На сайте Банка России опубликован проект изменений в Положение №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Предполагаемая дата вступления изменений в силу в случае утверждения проекта – 1 апреля 2022 года.

Эксперты группы компаний Angara разобрались, в чем заключаются основные предлагаемые изменения и какие последствия они принесут для кредитных организаций. Изменения затронули требования:

1.К прикладному программному обеспечению автоматизированных систем и приложений.

2.К обеспечению целостности электронных сообщений и подтверждению их подлинности.

3. В отношении технологии обработки защищаемой информации.

4. К регистрации действий работников и клиентов, связанных с осуществлением доступа к защищаемой информации.

5. По ограничению параметров операций по осуществлению переводов денежных средств.

6. По регистрации инцидентов ИБ и реагированию на инциденты.

7. По информированию Банка России.

8. В части критической информационной инфраструктуры (КИИ).

Требования к сертификации ПО приравнены к тем, что приведены в Положении Банка России №719-П, и полностью им аналогичны. Также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного программного обеспечения (ППО). В случае невозможности или нежелания привлечения внешнего поставщика, Банк, при наличии у него соответствующих ресурсов и возможностей, может провести данную оценку самостоятельно.

Изменения требований в части использования усиленной квалифицированной и/или неквалифицированной электронной подписи (ЭП) являются наиболее спорным и неоднозначно трактуемым в новом проекте. Как правило, в связке АБС/АРМ КБР для подписания формируемых электронных сообщений используются аппаратные токены с ключами усиленной неквалифицированной электронной подписи (УНЭП). Эти токены также используются и для подписания клиентами – юридическими лицами сообщений в системах дистанционного банковского обслуживания (ДБО). Для подписания же электронных сообщений, формируемых клиентами Банка в системе ДБО для физических лиц, используется простая электронная подпись (ПЭП) в виде логина/пароля и кодов подтверждения по СМС/Push. 

В новой редакции не конкретизировано, к каким именно случаям подписания электронных сообщений относится указанное требование. Если оно касается в том числе системы ДБО для физических лиц, то, по сути, вводится запрет на использование ПЭП в таких системах. Требования к подписанию электронных сообщений в системах ДБО юридических лиц не меняются.

В число технологических мер, применяемых в рамках идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций, включены новые, предусматривающие необходимость обеспечить:

●        идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа;

●        в случае если банковская операция осуществляется с мобильных (переносных) устройств вычислительной техники, проверку используемого клиентом – физическим лицом абонентского номера подвижной радиотелефонной связи на основе анализа характера, параметров и объема совершаемых их клиентами операций.

Требование направлено на реализацию дополнительных механизмов проверки номера мобильного телефона клиента, привязанного в мобильном приложении ДБО. Предположительно такие проверки следует осуществлять с использованием антифрод и других аналитических систем. Также внесено требование обеспечить реализацию механизмов подтверждения принадлежности клиенту адреса электронной почты.

Кроме того, добавлено требование о внесении в атрибуты событий кода банковской операции, которое, как правило, выполняется во многих автоматизированных банковских системах. Стоит отметить, что Банк России не отменяет используемый ранее атрибут – «код технологического участка», из чего следует, что эти понятия не тождественны, поэтому надлежит обеспечить регистрацию и кода банковской операции и кода, соответствующего технологическому участку.

Требования об ограничениях на осуществление операций клиентами в целом аналогичны требованию пункта 2.8.3 Положения №382-П и включены в проект в связи с отменой этого нормативного акта с 1 января 2022 года. Ограничения на осуществление переводов денежных средств, как правило, реализуются на уровне настроек параметров систем ДБО и антифрод-систем.

Незначительное изменение внесено в требование к передаче информации об инцидентах ИБ в службу управления рисками кредитной организации. В явном виде указано, что такая передача должна осуществляться в соответствии с пунктом 7.3 Положения Банка России от 8 апреля 2020 года №716-П.

Дополненные рекомендации по информированию Банка России об официальных сайтах организации не являются новыми и устанавливаются Письмом Банка России от 23 октября 2009 года № 128-Т «О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет». В новой редакции Положения №683-П данная рекомендация переведена в разряд обязательного требования.

Дополнение требования о предоставлении информации об инцидентах ИБ видится более существенным: теперь в ФинЦЕРТ официально требуется предоставлять не только информацию о реализованном инциденте ИБ, но и о предпринятых мерах по реагированию на инцидент. Отмечено, что указанные сведения должны предоставляться с использованием технической инфраструктуры ФинЦЕРТ Банка России, а в случае возникновения технической невозможности предоставления – резервного способа взаимодействия, установленного Банком России.

Формулировка в действующей редакции Положения могла быть истолкована как нераспространение Положения №683-П на системы, отнесенные к объектам КИИ. Скорректированная формулировка устанавливает однозначную трактовку в части применения к данным системам и требований к защите КИИ, и требований Положения №683-П.

«Новый проект вносит ряд изменений в требования действующего Положения №683-П, часть из которых является достаточно существенными», – комментирует Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara. По его словам, в случае принятия и утверждения проекта потребуется внести изменения во внутреннюю нормативную документацию, а также в ряд мероприятий по ИБ.

Отдел консалтинга группы компаний Angara предлагает услугу обеспечения комплексной защиты информации в кредитных и некредитных финансовых организациях (НФО). Эксперты выполняют оценку и приведение в соответствие НФО следующим российским и международным стандартам в области ИБ:

●        ГОСТ Р 57580.1-2017, №747-П, методики ГОСТ Р 57580.2-2018;

● Закон от 27.06.2011 №161-ФЗ «О национальной платежной системе», Положение Банка России №382-П;

●        СТО БР ИББС, СТО БР БФБО, рекомендации РС БР ИББС Банка России;

●        Положения Банка России №719-П, №683-П и №757-П,

●        PCI DSS и другие стандарты PCI SSC,

●        стандарт безопасности SWIFT.