И снова здравствуй, дорогой читатель. В предыдущем материале мы в общих чертах рассмотрели сложности обеспечения информационной безопасности в финансовых организациях, посетовали на большое количество регулирующей документации и немного посмеялись с мемасиков. Но делу время, а потехе час. Необходимо всё-таки разобраться с тем, что с этим делать и кто, как обычно, виноват.

И чтобы представителям некредитных финансовых организаций было легче дойти до понимания того, с чего стоит начать свой путь по осуществлению защиты информации (ну и, разумеется, побыстрее выполнить требования регуляторов), в этой статье рассмотрю вопрос обеспечения защиты информации, и как выполнять требования 757-П и всех вытекающих из него дополнительных требований.

О чем 757-П и кому оно нужно

Положение № 757-П вышло на замену Положения № 684-П (press F) и является более подробной его версией (по сути, в нем раскрыто больше подробностей и моментов).

В основном 757-П:

• устанавливает обязательные для НФО требования по защите информации при осуществлении деятельности в сфере финансовых рынков,

• более конкретно обозначает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора ИС, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов,

• вводит дополнительные технологические меры, касающиеся использования ЕИС персональных данных и ЕСИА (биометрия в полный рост),

• устанавливает дополнительные требования к порядку информирования Банка России.

При этом требования не распространяются на лиц, осуществляющих актуарную деятельность.

Какую информацию нужно защищать по 757-П

НФО, чтобы предотвратить осуществление незаконных финансовых операций при работе в сфере финансовых рынков, (ч. 1 ст. 761 ФЗ от 10 июля 2002 года № 86-ФЗ “О Центральном банке Российской Федерации)”, должны осуществлять защиту информации:

• содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками и (или) клиентами НФО.;

• необходимой НФО для авторизации своих клиентов;

• информации об осуществленных финансовых операциях;

• криптографических ключей.

Если защищаемая информация содержит персональные данные, то нужно применять меры по обеспечению безопасности персональных данных при их обработке (статья 19 152-ФЗ «О персональных данных»).

На кого распространяется 757-П

Как это водится издревле, если Банк России принял какой-то документ и в нём есть требования к широкому типу организаций, то выполнять так или иначе обяжут всех. 757-П исключением не стал: все НФО должны выполнять пункты 1.2-1.3 757-П. В этих пунктах обозначены требования по защите информации при работе с криптографическим средствами защиты информации (далее – СКЗИ).

В общем-то мероприятия по организации работы с СКЗИ ничем не отличаются от тех же мероприятий в кредитных организациях. Объём данных работ обычно значительный и в случае отсутствия специалистов по данному направлению в НФО необходимо привлекать их со стороны. Это ускорит процесс внедрения и даст возможность повысить собственные компетенции (наблюдай, как делают другие, запоминай, повторяй)

НФО по классификации 757-П

НФО, которые должны обеспечивать усиленный уровень защиты информации по ГОСТ Р 57580.1:

Данная группа НФО должна обеспечивать выполнение самого большого объёма требований:

• центральные контрагенты;

• центральный депозитарий;

• регистраторы финансовых транзакций.

НФО, которые должны обеспечивать стандартный уровень защиты информации по ГОСТ Р 57580.1:

Это самая большая группа НФО, своего рода крепкие середнички по необходимости выполнения требований. С их списком можно ознакомиться в пункте 1.4.3. 757-П.

НФО, которые должны обеспечивать минимальный уровень защиты информации по ГОСТ Р 57580.1:

Это организации, которые почти вытащили «золотой билет» (почему почти, увидите в следующем разделе. Такие НФО перечислены в пункте 1.4.4.757-П.

Помните, что если вы реализуете усиленный и стандартный уровни защиты информации? то вы должны осуществлять оценку соответствия ее уровня с привлечением сторонних организаций, имеющих лицензию на проведение данного типа работ и услуг.

Что делать, если не нашли себя?

Можете немного порадоваться. Это значит, что ваша организация относится к отдельной группе НФО, для которой 757-П является обязательным, но при этом она не подпадает под усиленный, стандартный или минимальный уровень защиты по ГОСТ Р 57580.1-2017.

К таковым относятся:

1. Бюро кредитных историй

2. Микрофинансовые организации

3. Рейтинговые агентства

4. Ломбарды

5. Кредитные потребительские кооперативы

6. Жилищные накопительные кооперативы

7. Сельскохозяйственные кредитные потребительские кооперативы

Но сильно радоваться не спешите. Таким НФО всё равно нужно выполнять  требования пунктов 1.2-1.3 и желательной пункта 1.4.1 (в части ежегодного определения уровня) и пункта 1.8 (в части самостоятельного определения необходимости сертификации и оценки соответствия прикладного ПО). При этом требования проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.1 для таких НФО нет, как и внутреннюю. Да и вообще требования соответствовать требованиям ГОСТ Р 57580.1 для таких организаций нет, но так как в данном документе уже собраны меры, которые позволят выстроить систему защиты информации хотя бы на минимальном уровне, то почему бы не использовать.

Далее представлю порядок действий, который будет актуален для всех типов НФО. Просто выполняйте эти упражнения действия и спина болеть не будет проверки Банка России не будут вам страшны.

Данное упражнение выполняют все НФО. Определить обязательные требования по ЗИ, которые распространяются на выявленные категории данных.

• Ознакомить клиентов с рекомендациями по антивирусной защите

(это может быть инструкция на сайте, всплывающее уведомление в приложении, памятка при личном посещении и т. д.). Также для всех будет полезно.

• Выстроить работу с криптографией в соответствии с требованиями законов и подзаконных актов

(закон об электронной подписи, 66 приказ ФСБ России и т. д.). Если нет своих ресурсов, лучше привлечь подрядчика. Это вообще обязательное упражнение, чтобы голова не болела от предписаний регуляторов.

• Описать во внутренних документах процедуру определения уровня защиты информации по ГОСТ Р 57580.1, назначить ответственных за проведение процедуры и проводить её ежегодно

По окончанию ее проведения составляем акт, в котором отражаем наш уровень и подсвечиваем моменты, которые необходимо доработать (желательно, конечно, после этого составить план устранения выявленных проблем со сроками, ответственными за реализацию и т. д.). Стандартный, усиленный и минимальный - встать в строй и выполнять. Те НФО, которые без уровня – желательно (но по какому уровню необходимо решить самим исходя из модели угроз и вашим возможностям, как финансовым, так и в плане компетенций. Де -юре можете ничего не делать по ГОСТ Р 57580.1 и руководствоваться другими регулирующими документами, например мерами по защите ПДн).

• Устранить недостатки, обнаруженные на предыдущем шаге

• Понять, нужна ли вашей организации сертификация или оценка соответствия

(ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013). Стандартный, усиленный – не отлынивайте. Минимальный и без уровня – по желанию и необходимости.

Если посмотреть 757-П, то для НФО, реализующих усиленный и стандартный уровень защиты информации, необходимо для осуществления финансовых операций использовать прикладное ПО, автоматизированные системы и клиентские приложения, прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия не ниже, чем ОУД4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

Если говорить простыми словами:

1. Реализуете стандартный и усиленный уровень защиты,

2. Распространяете своё ПО клиентам,

3. Вуаля – и там крутятся деньги, платёжные поручения или конфиденциальная информация – сертификация или оценка соответствия вам нужна.

4. Также можете по своему желанию пройти сертификацию или оценку соответствия вашего ПО даже если реализуете минимальный уровень защиты или вообще под уровни не подпадаете.

Это тот случай, когда вам захотелось подтвердить безопасность своего ПО, написанного тремя землекопами на аутсорсе, и у вас есть лишние деньги. Но в пределах настоящей статьи не будем рассматривать тему сертификации и оценки соответствия более подробно, так как это материал для отдельной статьи.

Самое главное: НФО, реализующие любой уровень защиты информации (усиленный, стандартный, минимальный), всё равно должны доводить до своих клиентов рекомендации по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям.

Шаги по приведению в соответствие

Как выполнить требования 757-П по усиленному, стандартному и минимальному уровню защиты информации?

По моему опыту, можно сделать так:

1. Выполнение работ по предварительной оценке соответствия(обнаруживаем недостатки), формированию рекомендаций, приведение в соответствие (устранение ранее обнаруженных недостатков) требованиям 757-П и ГОСТ Р 57580.1 - одним проектом.

2. Оценка соответствия требованиям 757-П и ГОСТ Р 57580.1 - другим проектом.

Главное нужно помнить, что организация, которая приводит в соответствие, и организация, которая делает оценку соответствия, – это две разных организации с лицензиями на деятельность (требование ГОСТ Р 57580.2, в лицензии данных должны быть пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Первый проект можно разделить на несколько этапов:

• Обследование внутренних ИС и пула информации, которые в них циркулирует на предмет выявления подпадающих под защиту в соответствии с 757-П

Здесь надо выявить ИС, объекты/субъекты доступа, информационные ресурсы и  информацию, которые надо защищать в соответствии с требованиями 757-П и ГОСТ Р 57580.1-2017.

• Проведение предварительной оценки инфраструктуры НФО на соответствие 757-П и ГОСТ Р 57580.1-2017

Определяемся, к какому типу относится НФО и какой уровень соответствия необходимо реализовывать. С этим могут помочь разделы выше. Далее проводим предварительную оценку соответствия, выявляем недостатки.

• Формирование рекомендаций по устранению недостатков

Формируем план устранения недостатков с ответственными и сроками выполнения. Тут всё зависит от уровня, которому нужно соответствовать. Если уровень минимальный, то большинство мер ГОСТ Р 57580.1 -2017 и требований 757-П можно закрыть бумажной безопасностью и выстраиванием правильных бизнес-процессов. Если уровень стандартный или усиленный, то придётся попотеть и составить дорожную карту по внедрению СрЗИ, криптографии, написанию ОРД и т. д. (если этого всего нет – или есть, но частично).

• Приведение в соответствие требованиям 757-П и ГОСТ Р 57580.1

На данном этапе реализуем то, что запланировали в предыдущем пункте. Минимально должны быть разработаны и внедрены следующие документы:

а. Политика ИБ;

б. Положение по антивирусной защите;

в. Положение по криптографической защите;

г. Положение по защите сети Интернет;

д. Положение по управлению и реагированию на инциденты ИБ;

е. Положение по защите персональных данных;

ж. И т. д. Точный перечень документов определяется по результатам Этапа «Проведение предварительной оценки инфраструктуры НФО на соответствие 757-П и ГОСТ Р 57580.1-2017».

Также нужно внедрить технические меры по защите информации, которые бы закрывали обнаруженные на этапе предварительной оценки недостатки.

Все работы первого проекта можно выполнять силами самого НФО, в случае наличия компетенций и ресурсов времени. Со своей стороны посоветую пригласить для этого соответствующую организацию, которая сделает быстрее и более профессионально, так как является независимой от давления руководства НФО. Но тут как поётся в одной песне: «Думайте сами, решайте сами…»

Второй проект включает в себя этапы:

• составление перечня применимых мер по защите информации по ГОСТ Р 57580.1-2017 и требований по 757-П, выявление области оценки;

• сбор свидетельств;

• анализ ОРД;

• анализ настроек прикладного и системного ПО, средств антивирусной защиты, средств криптографической защиты информации;

• интервьюирование сотрудников проверяемой организации;

• визуальное наблюдение на объектах проверяемой организации;

• оценка выполнение мер по защите информации по ГОСТ Р 57580.1-2017;

• оценка выполнение требований 757-П;

• расчёт числового значения итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;

• формирование итогового отчёта.

По результатам проведенных работ оформляется отчет в соответствии с п. 8 ГОСТ Р 57580.2-2018. Предоставленный отчет может быть предъявлен Банку России. И вот по окончанию работ первого и второго проектов, описанных выше, ваша организация может смело заявлять, что выполнила все требования регулятора в части выполнения требований 757-П и ГОСТ Р 57580.1-2017.

Вместо вывода

Как читатель уже заметил, статья не претендует на полное описание всех процессов защиты информации, которые нужно осуществить для того, чтобы НФО соответствовала 757-П и ГОСТ Р 57580.1-2017, но описывает общие моменты – чтобы знать, с чего начать свою работу и в каком направлении двигаться.

Также мы не рассматривали здесь тему управления рисками реализации информационных угроз, так как это тема для отдельной статьи. Всё, что вы прочитали, носит ознакомительно-развлекательный характер и мнение автора может не совпадать с вашим. Со своей стороны продолжу популяризировать темы защиты информации финансовых организаций при помощи мемов и более простого изложения бюрократического языка документации регуляторов.