До 1 января 2021 г. банки должны привести свои системы защиты информации в соответствие с национальным стандартом безопасности проведения финансовых операций, установленным Центробанком. Для системно значимых банков удовлетворение новых требований ЦБ, похоже, не составит труда, поскольку у них и так достаточно зрелая инфраструктура информационной безопасности. А вот для банков среднего размера выполнение предписаний регулятора может оказаться нелегким, так как потребует выделения на нужды ИБ десятков миллионов рублей.
Единые правила — уже скоро
В 2019 г. Банк России утвердил положения 672-П и 683-П, которые регламентируют единые правила обеспечения информационной безопасности в банковских учреждениях на основе национального стандарта в области финансовых операций (ГОСТ Р 57580.1–2017 г). Данный стандарт представляет собой перечень из 343 процессов по обеспечению безопасности по 8 ключевым направлениям: защита при управлении доступом, защита вычислительных сетей, контроль целостности и защищеннности информационной инфраструктуры, защита от вредоносного кода, предотвращение утечек данных, управление инцидентами, защита сред виртуализации и безопасность при использовании мобильных устройств. Кроме того, документ включает 65 требований к организации и управлению защитой информации.
Предусмотрено три уровня защиты информации: минимальный, стандартный и усиленный. Для каждого из 408 пунктов ГОСТ (упоминавшиеся 343 процесса и 65 требований) указано, каким способом они должны быть обеспечены в зависимости от уровня ИБ: на стандартном уровне значительная часть процессов ИБ реализуется организационными мерами, при усиленном уровне выдвигаются более жесткие требования по внедрению технических решений (программных или программно-аппаратных), при этом на минимальном уровне выполнение части требований необязательно.
Примеры требований к банкам согласно национальному стандарту безопасности финансовых операций (ГОСТ Р 57580.1–2017)
Организационные меры: документирование положений и политик в области ИБ; разработка планов в области поддержания непрерывности бизнеса и его восстановления в случае нештатной ситуации; анализ соответствия применяемых мер защиты информации требованиям ГОСТ Р 57580.1-2017, 672-П и 683-П; тестирование на проникновение и анализ уязвимостей ИБ объектов информационной инфраструктуры; сертификация средств на отсутствие незадокументированных возможностей.
Технические меры: внедрение/модернизация средств защиты персональных данных, средств идентификации, аутентификации и авторизации клиентов, СКЗИ, SIEM, средств защиты информации при управлении доступом, средств защиты вычислительных сетей, средств контроля целостности и защищенности ИТ-инфраструктуры, средств защиты от вредоносного кода, DLP-систем, средств защиты виртуализации, средств защиты мобильного доступа, сертифицированных АРМ, инфраструктуры PKI.
Защита «по уровню»
Документ 683-П определяет требования к защите данных, используемых при осуществлении банковской деятельности. К 1 января 2021 г. системно значимые кредитные организации (список ежегодно утверждается ЦБ РФ, в настоящий момент включает 12 крупнейших коммерческих банков страны) должны обеспечить усиленный уровень защиты, остальные кредитные организации — стандартный уровень защиты. Кроме того, не реже одного раза в два года банки должны будут проходить аудит на соответствие требованиям нацстандарта.
Для оценки исполнения нацстандарта была разработана специальная методика (ГОСТ Р 57580.2-2018), которая определяет шесть уровней соответствия: от нулевого (отсутствие каких-либо систем защиты) до пятого (исполнение требований по всем пунктам стандарта на постоянной основе с осуществлением надлежащего контроля).
На нулевом уровне соответствия организационные и технические меры процесса системы защиты информации не реализуются или реализуются в единичных случаях. Общих подходов к их реализации и контроля за реализацией нет.
На первом уровне организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общих подходов к реализации и контроля по-прежнему нет.
На втором уровне организационные и технические меры реализуются в значительном количестве на постоянной основе. Общие подходы реализации установлены в единичных случаях. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации практически не осуществляются.
На третьем уровне соответствия добавляется контроль и совершенствование реализации организационных и технических мер процесса системы защиты, хотя осуществляются они бессистемно и/или эпизодически.
На четвертом уровне соответствия организационные и технические меры реализуются в полном объеме на постоянной основе в соответствии с общими подходами, установленными в организации. В основном реализованы процессы контроля и совершенствование процесса защиты информации.
На пятом уровне соответствия добавляется постоянный контроль и необходимое своевременное совершенствование организационных и технических мер процесса системы ЗИ.
Согласно положению 683-П, с 1 января 2021 г. банки должны обеспечить защиту информации не ниже третьего уровня соответствия (то есть меры по защите данных осуществляются «в значительном объеме и на постоянной основе», таким образом, в отдельных случаях невыполнение предписаний допустимо). К 1 января 2023 г. требования ужесточаются и уровень соответствия должен быть не ниже четвертого (то есть требования нацстандарта должны быть выполнены в полном объеме).
Послабления при работе с платежной системой ЦБ РФ
Второй упоминавшийся документ (положение 672-П) устанавливает дополнительные требования к финансовым организациям при работе с платежной системой Центробанка и осуществлении денежных переводов через систему быстрых платежей ЦБ РФ. При выполнении таких переводов банки должны обеспечить второй (стандартный) уровень безопасности к 1 июля 2021 г., а к 2023 г. банки должны будут пройти аудит на соответствие инфраструктуры защиты в платежной системе ЦБ РФ требованиям нацстандарта (уровень соответствия не ниже четвертого). Таким образом, требования данного документа более мягкие по сравнению с 683-П: срок выполнения перенесен на полгода позже, кроме того, не зафиксирована степень выполнения требований нацстандарта по состоянию на июль 2021 г. согласно ГОСТ Р 57580.2-2018. По данным CNews, данная уступка регулятора связана с тем, что в этом случае идет речь о реализации систем защиты при взаимодействии с инфраструктурой ЦБ РФ (платежная система, система быстрых платежей), что с технической точки зрения является более сложной задачей.
Ужесточение старых требований
Нужно отметить, что существенная доля требований к организационным и техническим мерам в части системы защиты информации не стала новой для банков. «Они направлены на систематизацию и совершенствование общих подходов, установленных для финансовых организаций ранее. Ужесточаются лишь требования к обеспечению уровней соответствия и системному контролю реализации эти требований», — комментирует Александр Рожков, директор управления продаж продуктов и сервисов Softline.
Крупнейшие банки уже располагают зрелой ИТ-инфраструктурой с высоким уровнем безопасности, поэтому многие решения, внедрение которых предписаны постановлениями регулятора, уже находятся в эксплуатации. Например, директор департамента ИБ Московского кредитного банка Вячеслав Касимов рассказал CNews, что его банк готов выполнить требования Центробанка в указанный срок. Это стало возможным благодаря реализации в последние годы ряда проектов в области ИБ, обеспечивших безопасность работы как «внутренних» корпоративных систем, так и систем работы с клиентами.
В ВТБ, как заверила пресс-служба банка, уже обеспечен 3 уровень соответствия стандарту ГОСТ Р 57580.1–2017 и ведется работа по достижению 4 уровня соответствия к концу 2022 г.: «В настоящий момент внедряются системы контроля привилегированных учетных записей, проверки защищенности ИТ-инфраструктуры, анализа разрабатываемого программного кода». В «Россельхозбанке» сообщили, что деятельность по обеспечению требования ГОСТ «предусматривается в плановом порядке». Представители банка «Санкт-Петербург», «Райффайзенбанка» и «Совкомбанка» утверждают, что требования положений 672-П и 683-П уже выполнены к настоящему моменту и внедрение дополнительных решений не требуется.
Цена вопроса
Четвертый уровень соответствия ГОСТ, достичь которого планируется в 2023 г., потребует от крупных банков более существенных усилий, однако рост затрат не будет критичным. «Если сейчас в среднем доля ИБ-бюджета банка составляет 10-11% от всего ИТ-бюджета, то с учетом необходимости выполнения требований 672-П и 683-П и в связи с трендом цифровизации в ближайшие 2-3 года его доля может вырасти до 12–13%», — полагает Александр Рожков.
Однако для средних и небольших банков выполнение требований регулятора будет представлять собой более существенную нагрузку, поскольку, как говорит заместитель председателя правления ЦФТ Андрей Фомичев, они предполагают внедрение разнообразных ИБ-систем. «Все эти системы недешевы, а многим банкам придется их покупать и внедрять. Это — дополнительная финансовая нагрузка на банки в десятки миллионов рублей», — полагает он. По словам Андрея Фомичева, в прошлом году многие банки провели подготовительную работу, спланировали бюджет, а в начале этого года реализация проектов была поставлена на паузу на фоне пандемии коронавируса. «Между тем, подбор и внедрение недостающих в банках средств защиты информации может занять достаточно много времени — есть риск уже не успеть до конца этого года», — считает он.
Поделиться
