Положение Банка России от 04 июня 2020 г. N 719-П
Наименование
"О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Обозначение и сокращения
БПА - Банковские платежные агенты - посредники по оказанию услуг по переводу ДС.
ДС - денежные средства
КО - Кредитная организация
ОИИ - Объект информационной инфраструктуры
ОПС - Оператор платёжной системы
ОПДС - Оператор по переводу ДС
ОУИо - Оператор услуг информационного обмена
ОУПИ - Оператор услуг платежной инфраструктуры (расчетные/клиринговые центры)
ЦБ - Банк России
ЭС - информация, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (электронное сообщение)
ЭП - электронная подпись
MFA - Mutli-factor authentication многофакторная аутентифкация
Более формализованные определения описаны в глоссарии ЦБ и ФЗ N 161-ФЗ от 27.06.2011 "О национальной платежной системе"
Краткое описание
Положение содержит обязательные требования которые нужны для минимизации возникновения инцидентов связанных с нарушением защиты информации при переводе ДС.
Содержит порядок осуществления контроля за такой деятельностью со стороны ЦБ.
Отменяет Положение 382-П.
1. Общие положения.
Содержит информацию о том, что все КО, БПА и прочие участники платежной инфрастуктуры должны выполнять:
-
требования ГОСТ Р 57580.1-2017
-
ежегодный пентест и анализ уязвимостей ОИИ
-
проведение не реже одного раза в два года оценки соответствия уровня защиты информации в соответствии с ГОСТ Р 57580.2-2018 (нужен уровень соответствия 4+)
оценку соответствия защиты информации следует проводить с привлечением организаций имеющих соответствующие лицензии. хранить отчет по результатам оценки соответствия не менее 5 лет
должно быть сертифицированым не менее ОУД4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 следующее ПО:
-
прикладное ПО АБС
-
распростроняемое клиентам ПО
-
ПО на участках приёма ЭС через Интернет
оценку соответствия вышеуказанного ПО следует проводить с привлечением организаций имеющих соответствующие лицензии.
В процессе деятельности по осуществлению переводов ДС, КО БПА должны обеспечивать:
-
целостность и достоверность защищаемой информации
-
мониторинг технологии защиты информации
-
логирование действий с ней
КО и все остальные обязаны уведомлять ЦБ об инцидентах ИБ связанных с нарушением защиты информации при переводе ДС.
При взаимодействии между собой, КО БПА и прочие участники используют усиленную электронную подпись.
2. Требования к обеспечению защиты информации при переводе ДС.
Говорится о том, нужно обеспечивать требования 683-п. В перечень защищаемой информации согласно 683-п добавляется следующее:
-
остатки ДС на счетах клиентах
-
конфиги ОИИ и средств защиты ОИИ
Системнозначимые КО должны сертифицировать прикладное по АБС не ниже 4го уровня доверия в соответствии с приказом ФСТЭК от 30.07.2018 №131. Остальные не ниже 5го уровня.
По заявлениям клиентов КО должны устанавливать им различные ограничения (максимальная сумма, получатели, географическое положение устройства и т.д. в п 2.10) на операции проводимые в сети.
КО должны обеспечить реализацию следующих технологических мер защиты на устройствах используемых для осуществления операций по переводу ДС:
-
аутентифкацию/авторизацию клиента при формировании и подтверждении ЭС
-
MFA клиента при осуществлении действий по переводу ДС
-
механизмов/протоколов формирования и обмена ЭС обеспечивающих защиту ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации механизмов/протоколов аутентифкации входящих ЭС
-
взаимной аутентифкации участников обмена средствами КО
-
возможность использования клиентом независимых программных сред для формирования и подтверждения ЭС
-
возможность контроля клиентом реквизитов распоряжений о переводе ДС при формировании и подтверждении ЭС
-
возможность установления временных ограничений на подтверждением клиентом проведения операций по переводу ДС
-
в случае если мобильник будет рутованным, ПО должно это отследить, уведомить о рисках.
КО должны контроллировать своих БПА на предмет выполнения требований ИБ, определить необходимость и периодичность пентеста, анализа уязвимостей и т.д.
Реализованные требования должны привести к тому, что уровень переводов ДС без согласия клиентов не более 0.005 процентов от всех переводов к квартал (п. 2.12)
В случае если уведомления/выписки отправляются на email, такой email должен предварительно подтверждён клиентом
3. Требования к БПА обеспечению защиты информации при переводе ДС.
В целом, требования похожи на те, что описаны в Главе 2. Однако для БПА есть некоторые послабления в части реализации требований. Подробнее в самом документе.
4. Требования к ОУиО обеспечению защиты информации при переводе ДС.
В целом, требования похожи на те, что описаны в Главе 2. Однако для ОУиО есть некоторые послабления в части реализации требований. Подробнее в самом документе.
5. Требования к обеспечению ОПС защиты информации при осуществлении переводов ДС.
Говоритcя о том, что ОПС должен определять требования к управлению риском ИБ как одного из вида операционных рисков. Причём источниками реализации рисков ИБ следует рассматривать следующие недостатки:
-
процессов обеспечения защиты информации равно как и несоблюдение требований этих процессов;
-
применяемых технологических мер защиты информации;
-
прикладного ПО АБС и приложений
ОПС должен установить состав показателей уровня риска ИБ в ПС;
ОПС должен реализовать:
-
соблюдение требований к обеспечению защиты информации при осуществлении переводов ДС, контроль их соблюдения;
-
процессы выявления и идентификации риска ИБ в ПС;
-
выявление и анализ рисков ИБ в ПС;
-
процессы реагирования на инциденты защиты информации;
-
процессы восстановления штатного функционирования в случае реализации инцидентов;
-
взаимодействие при обмене информацией об инцидентах защиты информации;
-
мероприятия по противодействию осуществлению переводов ДС без согласия клиента (п. 2.2 и 2.4 Указания Банка России от 8 октября 2018 года N 4926-У);
-
ограничения по параметрам операций по осуществлению переводов ДС в случае выявления факта превышения значений показателей уровня риска ИБ в ПС.
ОПС должен вести учёт и обеспечить доступность для ОПДС информации о выявленных в ПС инцидентах защиты информации, о методиках анализа и реагирования на такие инциденты.
Кроме того, ОПС должен использовать накопленный опыт реагирования на вышеуказанные инциденты для совершенстования дальнейших механизмов восстановления после их реализации.
Для сбора информации от ОПДС которая необходима для анализа и составления плана реагирования, ОПС должен установить требования к такой информации (содержание, форма, состав)
К сведению
Оператор значимой ПС должен уведомлять ФСБ об этих требованиях если они касаются СКЗИ.
С 01.01.2024 оператор значимой ПС, в случае использования в аппаратных СКЗИ иностранных криптоалгоритмов, должен подтвердить соответствие их требованиям ФСБ.
С 01.01.2031 аппаратные СКЗИ на иностранных и на ГОСТовских криптоалгоритмах должны соответствовать требованиям ФСБ. Кроме того, такие аппаратные СКЗИ должны быть установлены в иных технических средствах инфраструктуры ПС список которых утверждаентся ФСБ.
6. Требования к обеспечению ОУПИ защиты информации при осуществлении переводов ДС
В целом, требования похожи на те, что описаны в Главе 2. Подробнее в самом документе.
7. Порядок осуществлении контроля со стороны ЦБ
В двух словах, ЦБ запрашивает и получает информацию, для дальнешего её анализа. Проводит различного рода проверки.
Приложения.
Приложение №1 - Содержит технологические меры по обеспечению защиты информации при осуществлении переводов ДС.
Приложение №2 - Содержит сведения о том, какие требования из Приложения №1 должны выполнятся для каждой конкретной операции при переводе ДС.