Положения 821-П и 833-П ЦБ РФ: изменения требований ИБ
Внедрение платформы цифрового рубля, усиление требований к защите информации, в том числе для электронных платформ, и мер по контролю их исполнения, — новая реальность участников финансового рынка.
Уже 1 апреля 2024 года вступает в силу Положение Банка России от 17.08.2023 N 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и с 1 января 2024 года (за исключением ряда требований) Положение Банка России от 07.12.2023 N 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».
Что ожидать от регуляторов, и как подготовиться к обновленным требованиям стандарта ЦБ, подробно разберем в этой статье. Руководитель направления аудита и консалтинга по требованиям российского законодательства Павел Лего ответил на самые частые вопросы участников финансового сектора.
Положение 821-П: требования к защите информации при осуществлении денежных переводов и контроль их исполнения
Положение 821-П на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» устанавливает требования к обеспечению защиты информации при осуществлении переводов денежных средств, а также порядок осуществления Банком России контроля соблюдения требований к обеспечению защиты информации в рамках надзора Банка России в национальной платежной системе.
Это положение нельзя назвать новым, оно пришло на смену положению 719-П, поэтому участники финансового рынка, кто давно в отрасли, успешно выполняют установленные требования информационной безопасности. Но стоит учесть ряд изменений и дополнений, из-за которых в 2023 году и было выпущено обновление.
Какие ключевые изменения в сравнении с предыдущим положением 719-П?
- Расширился перечень субъектов национальной платежной системы. Новое положение распространяется не только на операторов по переводу денежных средств (банки), банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений и операторов платежных систем, но и на операторов электронных платформ защиты информации.
- В связи с появлением последних субъектов изменились требования в части криптографии. Теперь необходимо использовать усиленную электронную подпись, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
- Появилась возможность пройти оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, не только силами сторонней организации с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации, но и самостоятельно.
Когда и как проводится внешняя оценка соответствия по требованиям Положения П-821?
Участники платежной системы должны проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Каждые два года должна проводиться внешняя оценка соответствия требованиям ГОСТ Р 57580.1-2017, включающая в себя следующие этапы:
- Определение области аудита и анализ локальных нормативных документов по информационной безопасности.
- Анализ конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации.
- Анализ технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств.
- Проведение аудита на месте, интервью с ответственными сотрудниками, сбора свидетельств аудита.
- Подготовка итоговой отчетной документации в соответствии с требованиями Банка России.
Алгоритм оценки соответствия требованиям оценочного уровня доверия не ниже ОУД 4
Оценку соответствия приложений и систем по требованиям к ОУД 4 проводят в несколько этапов. Первый — технический аудит, в рамках которого проводится статический анализ кода и пентест для выявления уязвимостей критического уровня. Следующий этап — устранение несоответствий согласно рекомендациям и тестирования функций безопасности. Итог комплексной оценки — разработка итоговой отчетной документации и комплекта документов в соответствии с требованиями к ОУД не ниже четвертого согласно ГОСТ Р ИСО/МЭК 15408-3-2013.
Как часто выявляют уязвимости на этапе пентеста?
Как показывает практика проведения пентестов и статического анализа кода приложений и систем самых разных организаций — от крупных банков до небольших финансовых организаций, — в 95% случаев специалисты выявляют критические уязвимости.
Положение № 833-П
Цифровой рубль и новые требования к защите и контролю денежных переводов
Многие государства озабочены активным распространением криптовалют в качестве денежных активов и теневых переводов денежных средств. Для решения проблемы контроля цифровых переводов на уровне государств создаются собственные платформы цифровой валюты. И Россия здесь не исключение. Уже есть цифровой тенге, цифровой юань, цифровой евро и др. Поэтому ЦБ РФ, следуя мировым тенденциям, активно разрабатывает эту финансовую платформу для повышения уровня контроля движения денежных средств, и уже совсем скоро мы сможем оценить возможности этого типа валюты с учетом обеспечения информационной безопасности и контроля со стороны регуляторов.
Как повлияет на финансовую безопасность платформа «Цифровой рубль»? Что изменится в 2025 году?
Цифровой рубль — это пилотная платформа ЦБ, созданная на архитектуре блокчейн для защиты информации. Принципы ее работы схожи с криптовалютой. Но средства пользователей будут храниться на специальных цифровых счетах с доступом через ЕСИА.
Внедрение новых требований к обеспечению защиты информации для участников платформы цифрового рубля обязывает их предоставлять информацию для идентификации и аутентификации пользователей при совершении финансовых операций, а также об исполненных и планируемых сделках и криптографических ключах.
Что изменится с введением цифрового рубля в оборот, предсказать сложно. Маловероятно, что национальной валюте удастся заменить собой криптовалюту. Какие-то крупные финансовые структуры типа «Сбера», «Альфа Банка», «ВТБ», скорее всего, будут обязаны его применять, в том числе и для крупных финансовых операций. Но другие организации пока не торопятся переходить на новую платформу. Поэтому ЦБ с большой вероятностью будет разрабатывать и предлагать специальные программы и условия для пользователей платформы, чтобы сделать ее экономически привлекательной, несмотря на усиленный контроль со стороны государства. Выгодой для игроков рынка при переходе на цифровой рубль может быть снижение кредитных ставок, укрепление международных финансовых отношений, в частности, со странами БРИКС, а также ближайшими соседями, такими как Казахстан или Узбекистан.
Чем цифровой рубль отличается от криптовалюты?
Криптовалюта и цифровой рубль противоположны по назначению. У криптовалюты (биткоина, эфириума и др.) отсутствует единый эмитент, который ее выпускает, и нет регулятора, который их контролирует. Никто не управляет курсом, он определяется исключительно рыночным путем, балансом спроса и предложения. Преимущество криптовалют — рыночная стоимость, свобода от политики и государств.
С цифровым рублем все с точностью наоборот, так как это вид государственной валюты. Выпускать и контролировать его может только Центробанк. Курс цифрового рубля равен курсу обычного рубля и регулируется государством. Цель возможного перехода на цифровой рубль — повышение прозрачности финансовых операций.
Как будет осуществляться контроль работы этой информационной платформы?
Положение 833-П определяет требования по защите информации для платформы цифрового рубля: участники платформы должны проходить оценку выполнения ими требований к защите информации при операциях с цифровыми рублями не реже одного раза в два года.
Оценку соответствия осуществляет внешняя организация, имеющая лицензию ФСТЭК на техническую защиту конфиденциальной информации, в соответствии с 6 разделом национального стандарта РФ ГОСТ Р 57580.2-2018. Отчет по результатам оценки соответствия участники платформы должны хранить в течение 5 лет с момента выдачи проверяющей организацией. Участники платформы цифрового рубля должны обеспечить уровень соответствия не ниже четвертого, согласно ГОСТ Р 57580.2-2018, а также ежегодно проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Как осуществляется аудит соответствия требованиям по защите информации в рамках ГОСТ Р 57580.1-2017 согласно
Приложению 833-П?
Как организация, имеющая лицензию ФСТЭК на техническую защиту конфиденциальной информации и обладающая опытом проведения оценок соответствия по требованиям различных стандартов ЦБ, Compliance Control уже готова проводить аудит на соответствие требований ГОСТ Р 57580.1-2017 в рамках Положения 833-П для банков и других финансовых организаций — будущих участников платформы цифрового рубля.
Такой аудит проходит поэтапно и занимает примерно 3 месяца. Он включает:
- Анализ нормативных документов по информационной безопасности.
- Оценку конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации.
- Анализ технологических мер защиты информации при осуществлении переводов денежных средств.
- Интервью с ответственными сотрудниками, сбор свидетельств аудита.
- Подготовку итогового отчета по единой форме оценки в соответствии с требованиями ЦБ.
Цель внедрения новых Положений ЦБ РФ заключается в усилении требований к обеспечению защиты информации при переводах денежных средств и при использовании платформы цифрового рубля, а также расширении перечня подконтрольных субъектов национальной платежной системы. Для соответствия новым требованиям понадобится проходить регулярный аудит от организации, имеющей лицензию ФСТЭК.