Защита информации в финансовых организациях
В Положении от 17 апреля 2019 г. № 683-П Банк России установил для кредитных организаций (КО) обязательные требования по защите информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.
В Положении от 17 апреля 2019 г. № 684-П Банк России установил для некредитных финансовых организаций (НФО) обязательные требования по защите информации в целях борьбы с незаконными финансовыми операциями.
В указанных Положениях определен перечень защищаемой информации. Приведены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного ПО, технологии обработки защищаемой информации. Требования дифференцированы в зависимости от применяемого к организации уровня защиты информации.
КО должны осуществлять защиту следующей информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств:
- информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее - клиенты);
- информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
- информации об осуществленных банковских операциях;
- ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой при осуществлении банковских операций (далее - криптографические ключи).
В целях противодействия осуществлению незаконных финансовых операций при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", НФО должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах:
- информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками НФО и (или) клиентами НФО;
- информации, необходимой НФО для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
- информации об осуществленных НФО и их клиентами финансовых операциях;
- ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой НФО и их клиентами при осуществлении финансовых операций (далее - криптографические ключи).
В случае если защищаемая информация содержит персональные данные, НФО и КО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования должна осуществляться в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".
Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".
Организации, реализующие усиленный и стандартный уровень защиты информации, должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей ИБ.
Организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного ПО АС и приложений сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".
Кроме этого, НФО и КО, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;
- о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
Обеспечение соответствия НФО и КО указанным требованиям Положений Банка России включает в себя решение следующих задач:
- Оценка соответствия организации требованиям Положения Банка России № 683-П или 684-П.
- Оценка соответствия организации требованиям национального стандарта РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".
- Тестирование объектов информационной инфраструктуры организации на предмет проникновений и анализ уязвимостей ИБ.
- Оценка соответствия организации требованиям Федерального закона РФ №152-ФЗ и Положения Правительства РФ №1119 (в случае если защищаемая информация содержит персональные данные).
- Анализ уязвимостей прикладного ПО по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" (в случае отсутствия сертификации данного ПО в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации).
- Разработка рекомендации и плана мероприятий по обеспечению соответствия организации требованиям Положения Банка России № 683-П или 684-П.
- Реализация комплекса организационно-технических мероприятий по приведению организации в соответствии с требованиями, установленными Банком России.
Для получения более подробной информации обращайтесь к нам:
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму