Центральный банк Российской Федерации выпустил два новых положения (683-П и 684-П), в которых установлены обязательные для кредитных и некредитных финансовых организаций требования по обеспечению защиты информации при осуществлении банковской деятельности.
Теперь финансовые организации должны обеспечить соответствие своих информационных систем требованиям ГОСТ Р 57580.1-2017, анализировать системы дистанционного банковского обслуживания на уязвимости и недекларированные возможности, ежегодно проводить тесты на проникновение и анализ уязвимостей защищаемых систем, обучать клиентов основам ИБ. Также установлены жесткие сроки приведения банковской инфраструктуры в соответствие требованиям положения, в частности – у банков есть 19 месяцев (до 1 января 2021 года) для обеспечения третьего уровня соответствия согласно ГОСТ Р 57580.2-2018. Продуктовая линейка «Кода безопасности» поможет организациям выполнить большую часть этих требований.
В новом положении Центральный банк значительно расширил область обязательных требований информационной безопасности к подотчетным организациям. Ранее обязательные требования были установлены для защиты информации в Национальной платежной системе, платежной системе Банка России, а также для сегментов, обрабатывающих биометрические персональные данные.
Для всех банков по умолчанию действует стандартный уровень защиты информации, а системно значимые финансовые организации обязаны реализовать усиленный уровень. Необходимые для этого меры защиты прописаны в ГОСТе 2017 года и распределены по трем направлениям и двадцати сегментам.
За невыполнение требований новых положений к финансовым организациям могут быть применены различные меры в соответствии с ФЗ №86 «О Центральном банке Российской Федерации».
В положении отдельно прописана необходимость проведения работ по оценке влияния среды функционирования на средства криптографической защиты информации, если это предусмотрено в документации на эти средства.
«Код безопасности» проведет два вебинара по разъяснению основных положений новых требований. Вебинар «Анализ требований Банка России по защите информации в кредитных организациях (положение 683-П)» пройдет 18 июня в 11:00. Вебинар по анализу требований Банка России к некредитным финансовым организациям (положение 684-П) состоится 20 июня в 11:00. На вебинары обязательна предварительная регистрация.
Практическая интерпретация документов, а также настройка средств системы защиты в соответствии с ними представляют собой задачу, на которую потребуется потратить множество ресурсов – времени, привлекаемых сотрудников, которые при этом еще должны обладать соответствующими компетенциями.
По подсчетам экспертов «Кода безопасности» продукты компании помогут выполнить большую часть требований ГОСТа. Это требования к обязательной защите, касающиеся всех важных узлов ИТ-инфраструктуры организаций, попадающих под действие новых требований ЦБ: защита каналов связи, защита периметра, защита от вторжений, электронная подпись транзакций, проверка электронной подписи, долговременное хранение подписанных данных, защита конфиденциальных данных на рабочих станциях и серверах, а также обрабатываемых в частном облаке.
Важно, что средства криптографической защиты информации «Кода безопасности» не требуют для своей работы оценки влияния среды функционирования, что позволяет значительно сэкономить на их внедрении.
Помимо этого, продукты «Кода безопасности» имеют средства автоматизированной настройки системы защиты под новые требования – таким образом, автоматически выполняется работа, которая требует специфической квалификации и времени.