Готово!
Скоро материал придет на указанную электронную почту. Также подписывайте на нас в Facebook
Ok
757‑П или Как ввести в ступор небольшие НФО
И снова здравствуй, дорогой читатель. В предыдущем материале мы в общих чертах рассмотрели сложности обеспечения информационной безопасности в финансовых организациях, посетовали на большое количество регулирующей документации. Но сейчас необходимо разобраться с тем, что с этим делать.
И чтобы представителям некредитных финансовых организаций было легче дойти до понимания того, с чего стоит начать свой путь по осуществлению защиты информации (ну и, разумеется, побыстрее выполнить требования регуляторов), в этой статье рассмотрю вопрос обеспечения защиты информации, и как выполнять требования 757-П и всех вытекающих из него дополнительных требований.
О чем 757-П и кому оно нужно
Положение № 757-П вышло на замену Положения № 684-П и является более подробной его версией (по сути, в нем раскрыто больше подробностей и моментов).
В основном 757-П:
— устанавливает обязательные для НФО требования по защите информации при осуществлении деятельности в сфере финансовых рынков,
-
— более конкретно обозначает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора ИС, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов,
-
— вводит дополнительные технологические меры, касающиеся использования ЕИС персональных данных и ЕСИА (биометрия в полный рост),
-
— устанавливает дополнительные требования к порядку информирования Банка России.
-
При этом требования не распространяются на лиц, осуществляющих актуарную деятельность.
Какую информацию нужно защищать по 757-П
НФО, чтобы предотвратить осуществление незаконных финансовых операций при работе в сфере финансовых рынков, (ч. 1 ст. 761 ФЗ от 10 июля 2002 года № 86-ФЗ “О Центральном банке Российской Федерации)”, должны осуществлять защиту информации:
-
— содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками и (или) клиентами НФО.;
-
— необходимой НФО для авторизации своих клиентов;
-
— информации об осуществленных финансовых операциях;
-
— криптографических ключей.
Если защищаемая информация содержит персональные данные, то нужно применять меры по обеспечению безопасности персональных данных при их обработке (статья 19 152-ФЗ «О персональных данных»).
На кого распространяется 757-П
В общем-то мероприятия по организации работы с СКЗИ ничем не отличаются от тех же мероприятий в кредитных организациях. Объём данных работ обычно значительный и в случае отсутствия специалистов по данному направлению в НФО необходимо привлекать их со стороны. Это ускорит процесс внедрения и даст возможность повысить собственные компетенции (наблюдай, как делают другие, запоминай, повторяй)
НФО по классификации 757-П
НФО, которые должны обеспечивать усиленный уровень защиты информации по ГОСТ Р 57580.1:
Данная группа НФО должна обеспечивать выполнение самого большого объёма требований:
-
— центральные контрагенты;
-
— центральный депозитарий;
-
— регистраторы финансовых транзакций.
НФО, которые должны обеспечивать стандартный уровень защиты информации по ГОСТ Р 57580.1:
— Это самая большая группа НФО, своего рода крепкие середнички по необходимости выполнения требований. С их списком можно ознакомиться в пункте 1.4.3. 757-П.
НФО, которые должны обеспечивать минимальный уровень защиты информации по ГОСТ Р 57580.1:
— Это организации, которые почти вытащили «золотой билет» (почему почти, увидите в следующем разделе. Такие НФО перечислены в пункте 1.4.4.757-П.
Помните, что если вы реализуете усиленный и стандартный уровни защиты информации, то вы должны осуществлять оценку соответствия ее уровня с привлечением сторонних организаций, имеющих лицензию на проведение данного типа работ и услуг.
Что делать, если не нашли себя?
К таковым относятся:
-
— Бюро кредитных историй
-
— Микрофинансовые организации
-
—Рейтинговые агентства
-
— Ломбарды
-
— Кредитные потребительские кооперативы
-
— Жилищные накопительные кооперативы
-
— Сельскохозяйственные кредитные потребительские кооперативы
Но сильно радоваться не спешите. Таким НФО всё равно нужно выполнять требования пунктов 1.2-1.3 и желательной пункта 1.4.1 (в части ежегодного определения уровня) и пункта 1.8 (в части самостоятельного определения необходимости сертификации и оценки соответствия прикладного ПО). При этом требования проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.1 для таких НФО нет, как и внутреннюю. Да и вообще требования соответствовать требованиям ГОСТ Р 57580.1 для таких организаций нет, но так как в данном документе уже собраны меры, которые позволят выстроить систему защиты информации хотя бы на минимальном уровне, то почему бы не использовать.
порядок действий, актуальный для всех типов НФО
Просто выполняйте эти упражнения действия и спина болеть не будет проверки Банка России не будут вам страшны.
Данное упражнение выполняют все НФО. Определить обязательные требования по ЗИ, которые распространяются на выявленные категории данных.
-
2. Ознакомить клиентов с рекомендациями по антивирусной защите (это может быть инструкция на сайте, всплывающее уведомление в приложении, памятка при личном посещении и т. д.). Также для всех будет полезно.
-
3. Выстроить работу с криптографией в соответствии с требованиями законов и подзаконных актов (закон об электронной подписи, 66 приказ ФСБ России и т. д.). Если нет своих ресурсов, лучше привлечь подрядчика. Это вообще обязательное упражнение, чтобы голова не болела от предписаний регуляторов.
-
4. Описать во внутренних документах процедуру определения уровня защиты информации по ГОСТ Р 57580.1, назначить ответственных за проведение процедуры и проводить её ежегодно
По окончанию ее проведения составляем акт, в котором отражаем наш уровень и подсвечиваем моменты, которые необходимо доработать (желательно, конечно, после этого составить план устранения выявленных проблем со сроками, ответственными за реализацию и т. д.). Стандартный, усиленный и минимальный - встать в строй и выполнять. Те НФО, которые без уровня – желательно (но по какому уровню необходимо решить самим исходя из модели угроз и вашим возможностям, как финансовым, так и в плане компетенций. Де -юре можете ничего не делать по ГОСТ Р 57580.1 и руководствоваться другими регулирующими документами, например мерами по защите ПДн).
-
5. Устранить недостатки, обнаруженные на предыдущем шаге
-
6. Понять, нужна ли вашей организации сертификация или оценка соответствия (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013). Стандартный, усиленный – не отлынивайте. Минимальный и без уровня – по желанию и необходимости.
Если посмотреть 757-П, то для НФО, реализующих усиленный и стандартный уровень защиты информации, необходимо для осуществления финансовых операций использовать прикладное ПО, автоматизированные системы и клиентские приложения, прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия не ниже, чем ОУД4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.
Обобщая:
-
1. Реализуете стандартный и усиленный уровень защиты,
-
2. Распространяете своё ПО клиентам,
-
3. Вуаля – и там крутятся деньги, платёжные поручения или конфиденциальная информация – сертификация или оценка соответствия вам нужна.
-
4. Также можете по своему желанию пройти сертификацию или оценку соответствия вашего ПО даже если реализуете минимальный уровень защиты или вообще под уровни не подпадаете.
Это тот случай, когда вам захотелось подтвердить безопасность своего ПО, написанного тремя землекопами на аутсорсе, и у вас есть лишние деньги. Но в пределах настоящей статьи не будем рассматривать тему сертификации и оценки соответствия более подробно, так как это материал для отдельной статьи.
Самое главное: НФО, реализующие любой уровень защиты информации (усиленный, стандартный, минимальный), всё равно должны доводить до своих клиентов рекомендации по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям.
Шаги по приведению в соответствие
Как выполнить требования 757-П по усиленному, стандартному и минимальному уровню защиты информации?
По моему опыту, можно сделать так:
-
— Выполнение работ по предварительной оценке соответствия(обнаруживаем недостатки), формированию рекомендаций, приведение в соответствие (устранение ранее обнаруженных недостатков) требованиям 757-П и ГОСТ Р 57580.1 - одним проектом.
-
— Оценка соответствия требованиям 757-П и ГОСТ Р 57580.1 - другим проектом.
— Главное нужно помнить, что организация, которая приводит в соответствие, и организация, которая делает оценку соответствия, – это две разных организации с лицензиями на деятельность (требование ГОСТ Р 57580.2, в лицензии данных должны быть пункты б, д, е лицензии на техническую защиту конфиденциальной информации).
Первый проект можно разделить на несколько этапов:
-
1. Обследование внутренних ИС и пула информации, которые в них циркулирует на предмет выявления подпадающих под защиту в соответствии с 757-П
Здесь надо выявить ИС, объекты/субъекты доступа, информационные ресурсы и информацию, которые надо защищать в соответствии с требованиями 757-П и ГОСТ Р 57580.1-2017.
-
2. Проведение предварительной оценки инфраструктуры НФО на соответствие 757-П и ГОСТ Р 57580.1-2017
Определяемся, к какому типу относится НФО и какой уровень соответствия необходимо реализовывать. С этим могут помочь разделы выше. Далее проводим предварительную оценку соответствия, выявляем недостатки.
-
3. Формирование рекомендаций по устранению недостатков
Формируем план устранения недостатков с ответственными и сроками выполнения. Тут всё зависит от уровня, которому нужно соответствовать. Если уровень минимальный, то большинство мер ГОСТ Р 57580.1 -2017 и требований 757-П можно закрыть бумажной безопасностью и выстраиванием правильных бизнес-процессов. Если уровень стандартный или усиленный, то придётся попотеть и составить дорожную карту по внедрению СрЗИ, криптографии, написанию ОРД и т. д. (если этого всего нет – или есть, но частично).
-
4. Приведение в соответствие требованиям 757-П и ГОСТ Р 57580.1
На данном этапе реализуем то, что запланировали в предыдущем пункте. Минимально должны быть разработаны и внедрены следующие документы:
а. Политика ИБ;
б. Положение по антивирусной защите;
в. Положение по криптографической защите;
г. Положение по защите сети Интернет;
д. Положение по управлению и реагированию на инциденты ИБ;
е. Положение по защите персональных данных;
ж. И т. д. Точный перечень документов определяется по результатам Этапа «Проведение предварительной оценки инфраструктуры НФО на соответствие 757-П и ГОСТ Р 57580.1-2017».
Также нужно внедрить технические меры по защите информации, которые бы закрывали обнаруженные на этапе предварительной оценки недостатки.
Второй проект включает в себя этапы:
-
— составление перечня применимых мер по защите информации по ГОСТ Р 57580.1-2017 и требований по 757-П, выявление области оценки;
-
— сбор свидетельств;
-
— анализ ОРД;
-
— анализ настроек прикладного и системного ПО, средств антивирусной защиты, средств криптографической защиты информации;
-
— интервьюирование сотрудников проверяемой организации;
-
— визуальное наблюдение на объектах проверяемой организации;
-
— оценка выполнение мер по защите информации по ГОСТ Р 57580.1-2017;
-
— оценка выполнение требований 757-П;
-
— расчёт числового значения итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;
-
— формирование итогового отчёта.
По результатам проведенных работ оформляется отчет в соответствии с п. 8 ГОСТ Р 57580.2-2018. Предоставленный отчет может быть предъявлен Банку России. И вот по окончанию работ первого и второго проектов, описанных выше, ваша организация может смело заявлять, что выполнила все требования регулятора в части выполнения требований 757-П и ГОСТ Р 57580.1-2017.
Вместо вывода
Статья не претендует на полное описание всех процессов защиты информации, которые нужно осуществить для того, чтобы НФО соответствовала 757-П и ГОСТ Р 57580.1-2017, но описывает общие моменты – чтобы знать, с чего начать свою работу и в каком направлении двигаться.
- Также мы не рассматривали здесь тему управления рисками реализации информационных угроз, так как это тема для отдельной статьи. Всё, что вы прочитали, носит ознакомительно-развлекательный характер и мнение автора может не совпадать с вашим. Со своей стороны продолжу популяризировать темы защиты информации финансовых организаций при помощи мемов и более простого изложения бюрократического языка документации регуляторов.
Новости по теме
- 6 февраля
Сложности обеспечения ИБ в финансовых организациях
Рассказываем, как лавировать среди требований регуляторов, знать, где спросить, как эти требования выполнять и держать руку на пульсе.
Будьте в курсе новостей
Подпишитесь на рассылку и будьте в курсе наших последних новостей