Положение Банка России 683-П
Наименование
"Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
Обозначения и сокращения
КО - Кредитная организация
ЭС - информация, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (электронное сообщение)
ДС - денежные средства
ЭП - электронная подпись
Краткое описание
Содержит обязательные требования которые нужны для минимизации возникновения случаев проведения банковских операций без согласия клиента.
п. 1
Содержит сведения о том, какую информацию надо защищать для достижения указанной цели:
- ЭС клиентов и работников КО;
- информация об авторизациях клиентов;
- информация об осуществленных операциях;
- ключевая информация СКЗИ.
п. 2
Содержит сведения о том, что все эти (описанные ниже по тексту) обязательные требования должны применятся:
- практически ко всем объектам информационной инфраструктуры КО;
- к прикладному ПО АБС/АИС;
- к технологиям обработки защищаемой информации;
- к обеспечению защиты информации с помощью СКЗИ;
- при формировании рекомендаций для клиентов по безопасной работе (защита от воздействия малвари, некотролируемых доступов и т.д);
- при работе с инцидентами ИБ в части касающейся случаев (попытки случаев) проведения банковских операций без согласия клиента;
- при проведении оценки соответствия необходимому уровню защиты информации.
п. 3
Обязует обеспечивать нижеследующие (в подпунктах) требования к объектам информационной инфраструктуры.
п. 3.1
Обязует обеспечить необходимый уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017. Определяет эти самые уровни защиты информации:
- усиленный - для системно значимых КО;
- стандартный - для остальных КО.
если стандартный стал значимым, необходимо реализовать усиленные требования в течении 1,5 лет.
п. 3.2
Обязывает проводить ежегодный пентест и анализ уязвимостей.
п. 4
Обязует обеспечивать нижеследующие (в подпунктах) требования к прикладному ПО АБС/АИС.
п. 4.1
Для следующего прикладного ПО:
- ПО которое передается клиентам (банк-клиент, личный кабинет и т.д.)
- ПО которое обрабатывает ЭС
обязательна сертификация ФСТЭК или проведение оценки соответствия по ГОСТ Р ИСО/МЭК 15408-3-2013 с результатом ОУД >= 4 для остального ПО, КО сама определяет необходимость сертификации или проведения оценки уровня соответствия.
п. 4.2
Указанные в п. 4.1 мероприятия КО вправе либо проводить сама, либо привлекать организации имеющие соответствующие лицензии.
п. 4.3
Системно значимые КО должны обеспечить такую сертификацию не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России N 76. Остальные КО - не ниже 5го уровня.
п. 5
Обязует обеспечивать нижеследующие (в подпунктах) требования в отношении технологии обработки защищаемой информации.
п. 5.1
Обязует использование УКЭП, УНЭП или СКЗИ с имитозащитой (защита целостности) с аутентификацией отправителя ЭС. перечисленное можно не использовать, если в процессе работы с ЭС используется контролируемый сегмент сети к которому невозможен доступ нарушителя и такого рода угрозы обоснованно не определены в моделе угроз.
п. 5.2
Определяет следующие технологические участки:
- идентификация, аутентификация и авторизация клиентов
- формирование, передача и прием ЭС;
- удостоверение права клиентов распоряжаться ДС;
- осуществление банковской операции, учет результатов ее осуществления;
- хранение ЭС и информации об осуществленных банковских операциях.
на этих участках КО должна обеспечить:
- регламентацию;
- реализацию;
- мониторинг
технологии обработки следующей защищаемой информации (аб. 2-4 п.1):
- ЭС клиентов и работников КО;
- информации об авторизациях клиентов;
- информации об осуществленных операциях;
п. 5.2.1
На технологических участках должна обеспечиваться целостность и достоверность защищаемой информации. На участке идентификации необходимо обеспечить идентификацию устройств клиентов. Если операции осуществляются через мобильное приложение, использовать моб. номер клиента для анализа характера, параметров, объемов соверщаемой операции. На участке формирования, передачи и приема ЭС должно быть обеспечено:
- двойной контроль проверки правильности формирования ЭС;
- входной контроль проверки заполнения полей ЭС и права владельца ЭП;
- в случае, если КО в соответствии с п. 2.2 Положения 762-П устанавил процедуру контроля дублирования распоряжений, такое дублирование должно контролироваться;
- структурный контроль ЭС;
- защиту информации при передачи по каналам связи.
На участке удостоверения права клиентов распоряжаться ДС должно быть обеспечено:
- подписание клиентом ЭС одним из способов из п. 5.1;
- получение от клиента подтверждения совершаемой банковской операции.
На участке осуществления банковской операции, учета результатов ее осуществления должна быть обеспечена:
- проверка соответствия выходных и входных ЭС;
- проверка соответствия информации из ЭС с результатов осуществления банковских операций;
- направление клиентам уведомлений об осуществлении банковских операций(если предусмотренно Договором или Законами)
Если клиент использует эл.почту, КО должны подтвердить использование клиентом указанного им адреса.
п.5.2.2
Все действия работников и клиентов на технологических участках должны логироваться.
п. 5.2.3
Определяет перечень логируемых сведений по работникам КО:
- дата, время осуществления банковской операции;
- ID работника;
- код участка;
- результат банковской операции (успешная или неуспешная);
- IP, MAC(?) сетевого устройства.
п. 5.2.4
Определяет перечень логируемых сведений по клиентам:
- дата, время осуществления банковской операции;
- ID клиента;
- код участка;
- результат банковской операции (успешная или неуспешная);
- IP, MAC (?) сетевого устройства;
- IMSI/моб. номер/IMEI клиента.
п. 5.2.5
Определяет перечень хранимой информации:
- ЭС клиентов и работников КО (аб. 1 п. 1);
- информация об осуществленных операциях (аб. 2 п. 2);
- логируемые сведения по работникам (п. 5.2.3);
- логируемые сведения по клиентам (п. 5.2.4);
Определяет срок хранения вышеуказанной информации не менее 5 лет.
п. 6
Говорит о том, что если используется СКЗИ, то использовать его нужно в соответствии с ФЗ-63ФЗ, ФЗ-152ФЗ, ПП1119, ПКЗ-2005, Приказ ФСБ 378
п. 6.1
Требования по сертификации СКЗИ российского производства.
п. 6.2
Требования по изготовлению ключей(ключи генерит либо клиент самостятельно, либо КО)
п. 6.3
Безопасность всех процессов СКЗИ должна выполнятся в соответствии с документацией на СКЗИ.
п. 7
КО должны обеспечивать формировании рекомендаций для клиентов по безопасной работе (защита от воздействия малвари, некотролируемых доступов и т.д);
п. 7.1
КО может устанавливать ограничения на операции проводимые клиентами через Интернет в части касающейся максимальной суммы операций.
п. 8
Определяет перечень инцидентов в части касающейся переводов ДС без согласия клиента. Определяет, что порядок фиксации таких инцидентов должен быть отражен в ВНТД КО в соответствии с Положением 716-П, указанием Банка России от 15.04.2015 №3624-У. Обязывает КО обеспечить регистрации инцидентов с сохранением следующей информации:
- защищаемую информацию и номер участка на котором произошед инцидент;
- результат реагирования на инцидент;
- действия по возвату ДС.
Обязывает информировать ЦБ об инцидентах через специальную АС Банка России.
п. 9
Обязывает проводить оценку соответствия защиты информации (читай п.3.1) с привлечением сторонних организаций не реже одного раза в два года.
п. 9.1
Такая оценка должна проводится в соответствии с ГОСТ Р 57580.2-2018. Результаты оценки должны хранится КО не менее 5ти лет.
п. 9.2
КО нужно соответствовать 4+ уровню соответствия по ГОСТ 57580.2-2018 с 01.01.2023
п.10
Положение не распространяется на субъектов КИИ, правоотношения с которыми регулируется ФЗ 187-ФЗ