03.08.2022

Новая отчетность по защите информации для Банков

Первая статья из цикла прошедших вебинаров «Перспективного мониторинга», посвященная нюансам соответствия требованиям нормативных документов Банка России и национальных стандартов Российской Федерации финансовыми организациями, а также нюансам проведения оценки соответствия требованиям данных документов в финансовых организациях.

После окончания действия Положения Банка России № 382-П, регламентирующего требования к обеспечению защиты информации при осуществлении переводов денежных средств, и вступления в силу Положений Банка России, регламентирующих обязательное выполнение требований ГОСТ Р 57580.1, кредитные организации задавались вопросом – как же отчитываться в ЦБ РФ? И вот в конце 2021 года было принято Указание Банка России № 5986-У (о внесении изменений в указание № 4927-У), регламентирующее отчетность по защите информации. В новом Указании появилась форма отчетности об оценке выполнения кредитными организациями требований к обеспечению защиты информации под номером 0409071, вступающая в силу с 1 октября 2022 года и обозначающая, по каким положениям нужно проводить оценку. В статье мы разберём новую форму, как заполнять разделы и по каким Положениям нужно отчитываться.

Кредитным организациям в данную форму необходимо вносить результаты оценки требований:

  • Положения Банка России № 683-П;
  • Положения Банка России № 747-П;
  • Положения Банка России № 719-П;
  • Положения Банка России № 757-П (при совмещении видов деятельности);
  • национального стандарта ГОСТ Р 57580.1.

Стоит отметить, что оценка соответствия требованиям ГОСТ Р 57580.1 должна проводиться только внешней специализированной организацией, оценки требований Положений Банка России кредитная организация может проводить самостоятельно. При этом нет ограничений на проведение оценок соответствия требованиям Положений внешней организацией. Результатами оценок соответствия являются отчеты, которые хранятся в кредитной организации и предоставляются в Банк России по его требованию.

Стоит обратить внимание, что Банк России включил в форму отчётности для кредитных организаций Положение № 757-П, которое относится к некредитным финансовым организациям. Хотя ранее Банком России были даны разъяснения, что на кредитные организации распространяются установленные Положением № 683-П требования к обеспечению защиты информации, в том числе при осуществлении ими деятельности в сфере финансовых рынков.

При этом, в форме отчетности прописано, что при совмещении деятельности кредитной организации с деятельностью НФО, она должна предоставить оценку по требованиям № 757-П.

Форма 0409071

Форма 0409071 состоит из 4 разделов:

  • Сведения об оценке выполнения требований по направлению «Технологические требования».
  • Сведения об оценке выполнения требований по направлению «Безопасность программного обеспечения».
  • Сведения об оценке выполнения требований по направлению «Безопасность информационной инфраструктуры» (оценка соответствия требованиям ГОСТ Р 57580.1).
  • Сведения о проверяющей организации.

Первые 2 раздела формы 0409071 касаются исключительно оценки требований самих Положений Банка России № 683-П, № 719-П, № 747-П и № 757-П в части технологических мер и требований к ПО (оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД).

Сведения для заполнения раздела 3 и 4 берутся из отчета по оценке соответствия требованиям ГОСТ Р 57580.1, сделанного в соответствии с методикой, указанной в ГОСТ Р 57580.2. И в случае, если проводившая оценку соответствия организация сделала все по методике, то у кредитной организации проблем с заполнением этих разделов возникнуть не должно.

По разделу 1 и 2 из самого Указания неясно несколько моментов:

  • По каким конкретно пунктам требований Положений оцениваться?
  • По какой методике считать оценку?
  • Какая оценка «хорошо», а какая «плохо»?

Ответы на первые два вопроса были раскрыты в проекте изменений Указания № 5986-У.

В принятом Указании Банка России от 08 ноября 2021 г. № 5986-У была существенно урезана по сравнению с проектом документа методика заполнения рассматриваемой формы отчетности 0409071. Исключили конкретные пункты требований Положений Банка России по направлению «Технологические меры» и «Безопасность программного обеспечения».

Пример того, что было только для Положения № 683-П. На рисунке наглядно видно, что в проекте были указаны конкретные пункты требований Положения Банка России. И так было по каждому Положению. А в принятом Указании ссылка целиком на всё Положение.

Проблемы расчётов

Пример формулы для расчёта оценки выполнения требований Положения, приведённый в проекте № 5986-У:

Оценка выполнения требований планирования применения мер защиты информации (ЕТМП)

  • Определена ли область применения меры защиты информации?
  • Определён ли порядок применения меры защиты информации?

Оценка ответов производится путём присвоения им значений: 1 – «да» (определено); 0 – «нет» (не определено).

В новой форме убрана методика и формулы расчета для оценок, характеризующих выполнение требований по планированию, реализации, контролю, совершенствованию и обобщенной оценки по направлению.

Новая форма:

  • ТМП) – планирование;
  • ТМР) – реализация;
  • ТМК) – контроль;
  • ТМС) – совершенствование;
  • ТМ) – технологические меры.

Оценки касаются той деятельности, которая реализуется в отношении требований, приведенных в Положениях. Как высчитывать оценку неясно, ждём методику в виде отдельного документа от Банка России. Разберем разделы детальнее.

1 раздел «Технологические требования»

Раздел 1 касается оценки Положений Банка России № 683-П, 719-П, 747-П и 757-П в части технологических мер. Необходимо заполнить пять видов оценок: Планирование, Реализация, Контроль, Совершенствование и Общая.

Оценки заполняются для каждого вида деятельности отдельно. Положение №719-П ссылается на положение №683-П и добавляет несколько требований, следовательно, допустимо проведение одной оценки, если нет других видов деятельности в рамках положения №719-П.

2 раздел «Безопасность ПО»

Раздел 2 касается оценки безопасности ПО, а именно оценке по ОУД4. Здесь также пять оценок и заключение – сертификация ФСТЭК России или оценка соответствия по ОУД.

  • Оценка планирования – соответствующие требования по реализации оценки ОУД внести в положение о жизненном цикле и выпустить распоряжение о выборе способа подтверждения соответствия.
  • Оценка реализация – проведены ли работы и всё ли ПО, попадающее под требования, прошло оценку соответствия.
  • Оценка контроля – документирование результата проведенных работ. Например, нового ПО не выявлено, изменений функций безопасности в существующем ПО не выявлено, повторную оценку проводить не нужно.
  • Оценка совершенствования – анализ необходимости повторной оценки ПО. Например, документирование протокола совещания, на его основе поставить оценку соответствия и предоставить проверяющей организации.

Здесь рассматриваются только 3 Положения в которых установлены требования по ОУД. Опять же, оценку можно объединять, поскольку для разных видов деятельности будет использоваться одни и те же АС.

Результатом подтверждения соответствия является либо сертификация ФСТЭК России, либо оценка соответствия по оценочному уровню доверия (ОУД).

3 раздел «Безопасность информационной инфраструктуры»

Заполняется из отчета по оценке соответствия требованиям ГОСТ Р 57580.1.

В представленной форме допущены опечатки (выделены на картинке), при заполнении следует обратить на них повышенное внимание. Оценку по ЖЦ АС включили в каждый процесс, что не есть правильно. Также перепутали последовательность оценок по Планированию и Реализации.

Если оценка соответствия делалась в области оценки всех Положений, то можно будет объединять «Направления деятельности». Единственное, что может заставить делать несколько оценок по ГОСТ Р 57580.1 – это разный уровень ЗИ по разным Положениям. Например, по 683-П у КО стандартный уровень, а по 757-П усиленный, или наоборот. В этом случае необходимо будет делать и заполнять разные оценки.

4 раздел «Сведения о проверяющей организации»

Берётся целиком из 3 раздела, поскольку в нём предусмотрена графа о сведениях организации, проверяющей оценку соответствия требованиям ГОСТ Р 57580.1.

После проведения всех оценок и формировании отчёта появляется вопрос: «А когда же нужно отчитываться?».

Кредитным организациям, при совмещении деятельности с деятельностью некредитной финансовой организации, реализующий усиленный уровень защиты информации (центральные контрагенты, центральный депозитарий, регистраторы финансовых транзакций), отчет по всем видам деятельности (всем положениям) следует показывать 1 раз в год не позднее 30 дней, со дня завершения проведения оценки соответствия.

Форма 0409071 предоставляется кредитными организациями один раз в 2 года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, в случаях, если они:

  • осуществляют банковскую деятельность, Положение № 683-П;
  • являются операторами по переводу денежных средств (ОПДС) и (или) операторами услуг платежной инфраструктуры (ОУПИ), Положение № 719-П;
  • осуществляют деятельность расчетного центра (Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП), Положение № 747-П;
  • осуществляют деятельность участника платежной системы Банка России, Положение № 747-П.

Кредитным организациям, при совмещении деятельности с деятельностью некредитной финансовой организации, реализующей стандартный уровень защиты информации следует отчитываться 1 раз в 3 года не позднее 30 рабочих дней, со дня завершения проведения оценки соответствия.

К таким НФО относятся: специализированные депозитарии инвестиционных фондов, паевые инвестиционные фонды и негосударственные пенсионные фонды, клиринговые организации, организаторы торговли, страховые организации, негосударственные пенсионные фонды, репозитарии, не являющиеся регистраторами финансовых транзакций, брокеры, дилеры, управляющие, депозитарии и регистраторы, операторы инвестиционной платформы, операторы финансовой платформы и др.

С новой формой отчетности у кредитных организаций появились и новые вопросы:

  • Что делать с полученной отчетностью?
  • Когда появится методика заполнения формы отчетности 0409071?
  • Оценка соответствия требованиям ГОСТ Р 57580,1, проведенная до 01.10.2022 г. засчитывается?

На перечисленные вопросы ответ может дать только Банк России, поэтому ждём дальнейших разъяснений и новых нормативных документов.

Статья также доступна для чтения на сайте safe-surf.ru.

Теги:
ГОСТ ОУД4 Положения Банка России 683-П 719-П 757-П Документация Требования
Рекомендуемые статьи
14.07.2022
Разбор Zero-day уязвимости Microsoft Support Diagnostic Tool
Читать
27.01.2022
Чем мониторинг открытых систем может помочь ИБшнику.
Читать
09.08.2021
Социальная инженерия. Основные актуальные техники обмана и методы противодействия.
Читать
07.02.2022
Извлечение NTLM hash из процесса lsass.exe
Читать