, а также операции совершаемые с помощью NFC карт, которые могут проводится на POS-терминалах, не оборудованных устройствами для ввода PIN-кода, например в метро и другом городском транспорте. В связи с вышеизложенным просим предоставить разъяснения, следует ли банкам после вступления в силу Положения требовать подтверждения операции клиентом во всех без исключения случаях.
Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П.
3. При использовании ряда систем ДБО клиенты направляют в банк распоряжения на перевод денежных средств, которые клиент предварительно подписывает усиленной неквалифицированной электронной подписью. Технология обработки информации в данном случае включает в себя этап подготовки распоряжений и этап подписания распоряжений электронной подписью. Введение ещё одного этапа обработки сообщений для дополнительного подтверждения подписанных электронной подписью распоряжений вызовет недовольство клиентов. Просьба пояснить, может ли по мнению ДИБ Банка России подписание клиентом распоряжения на перевод денежных средств электронной подписью рассматриваться как «получение от клиента подтверждения совершенной банковской операции», либо обязательно следует добавить ещё один этап для дополнительного подтверждения подписанных электронной подписью распоряжений.
Ответ: Согласно пункту 5.2.1 Положения № 683-П технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
- подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
- получение от клиента подтверждения совершенной банковской операции.
В этой связи помимо требований к подписанию электронных сообщений необходимо реализовывать требование о получении подтверждения клиента о совершенной банковской операции.
Таким образом, подписание распоряжение на совершение банковской операции само по себе не является подтверждением совершенной операции. Понятия «распоряжение на совершение банковской операции» и собственно «совершенная банковская операция» разделены.
Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П.
4. Подпунктом 5.1 Положения устанавливается требование «обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом», из этой формулировки следует, что возможно не только исключительное использование усиленной электронной подписи для подписания сообщения, но и использование иных аналогов собственноручной подписи (в т.ч. и иных видов электронной подписи), позволяющих в сочетании с соответствующими программными и техническими средствами обеспечить целостность сообщения и подтвердить факт его составления уполномоченным лицом. В связи с вышеизложенным просим предоставить разъяснения кто и по каким критериям будет принимать решение о соответствии используемого банком способа подписания электронных сообщений требованиям подпункта 5.1 при проведении надзорными подразделениями Банка России проверок в кредитной организации.
Ответ: В соответствии с пунктом 5.1 Положения Банка России № 683-П кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства.
Реализация требований, предусмотренных пунктом 5.1 Положения Банка России № 683-П, возлагается на кредитные организации и определяется ими самостоятельно.
При этом в случае использования простой электронной подписи целесообразно применять дополнительные организационные и технологические меры обеспечения информационной безопасности.
5. Просьба разъяснить, соответствует ли по мнению ДИБ Банка России требованиям подпункта 5.1 Положения применяемая в настоящее время технология подтверждения карточных операций путем ввода клиентом PIN-кода карты в терминальном устройстве (банкомате или POS-терминале, в том числе, не поддерживающих EMV стандарт).
Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П. Таким, образом, соответствует.
6. В настоящее время для подтверждения операций, совершаемых с использованием сети «Интернет» широко используется технология, в которой подтверждение клиентом операции осуществляется путем ввода клиентом направленного ему в SMS сообщении одноразового кода, случайным образом сгенерированного банком и однозначно соответствующим подтверждаемой операции. Просьба пояснить, соответствует ли по мнению ДИБ Банка России данная технология требованиям подпункта 5.1 Положения.
Ответ: Да, соответствует.
7. Просьба пояснить, возможно ли по мнению ДИБ Банка России в принципе соответствовать требованиям подпункта 5.1 Положения технология подтверждения операций направляемыми клиенту в SMS сообщении кодами и если да, то при соблюдении каких обязательных условий.
Ответ: В соответствии с пунктом 5.1 Положения Банка России № 683-П кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства.
Реализация требований, предусмотренных пунктом 5.1 Положения Банка России № 683-П, возлагается на кредитные организации и определяется ими самостоятельно.
При этом в случае использования простой электронной подписи целесообразно применять дополнительные организационные и технологические меры обеспечения информационной безопасности.
8. В пункте 5.2.1 на технологическом участке «удостоверения права клиентов распоряжаться денежными средствами» должно быть обеспечено «получение от клиента подтверждения совершенной банковской операции». Что имеется (может иметься) ввиду, например, в случае классического Интернет-банка с усиленной электронной подписью (без использования СМС для подтверждения платежа)?
Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П.
9. Не ведет ли использование рабочих мест сегмента технологического участка сбора биометрических персональных данных для одновременной работы с АБС (вместо выделения отдельных рабочих мест для работы с ЕБС) к распространению требований ГОСТ 57580.1 на весь сегмент АБС? Если да, тогда и оценку соответствия нужно проводить для всего сегмента АБС.
Ответ: Согласно пункту 3.1 Положения № 683-П кредитные организации должны обеспечить реализацию уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст "Об утверждении национального стандарта" (далее - ГОСТ Р 57580.1-2017).
Пунктом 2.1.1 Методических рекомендаций по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, утв. Банком России 14.02.2019 № 4-МР (далее - Методические рекомендации № 4-МР), банкам рекомендуется размещать объекты информационной инфраструктуры, используемые на технологическом участке сбора, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Согласно пункту 2.1.2 Методических рекомендаций № 4-МР для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
Таким образом, объекты информационной инфраструктуры, которые используются в целях осуществления банковских операций, в обязательном порядке должны соответствовать требованиям ГОСТ Р 57580.1-2017.
Относительно требований к автоматизированным системам, используемым в целях сбора биометрических персональных данных для единой биометрической системы, положения Методических рекомендаций № 4-МР носят рекомендательный характер.
10. Какое именно программное обеспечение имеется ввиду в п. 4.1 683-П – «программное обеспечение, обрабатывающее защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет"»? Не лишняя ли запятая перед словом «к исполнению" (может имеется ввиду «прием к исполнению»)?
Ответ: Да, верно, запятая лишняя.
11. Можно ли прямо сейчас проводить этот анализ уязвимостей по ОУД4, или нужно ждать появления методических документов (профиля защиты, если я правильно понимаю) от регулятора?
Ответ: Да, проводить можно. Банком России завершена разработка методического документа, содержащего профиль защиты, который в настоящее время проходит согласование в ТК122. Рассматривается возможность по увеличению сроков реализации данного требования в связи с разработкой профиля защиты, путем рассылки информационного письма Банка России.
12. Кто именно может проводить анализ уязвимостей по ОУД4? Достаточно ли для этого иметь лицензию ФСТЭК на деятельность по технической защите информации по подпунктам б,д,е? Или для этого нужно иметь другие подпункты (например г)?
Ответ: В соответствии с пунктом 4.2 Положения № 683-П для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений кредитные организации должны привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее – Положение о лицензировании).
Следовательно, достаточным является наличие соответствующей лицензии на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании.
13. Может ли вендор ДБО проводить анализ уязвимостей своего же софта, если у него имеется лицензия ФСТЭК?
Ответ: Запрет на возможность проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений поставщиком указанного программного обеспечения (при наличии соответствующей лицензии) Положением № 683-П не установлен.
14. Специфика АБС в частных обновлениях версий. Доработки выходят еженедельно, масштабные обновления - ежемесячно. Учитывая сроки выполнения процедур сертификации, продукт, прошедший её, давно уже устареет и даже законодательству перестанет соответствовать. Банки пользоваться сертифицированным продуктом физически не будут никогда. С анализом уязвимостей ситуация не легче, да и вряд ли в стране есть достаточно испытательной мощностей для этого. Хоть кто-нибудь эту тупиковую проблему имеет ввиду?
Ответ: В отношении прикладного программного обеспечения, в которое часто вносятся изменения, целесообразно вместо сертификации проводить анализ уязвимостей. Для оценки анализа уязвимостей необходима лицензия ФСТЭК. Порядок проведения анализа уязвимостей, в том числе сроки и особенности процедур анализа, документами Банка России не регламентирован.
15. Если по системе сертификации ФСТЭК хоть какой-то регламент опубликовала, то по анализу уязвимостей существуют ли хоть какие-то документы, сверяясь с которыми банк может убедиться, что работа выполнена надлежащим образом, и с чистой совестью подписать акт приемки?
Ответ: Сообщаем, что Банком России осуществляется разработка методического документа, содержащего профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, в целях детализации и уточнения требований к оценочному уровню доверия не ниже ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» в части анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений. В данный момент указанный документ проходит публичные слушания в подкомитете №1 Технического комитета №122 и подлежит официальному опубликованию после завершения процедур согласования и утверждения.
16. Достаточно ли отчета о проведенном анализе защищенности, представленным лицензиатом ФСТЭК, в качестве подтверждения проведения анализа защищенности, или требуется еще что-то?
Ответ: Подтверждающим документом о проведенном анализе защищенности, например, может быть сертификат ФСТЭК (в случае проведения анализа по требованиям ФСТЭК) или заключение лицензиата ФСТЭК (в случае проведения анализа по ОУД 4).
17. О чем говорит принципиальная расхождение формулировках 382-П и 683-П (при всей их схожести)? Если 382-П не конкретизирует ПО, которое должно подвергаться подтверждению безопасности, то в 683-П это явно указано. Может быть, Банк России и по 382-П уточнил бы, что нужно не всю АБС сертифицировать/анализировать уязвимости, а только её «транспортный конец», грубо говоря АРМ КБР-Н. Банк России его сертифицировала бы и вся проблема «конца света» 01.01.2020 была бы решена.
Ответ: Требования по сертификации/анализу уязвимостей распространяются на прикладное программное обеспечение автоматизированных систем и приложений, обрабатывающие защищаемую информацию на участках, используемых для приема электронных сообщений с использованием сети Интернет.
18. Каковы предполагаемые последствия в случае неисполнение оператором по переводу денежных средств или кредитной организации положений 382-П и 683-П с 01.01.2020? В положениях отсутствуют какие-либо указания на этот счёт, что, видимо, означает, что эти организации должны будут прекратить операции, обеспечиваемые с применением несертифицированного/не прошедшего анализ уязвимостей ПО?
Ответ: Банк России вправе применить меры, предусмотренные статьей 74 Федерального закона № 86-ФЗ, в части выполнения кредитными организациями требований Положения № 683-П.
19. Как вы полагаете, если разработчик АБС получит лицензию ФСТЭК, указанную в положениях, правильно ли будет, если он сам будет выполнять анализ уязвимости собственных продуктов?
Ответ: Запрет на возможность проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений разработчиком указанного программного обеспечения (при наличии соответствующей лицензии) Положением № 683-П не установлен.
20. Отчет об отсутствии уязвимостей в ПО, попадающем под соответствующие требования (например, ДБО), требуется на каждый релиз, используемый кредитной организацией?
Ответ: В этом случае анализ уязвимости ПО применяется для всего процесса разработки ПО и не для каждого обновления, а для релизов, которые затрагивают существенные изменения в части функционирования ядра, обеспечения информационной безопасности. И не менее 1 раза в год в соответствии с ГОСТ Р 57580.1-2017 (п 9.7 ЖЦ.20).
21. Есть ли у Банка России рекомендации по тому, как проводить анализ защищенности приложений в условиях Agile-разработки, когда в день кредитная организация выпускает несколько десятков релизов ПО?
Ответ: В этом случае анализ уязвимости ПО применяется для всего процесса разработки ПО и не для каждого обновления, а для релизов, которые затрагивают существенные изменения в части функционирования ядра, обеспечения информационной безопасности. И не менее 1 раза в год в соответствии с ГОСТ Р 57580.1-2017 (п 9.7 ЖЦ.20).
22. Каким образом должно быть организовано подтверждение клиентом уже совершенной операции, требуемое согласно 10-му абзацу п.5.2.1? Первое, что приходит в голову (по тексту требования) обзванивать клиентов и просить их подтвердить, что совершенная операция была действительно инициирована ими, как например происходит, когда срабатывает антифрод. Возможно есть иные способы?
Ответ: Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Способ получения подтверждения, описанный в обращении, не противоречит требованиям абзаца десятого подпункта 5.2.1 Положения № 683-П. В качестве возможного варианта исполнения требований – направление коротких текстовых сообщений с кодом подтверждения.
Завтра будут разъяснения по 672-П.