Часто задаваемые вопросы (FAQ) по безопасности финансовых организаций
Ответы экспертов УЦСБ, а также выдержки из разъяснений ЦБ РФ в ответ на часто задаваемые вопросы в области безопасности финансовых организаций (FAQ)
Общие вопросы по применению Положений | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П Общее | Проводились ли уже проверки выполнения 684-П со стороны ЦБ РФ | За прошлый год порядка 17% всех проверок проводилось для НФО. В соответствии с отчетом FinCERT в 2019 г. были выявлены нарушения 684-П, в части уведомлений клиентов и в части криптографии | |
684-П Общее | Микрокредитная финансовая организация должна соответствовать только двум общим требованиям по ИБ? | Должны выполнить так называемые общие требования: доведение рекомендаций по защите до клиентов, правильное использование СКЗИ, определение требуемого уровня защиты. Но в случае если организации не требуется реализации стандартного или усиленного уровня защиты, то для неё все равно остаются обязанности обеспечить защиту информации попадающую в сферу 684-П, а именно: определить где находится эта защищаемая информация, определить на свое усмотрение, какими мерами из ГОСТ 57580.1 она будет защищаться и собственно реализовать их. Также необходимо принять решение о проведении сертификации ПО или оценки уязвимостей по ОУД 4. | Разъяснения ЦБ для РМЦ Разъяснения ЦБ для НАУФОР |
684-П Общее 683-П Общее | В случае если кредитная финансовая организация осуществляет деятельность в сфере на рынке ценных бумаг и деятельности специализированного депозитария, каким положением необходимо руководствоваться? | Кредитная организация, осуществляющая деятельность профессионального участника рынка ценных бумаг, а также деятельность специализированного депозитария, должна применять:
Обращаем внимание, что при использовании одних и тех же объектов информационной инфраструктуры для осуществления указанных видов деятельности полагаем необходимым применять требования Положения № 683-П. | Разъяснения ЦБ для АЛ |
684-П Общее 683-П Общее | Каковы предполагаемые последствия в случае неисполнения оператором по переводу денежных средств или кредитной организации положений 382-П и 683-П с 01.01.2020 | Банк России вправе применить меры, предусмотренные статьей 74 Федерального закона № 86-ФЗ, в части выполнения кредитными организациями требований Положения № 683-П | Разъяснения ЦБ для АЛ |
Раздел НПА | Вопрос | Ответ | Ссылка на разъяснение, вебинар где можно узнать подробнее |
Вопросы про область действия Положений | |||
684-П пункт 1 683-П пункт 1 | Если через электронную почту распространяются уведомления или отчеты клиентам о совершенных операциях, попадают ли такие системы в область действия. | Да, так как передается информация о финансовых операциях клиентов | |
684-П пункт 1 абзац 4 | Распространяется ли 684-П на следующие системы: a. мобильные приложения, непосредственно устанавливаемые на персональные средства клиента (front-системы, устанавливаемые клиенту); b. on-line сервисы (Личный Кабинет), размещенные на стороне компании или в защищенном ЦОД компании, к которым клиент получает web-доступ посредством своих персональных технических устройств; c. информация об операциях, передаваемая из систем ЛК, в которых непосредственно совершается операция, в внутренние системы учета; d. информация, выгружаемая из торговых систем; e. информация и документы, поступающие во внутренние учетные системы из сопутствующих систем Банк-клиент (выписки), ЭДО; f.информация, документы, отчеты, формируемые в учетных системах компании, в ходе учета финансовой операции; g. выгрузки (файлы) внутренней и регуляторной отчетности, по совершенным операциям | Абзац 4 пункта 1 Положения № 684-П распространяется на все виды автоматизированных систем, которые подготавливают, обрабатывают, передают или хранят информацию об осуществленных финансовых операциях | Разъяснения ЦБ для НАУФОР |
684-П пункт 1 683-П пункт 1 | Если информация отправляется клиенту в зашифрованном и подписанном виде, можно ли исключить такие системы из защиты? | Формально, нет оснований для исключения из области защиты, так как в пункте 1 не указано в каком виде (открытом или закрытом) передается информация | |
684-П пункт 1 | Какая информация подлежит защите в НПФ? |
| Разъяснения ЦБ для НАПФ |
672-П пункт 1 | Что такое контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений? Как их реализовывать в существующих АБС с учётом того, что все электронные сообщения хранятся в одной базе данных АБС? | Контур формирования ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая формирование исходящего ЭС на основе первичного документа, предназначенного для направления в платежную систему Банка России, его контроль и подписание электронной подписью в соответствии с подпунктом 1.3 пункта 1 приложения к Положению 672-П. Контур контроля ЭС – это подсистема (компонент) автоматизированной системы кредитной организации, реализующая прием исходящего ЭС из контура формирования, его контроль и подписание электронной подписью в соответствии с подпунктом 1.4 пункта 1 приложения к Положению 672-П. | Разъяснения ЦБ для АЛ |
684-П пункт 5.3 | Кто такие организаторы торговли? | Это биржи и внебиржевые организаторы (торговые системы). Перечень бирж тут: Пример внебиржевого организатора торгов – система Forex. | |
Рекомендации клиентам по ИБ | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П пункт 2 683-П пункт 7 | Как часто нужно доводить до клиентов рекомендации по информационной безопасности? Нужно ли информировать при появлении новых угроз? | Явно периодичность доведения информации до клиента не установлена. Этот вопрос остается на усмотрение НФО. Но необходимо убедиться что хотя бы один раз доведены. | Разъяснения ЦБ для НАУФОР |
684-П пункт 2 683-П пункт 7 | Каким способом нужно доводить до клиентов рекомендации по информационной безопасности? Каким образом фиксировать факт ознакомления? | ФО самостоятельно выбирают способы доведения до клиентов рекомендаций. Но способ должен подразумевать подтверждение подтверждения клиентом факта ознакомления / регистрацию фактов ознакомления клиента. Например, в системах ДБО может быть встроенный механизм сообщений, который регистрирует что клиент просмотрел сообщение и нажал кнопку. | Разъяснения ЦБ для НАПФ Разъяснения ЦБ для НАУФОР |
Вопросы про СКЗИ | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П пункт 3 684-П пункт 6 | Следует ли НФО использовать только сертифицированные СКЗИ | Разработка СКЗИ - лицензируемый вид деятельности. Разработчик должна иметь необходимые лицензии ФСБ, а продукт, СКЗИ - пройти сертификационные испытания. В случае если организация применяет СКЗИ российского производства, они должны быть сертифицированными. | Разъяснения ЦБ для НАУФОР |
672-П пункт 7 | Формуляром на СКЗИ «Сигнатура», требуется применения МСЭ, сертифицированного по требованиям ФСБ. Как выполнить это требование в условиях отсутствия на рынке соответствующих решений? Возможно ли его замена на МСЭ, сертифицированный по требованиям ФСТЭК, как это указано в руководстве по обеспечению ИБ АРМ КБР-Н? | В соответствии с формуляром на СКАД «Сигнатура», для передачи информации, поступающей от криптосредства и на криптосредство, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных межсетевыми экранами, сертифицированными по требованиям ФСБ России не ниже 4 класса защиты для обеспечения конфиденциальности передаваемой информации. В настоящее время в перечень средств защиты информации, сертифицированных ФСБ России, содержится информация об одиннадцати межсетевых экранах, позволяющих выполнить данное требование. | Разъяснения ЦБ для АЛ |
Вопросы про реализацию уровней защиты по ГОСТ 57580 | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
672-П пункт 3 683-П пункт 3.1 684-П пункт 5.1 | С чем связано то, что сроки реализации требований ГОСТ 57580.1 и проведения оценки соответствия ГОСТ 57580.1 разные в 683-П и в 672- П? | Это связано с оптимизацией сроков вступления в силу по требованиям Положения 672-П в части реализации технологических мер защиты информации в платежной системе Банка России. В соответствии с Положением 683-П сроки проведения оценки по ГОСТ установлены для кредитных организаций. Положение № 672-П распространяется на иные субъекты, кроме КО (ОЦ, ПЦ). | Разъяснения ЦБ для АЛ |
684-П пункт 5.1 | Необходимо ли выполнить требования ГОСТ Р 57580.1-2017 к 01.01.2021 или только определить уровень защиты? | Не позднее 01.01.2021 все требования Положения № 684-П (за исключением пункта 8) должны исполняться. | Разъяснения ЦБ для НАУФОР |
684-П пункт 5.1 | Как документируется решение о выбранном уровне защиты НФО? | Приказ, распоряжение руководства, заключение комиссии. И иные формы документирования решений, принятые в организации. | |
684-П пункт 5.1 | Нужно ли сообщать в ЦБ РФ информацию о выбранном уровне защиты? | 684-П не регламентирует данный вопрос. Решение о выбранном уровне должно быть зафиксировано внутренним документом. Ожидаем что ЦБ РФ может запросить информацию о выбранном уровне защиты. | |
684-П пункт 5.1 | Нужно ли доводить до совета директоров решение о принятом уровне защиты? | 684-П не регламентирует данный вопрос. Решение о выбранном уровне должно быть зафиксировано внутренним документом, а далее действуем в соответствии с внутренними правилами. | |
|
ГОСТ 57580.1
|
Организации самостоятельно решают какие контуры безопасности необходимо выделить?
|
Обязательные требования к составу и уровню защиты ряда контуров устанавливаются Банком России, но итоговый перечень контуров формирует сама финансовая организация. Например, если для разных платежных систем применяются разные политики защиты информации, то такие системы следует разделять на разные контуры. Также организация может определять иные контуры защиты, не требуемые Банком России, например контуры ИСПДн |
вебинар №3 |
| ГОСТ 57580.1 | Какую методику моделирования угроз использовать в рамках применения ГОСТ 57580.1 | Решение о применяемой методики моделирования угроз остается на усмотрение финансовой организации. Это может быть собственная методика, может быть проект новой методики ФСТЭК России с техниками и тактиками, может быть проект методики ФСТЭК России от 2015 года, либо действующая методика ФСТЭК России для ИСПДн от 2008 г.
Также в приложении А к ГОСТ 57580 есть некоторые рекомендации, которые можно использовать при моделировании угроз и нарушителя |
вебинар №3 |
| ГОСТ 57580.1 | После определения выбранного перечня мер защиты информации необходимо подготовить сначала организационные либо технические меры защиты | Рекомендуется определить текущий и целевой уровень соответствия ГОСТ, провести GAP анализ, определить насколько необходимо повысить уровень соответствия, определить ресурсы и время которые могут быть выделены на 1 этапе и исходя из этой информации составить план реализации 1 этапа мер защиты | вебинар №3 |
| ГОСТ 57580.1 | Как соотносится использование встроенных возможностей АС с требованиями использовать сертифицированные средства защиты информации | Использование сертифицированных средств защиты информации необходимо только для тех случаев, когда применение таких средств необходимо для нейтрализации актуальных угроз. Кроме того требования РЗИ.11 и РЗИ.15 следует трактовать так, что если требуется применение сертифицированных СЗИ, то они должны соответствовать указанным классам.
Но требования по сертификации или анализу уязвимостей для прикладного ПО установлены отдельно в положениях Банка России 382-П, 683-П и 684-П |
вебинар №3 |
| ГОСТ 57580.1 | Чем руководствоваться при формировании обоснования применения компенсирующих мер | Форма обоснования остается на усмотрение финансовой организации. Как вариант можно руководствоваться методическим документом ФСТЭК России по защите государственных информационных систем, либо использовать собственную форму, но при этом обязательно должно производится анализ связи с актуальными угрозами | вебинар №3 |
| ГОСТ 57580.1 | Для показателей в которых определены только значения 1 и 0, как будет оценен показатель который выполняется для части систем из контура | Если системы в одном контуре то будет оценен как 0 | вебинар №3 |
| ГОСТ 57580.1 | Для показателей в которых определены только значения 1 и 0, как будет оценен показатель который выполняется для части систем из контура | Если системы в одном контуре то будет оценен как 0 | вебинар №3 |
| ГОСТ 57580.1 | Как будет оценен показатель если только для 3 из 6 помещений определен распорядитель доступа | Будет оценен как 0 | вебинар №3 |
| ГОСТ 57580.1 | Какую роль играет положение о применимости мер ГОСТ 57580.1 | Сам ГОСТ - это только каталог мер защиты, организация должна выбрать меры, которые будет применять и определить для каких контуров, объектов и ресурсов доступа эти меры будут применяться | вебинар №3 |
Вопросы про пентест | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П пункт 5.4 683-П пункт 3.2 | Какие системы должны подвергаться пентесту? Например, мобильный банк и интернет банк. | Тестированию на проникновение должны подвергаться объекты информационной инфраструктуры. Для 683-П это автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций. В том числе, интернет банк, мобильный банк и все иные ДБО. | |
684-П пункт 5.4 683-П пункт 3.2 | Верно ли что тестировать надо все то что смотрит в интернет? | Нет, в положениях нет ограничений на то, что тестирование должно проводится только для компонентов смотрящих в Интернет. Необходимо тестировать в том числе и внутренние компоненты информационной инфраструктуры. | |
684-П пункт 5.4 683-П пункт 3.2 | Чем отличается пентест по 382-П и по PCI DSS и можно ли их совместить? | 382-П распространяется на все платежные системы и дополнительно к нему применяются правила платежных систем (такие как PCI DSS). В рамках общего тестирования на проникновение по 382-П вы можете включать тестирование по PCI DSS. При этом, отчет по PCI DSS имеет смысл сделать отдельный, так как его может потребовать платежная система и не стоит предоставлять ей лишнюю информацию. | |
684-П пункт 5.4 683-П пункт 3.2 | Тестирование на проникновение можно своими силами или только лицензиатов? | Не установлено обязательных требований привлечения лицензиатов. То есть, при наличие достаточных компетенций и ресурсов можно проводить тестирование собственными силами. Если привлекается внешняя или вышестоящая организация, то они должны обладать лицензией ФСТЭК России на ТЗКИ. | |
684-П пункт 5.4 683-П пункт 3.2 | Правильно ли понимаю что для проведения тестирования на проникновение можно пользоваться только услугами компаний из РФ? Раньше работали с зарубежной компанией. | Если мы привлекаем для работ внешнюю организацию, то это должен быть лицензиат ФСТЭК России. Соответственно использование иностранной компании без лицензии - нелегитимно. | |
|
Вопросы про внешнюю оценку соответствия
|
|||
|
Раздел
НПА
|
Вопрос
|
Ответ
|
Разъяснение, вебинар где можно узнать подробнее
|
|
684-П пункт 6
|
Верно ли что оценку соответствия уровня защиты по ГОСТ 57580.2 необходимо выполнить до 01.01.2021?
|
Да, в соответствии с разъяснениями ЦБ РФ, оценка уже должна быть проведена до 01.01.2021 года. И ещё год останется для того, чтобы подтянуть уровень защиты до требуемого 3-его уровня соответствия.
|
Разъяснения ЦБ для НАУФОР
|
|
684-П пункт 6
683-П пункт 9
|
Оценку соответствия уровня защиты можно проводить своими силами или только лицензиатов?
|
Оценка должна осуществляться только с привлечением лицензиата. См. пункт 6.1 684-П или пункт 9 683-П
|
|
|
684-П пункт 6
683-П пункт 9
672-П
пункт 20
|
Нужно ли проводить оценку соответствия требованиям ГОСТ 57580.1 согласно 683-П, 672-П и приказа Минкомсвязи от 25.06.2018 №321 отдельно или можно их совместить для оптимизации расходов?
|
Оценку соответствия требованиям ГОСТ 57580.1 можно совместить для оптимизации расходов, с учетом покрытия области действия нормативных документов, в рамках которых выполняется оценка.
|
Разъяснения ЦБ для АЛ
|
|
672-П
пункт 20
683-П
пункт 9
684-П пункт 6
|
Как стыкуется оценка соответствия по ГОСТ 57580, который подразумевает свободный выбор мер защиты с оценкой по положению 382-П, в котором установлен обязательный перечень мер?
|
При проведении оценки соответствия, организации на которых распространяются требования и соответствия ГОСТ 57580 и 382-П, должны обеспечить оценку и по ГОСТ и по 382-П..
Для иных организаций, на которых пока не установлены требования реализации ГОСТ 57580 должна проводить оценка по 382-П
|
Разъяснения ЦБ для АЛ
|
|
684-П пункт 6
|
Если организация определила себе минимальный уровень защиты, необходимо ли проводить оценку соответствия до 01.01.2021?
|
На такие организации не распространяются требования о необходимости внешней проверки с привлечением лицензиата. Соответственно такая необходимость и сроки оценки могут определяться организацией самостоятельно.
|
|
|
ГОСТ 57580.2
|
Чем регламентируется запрет привлечения к оценке соответствия компании которая осуществляет в данный момент поддержку СЗИ в финансовой организации Можно ссылку на нормативный документ запрещающий аудит дочерней организацией? |
В соответствии с определением проверяющей организации в разделе 3 ГОСТ 57580.2 | вебинар №5 |
| ГОСТ 57580.2 | Насколько сертификаты специалиста по типу CISA и т.п. реально увеличивают качество отчетных документов по аудиту?
Например есть две организации лицензиаты и одна делает качественно (по отзывам), а другая имеет сертифицированных специалистов. |
В случае отсутствия иных достоверных свидетельств об опыте конкретной компании и команды аудита, сертификаты CISA дают дополнительную информацию - свидетельство необходимой квалификации.
Также наличие сертификатов свидетельствует о том, что компания вкладывается в развитие и повышение квалификации персонала, а следовательно имеет долгосрочные планы оставаться на рынке. |
вебинар №5 |
| ГОСТ 57580.2 | Относятся ли к области аудита системы построенные на базе докер контейнеризации (в части защиты виртуализации)? | Технология Docker относится к технологии виртуализацию на уровне ОС, поэтому входит в область процесса 7 "Защита среды виртуализации", а следовательно должна включаться и в область аудита | вебинар №5 |
| ГОСТ 57580.2 | Существует ли детализация по уровням соответствия для результирующей оценки? Допустим у организации результирующая оценка 0.66 это хорошо или плохо? Как ЦБ РФ использует данные результаты? | Итоговая оценка имеет только числовое значение и не разделяется по уровням соответствия.
Качественная оценка уровня соответствия определяются для процессов ЗИ. Итоговая оценка превышающая 0,85 является рекомендованной ЦБ |
вебинар №5 |
| ГОСТ 57580.2 | Вопрос по уровням соответствия. Что такое на практике - 0-й уровень? Как может быть 0? | Это уровень процесса в котором не выполнена ни одна мера. Мы не встречали такого на практике | вебинар №5 |
| ГОСТ 57580.2 | Существует ли требования ЦБ РФ направлять результаты аудитов (в рамках отчетности клико) или они хранятся в организации? | В данный момент требования направлять результаты аудита в ЦБ отсутствуют.
Отчет должен храниться в финансовой организации не менее 5 лет. |
вебинар №5 |
| ГОСТ 57580.2 | Вопрос по выбору финансовой организацией защитных мер. Если организация их не выбрала и не зафиксировала, что должен сделать аудитор? Закончить аудит и поставить оценку 0? Не проверяя фактическое применение не выбранных, но применяемых мер. | Организация должна выбрать и реализовать меры защиты.
Проверяются свидетельства предоставляемые организацией. Свидетельства подтверждающие реализацию меры также подтверждают и то что мера была выбрана. |
вебинар №5 |
| ГОСТ 57580.2 | Почему в госте говорится про именно "выбор" мер организацией, а вы все-таки говорите про выбор+реализацию. Т.е. если мера выбрана, но не реализована в организации, то по моему мнениею - это оценка 1, а на этапе оценке реализации уже оценка будет ниже. А вы говорите, что если мера выбрана, но не реализовано то, по первым процессам получим оценку 0 | В стандарте говорится о том что в рамках аудита должен быть оценен выбор организации. Но свидетельством выбора является реализация меры. | вебинар №5 |
| ГОСТ 57580.2 | Какие санцкии существуют для организаций за несоответствие ГОСТ 57580.1 ? | В данный момент возможны предписания и отзыв лицензии.
Также в новой версии КОАП РФ планируется введение статей 30.34 и 30.35 предусматривающих ответственность за невыполнение требований Банка России |
вебинар №5 |
| ГОСТ 57580.2 | Какие средства инструментального анализа вы используете на практике при проведении аудита? | Если не брать во внимание тестирование на проникновение, которое часто включается дополнительной услугой, то в рамках аудита, использование инструментальных средств не обязательно.
Но в ряде случаев инструментальные средства могут использоваться для сбора свидетельств настройки АС, ОС и средств защиты информации. Средства те же что и в экспертном аудите ИБ |
|
| ГОСТ 57580.2 | Стоит ли при интервьюировании записывать диалог? Чтобы потом была возможность подтвердить то, что написано в отчете тем фактом, что написанное основано на выводе из интервью? | Как правило мы не записываем диалог только для того чтобы подтвердить какие то факты, так как в любом случае оформляются опросные листы в которых подписывается интервьюируемый.
Но иногда запись может вестись просто для удобства заполнения опросного листа - на усмотрение аудитора |
вебинар №5 |
| ГОСТ 57580.2 | Стоит ли при интервьюировании записывать диалог? Чтобы потом была возможность подтвердить то, что написано в отчете тем фактом, что написанное основано на выводе из интервью? | Как правило мы не записываем диалог только для того чтобы подтвердить какие то факты, так как в любом случае оформляются опросные листы в которых подписывается интервьюируемый.
Но иногда запись может вестись просто для удобства заполнения опросного листа - на усмотрение аудитора |
вебинар №5 |
| ГОСТ 57580.2 | Есть ли рекомендации по систематизации большого объема информации, выявляемого при аудите, для проведения самостоятельного аудита? | Больше времени потратить на этапе подготовки к аудиту, заранее спланировать где и в каком виде будут фиксироваться и храниться свидетельства аудита, подготовить формы, таблицы, графики, папки для хранения.
Либо идти по пути автоматизации - мы например для этого разрабатываем онлайн сервис аудита по ГОСТ 57580 |
вебинар №5 |
| ГОСТ 57580.2 | Если при проведении аудита, в его заключении будет отмечено, что имеются недостатки с их указанием, а также меры по их устранению Компания может устранить эти недостатки в разумный срок и предоставить результаты аудиторам. Нужно ли проводить его повторно или будет изменено/дополнено заключение? | Отчет об аудите не подлежит изменению и хранится в неизменном виде в течении 5 лет.
В случае если есть значительный риск недостижения требуемого уровня соответствия, то целесообразно провести сначала первичный аудит, получить замечания и рекомендации, устранить недостатки и уже потом заказывать финальный аудит. |
вебинар №5 |
| ГОСТ 57580.2 | Если лицензиат ФСТЭК некачественно проведет аудит, будут ли у нее или проверяемой организации какие-либо проблемы? | Если не будут выявлены факты явных махинаций со стороны проверяемой организации, то вряд ли возможны какие либо последствия для проверяемой организации.
Для лицензиата это может грозить отзывом лицензии и попаданием в черные списки Банка России. Но в общем ГОСТ 57580.2 достаточно строго регламентирует формы фиксации свидетельств, оценки, отчетности, так чтобы любой проверяющий мог удостоверится в правильности оценки. |
вебинар №5 |
Вопросы про сертификацию ПО и анализ уязвимостей по ОУД 4 | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П пункт 9 683-П пункт 4.1 | Если клиент заходит через браузеры в свой личный кабинет, распространяется ли на них требования проверки по ОУД 4? | На клиентское ПО не распространяется | |
684-П пункт 9 683-П пункт 4.1 | Надо ли оценивать часть web приложения, запускаемую на стороне клиента (front) по ОУД 4? | Необходимо проводить проверку как клиентской так и серверной части web приложения. | Разъяснения ЦБ для НАПФ |
684-П пункт 9 683-П пункт 4.1 | В случае если указание на осуществление финансовых операций передаются через систему электронного документооборота, необходимо ли проводить её оценку по ОУД 4? | Если клиенты взаимодействуют с системой электронного документооборота НПФ с использованием сети Интернет, то надо. | Разъяснения ЦБ для НАПФ |
684-П пункт 9 683-П пункт 4.1-4.2 | Как выполнить требования по сертификации прикладного ПО, если это ПО приобретено у разработчика, к примеру «1С» | Обратиться с официальным запросом к разработчику. В случае отказа, рассмотреть вариант перехода на другое ПО или самостоятельной сертификации с привлечением лицензиата ФСТЭК. | |
684-П пункт 9 683-П пункт 4.1 | Если прикладное ПО собственной разработки, то посоветуете сертифицировать или делать анализ на ОУД 4? | Как правило, анализ по ОУД 4 в разы быстрее и дешевле. Сертификацию рекомендуется запрашивать, когда используется ПО внешнего разработчика. | |
684-П пункт 9 683-П пункт 4.1 | Каким образом будет проводиться анализ защищенности по ОУД 4 если профиль защиты ещё не утвержден? | Пока профиль защиты не утвержден, анализ уязвимостей может проводится в любой форме, соответствующей ГОСТ Р ИСО/МЭК 15408-3-2013, устраивающей заказчика и исполнителя. | |
684-П пункт 9 683-П пункт 4.1 | Специфика АБС в частных обновлениях версий. Доработки выходят еженедельно, масштабные обновления - ежемесячно. Учитывая сроки выполнения процедур сертификации, продукт, прошедший её, давно уже устареет и даже законодательству перестанет соответствовать | В отношении прикладного программного обеспечения, в которое часто вносятся изменения, целесообразно вместо сертификации проводить анализ уязвимостей. Для оценки анализа уязвимостей необходима лицензия ФСТЭК. Порядок проведения анализа уязвимостей, в том числе сроки и особенности процедур анализа, документами Банка России не регламентирован. | Разъяснения ЦБ для АЛ |
684-П пункт 9 683-П пункт 4.1 | Отчет об отсутствии уязвимостей в ПО, попадающем под соответствующие требования (например, ДБО), требуется на каждый релиз, используемый кредитной организацией? Есть ли у Банка России рекомендации по тому, как проводить анализ защищенности приложений в условиях Agile-разработки, когда в день кредитная организация выпускает несколько десятков релизов ПО? | В этом случае анализ уязвимости ПО применяется для всего процесса разработки ПО и не для каждого обновления, а для релизов, которые затрагивают существенные изменения в части функционирования ядра, обеспечения информационной безопасности. И не менее 1 раза в год в соответствии с ГОСТ Р 57580.1-2017 (п 9.7 ЖЦ.20). | Разъяснения ЦБ для АЛ |
684-П пункт 9 683-П пункт 4.2 | Анализ на ОУД 4 можно своими силами или только лицензиатов? | При наличие достаточных компетенций и ресурсов можно проводить анализ уязвимостей на ОУД 4. Важно при этом соблюсти положения стандарта ГОСТ Р ИСО/МЭК 15408-3-2013. Если привлекается внешняя или вышестоящая организация, то они должны обладать лицензией ФСТЭК России на ТЗКИ. | |
684-П пункт 9 683-П пункт 4.1 | Достаточно ли отчета о проведенном анализе защищенности ПО, представленным лицензиатом ФСТЭК, в качестве подтверждения проведения анализа защищенности, или требуется еще что-то? | Подтверждающим документом о проведенном анализе защищенности, например, может быть сертификат ФСТЭК (в случае проведения анализа по требованиям ФСТЭК) или заключение лицензиата ФСТЭК (в случае проведения анализа по ОУД 4) | Разъяснения ЦБ для АЛ |
684-П пункт 9 683-П пункт 4.1 | Каким образом оформлять решение для тех случаев когда организации должны самостоятельно определять необходимость … | Рекомендуется документально зафиксировать решение организации. Например, о том что отсутствует необходимость проведения сертификации ПО, не попадающего в сферу 684-П. | |
|
ГОСТ Р 15408-3-2013 |
Откуда берется задание по безопасности для прикладного ПО |
Задание по безопасности разрабатывается заявителем на сертификацию. Может быть как разработано с использованием профиля безопасности так и без его использования |
|
|
ГОСТ Р 15408-3-2013 |
Что такое заявленные требования по безопасности (ФТБ) |
Это требования содержащиеся в профиле безопасности или задании по безопасности. Это набор требований, которым должно соответствовать ПО |
|
|
ГОСТ Р 15408-3-2013 |
Самая большая проблема, это получение исходных данных об объекте оценки. Без них проведение работ по анализу уязвимостей по ОУД 4 невозможно? |
Возможно проведение работ без полного представления исходных данных, с той информацией которую получилось собрать, если удается обеспечить требуемый потенциал нападения. Также возможно дополнительно разработать документы, которые будут являться исходными данными для анализа уязвимостей по ОУД 4 |
|
|
ГОСТ Р 15408-3-2013 |
Можно ли при проведении анализа уязвимостей по ОУД 4 не предоставлять исходный код, а предоставить просто доступ к ПО |
Теоретически возможно провести анализ без предоставления исходного кода, но тогда для достижения необходимого потенциала нападения может потребоваться больше времени и сил потратить на анализ |
|
|
ГОСТ Р 15408-3-2013 |
Можно ли при анализе уязвимостей по ОУД 4 использоваться результаты предыдущий тестов на проникновение, в том числе тестов со стороны вышестоящих организаций |
Если с момента тестирования, версия ПО не менялась, то данные тестирования могут использоваться как исходные данные для анализа по ОУД 4 но не могут заменить его. |
|
|
ГОСТ Р 15408-3-2013 |
В рамках анализа уязвимостей по ОУД 4 проводится только анализ ПО или ещё инфраструктуры |
Может проводится как анализ ПО, так и анализ всей инфраструктуры в совокупности по договоренности между исполнителем и заказчиком |
|
|
ГОСТ Р 15408-3-2013 |
Как в рамках анализа уязвимостей по ОУД 4 делается вывод о соответствии или несоответствии требованиям ОУД 4? |
В рамках анализа уязвимостей такой задачи не стоит и не проводится. Результатам анализа является отчет с перечнем выявленных уязвимостей. |
|
|
ГОСТ Р 15408-3-2013 |
Анализ уязвимостей ОУД должен быть финальным шагом после проведения анализа архитектуры безопасности, реализации функций, реализации тестов безопасности? |
В общем случае все так. Все это выполняется при сертификации по ОУД 4. Но в данном случае Банк России требует только анализ уязвимостей, значит он может проводится отдельно. |
|
|
ГОСТ Р 15408-3-2013 |
Может ли на анализ уязвимостей подаваться только один из модулей прикладного ПО? |
Нет, требуется проводить анализ уязвимостей для прикладного ПО в совокупности. Может логически выделяться ядро безопасности, для того чтобы сократить периодичность тестирования. |
|
|
ГОСТ Р 15408-3-2013 |
Если в прикладное по входит клиентская часть, web приложение и сервер БД. Какие из компонентов необходимо проверять в рамках анализа уязвимостей? Если СЗИ входят в состав АС? |
Необходимо проверять все компоненты ПО в совокупности. Если СЗИ входят в состав системы, то мы проверяем совместно с СЗИ. |
|
Иные вопросы по технологии безопасной обработки защищаемой информации | |||
Раздел НПА | Вопрос | Ответ | Разъяснение, вебинар где можно узнать подробнее |
684-П пункт 10 683-П пункт 5.1 | Может ли в качестве способа подписывания сообщений использоваться простая электронная подпись? | В соответствии с пунктом 5.1 Положения Банка России № 683-П кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. Такими способами могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и другие средства, в том числе и простая электронная подпись. | |
684-П пункт 10 683-П пункт 5.1 | Как простая электронная подпись может обеспечить целостность электронных сообщений | Действительно, простая электронная подпись не обеспечивает целостность в общем понимании, но в соответствии с разъяснением ЦБ РФ считается что такой вариант приемлем, в случае если это прописано в договоре с клиентом При этом в случае использования простой электронной подписи, ЦР РФ рекомендует применять дополнительные организационные и технологические меры обеспечения информационной безопасности. Например по SMS кроме кода, передаются ещё и основные реквизиты перевода. | Письмо ЦБ РФ ИН-014-56/4 Разъяснения ЦБ РФ для АЛ |
684-П пункт 11 | Какую методику анализа рисков и оценки их уровня необходимо использовать НФО? | НФО самостоятельно определяет методику анализа рисков и оценки их уровня | Разъяснения ЦБ для НАПФ |
684-П пункт 11.1 | Достаточно ли выполнять проверки и соблюдать целостность в рамках фронт систем и хранения архивов операций в этих системах или необходимо обеспечить целостность и сверку с учётными системами? | Целостность и неизменность защищаемой информации должна обеспечиваться некредитной финансовой организацией на всех технологических участках | Разъяснения ЦБ для НАУФОР |
684-П пункт 11.3 683-П пункт 5.2.1 | Правильно ли мы понимаем, что при подаче клиентом поручений через личный кабинет с использованием ЭП требуется дополнительная аутентификация в виде, например, подтверждения в виде смс? | Да, кроме подписания клиентом электронных сообщений, требуется дополнительное подтверждение клиентом совершенной им операции. Например, в виде кода, отправляемого по SMS. | Разъяснения ЦБ для НАУФОР Разъяснения ЦБ для АЛ |
684-П пункт 11.3 683-П пункт 5.2.1 | Соответствует ли требованиям Положения применяемая в настоящее время технология подтверждения карточных операций путем ввода клиентом PIN-кода карты в терминальном устройстве (банкомате или POS-терминале, в том числе, не поддерживающих EMV стандарт) | Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П. Таким, образом, соответствует. | Разъяснения ЦБ для АЛ |
684-П пункт 11.3 683-П пункт 5.2.1 | В соответствии с правилами международных платежных систем и внутренними политиками банка, операции на суммы меньше 1000 рублей не требуют подтверждения клиентом, к ним относятся операции по оплате покупок через сеть «Интернет», например, электронных книг в litres.ru, а также операции совершаемые с помощью NFC карт, которые могут проводится на POS-терминалах, не оборудованных устройствами для ввода PIN-кода, например в метро и другом городском транспорте. В связи с вышеизложенным просим предоставить разъяснения, следует ли банкам после вступления в силу Положения требовать подтверждения операции клиентом во всех без исключения случаях | Выбор способа получения от клиента подтверждения совершенной банковской операции, предусмотренного абзацем десятым подпункта 5.2.1 Положения № 683-П, осуществляется кредитной организацией в соответствии с принятой в организации политикой управления рисками. Подтверждение совершенной банковской операции может быть получено от клиента любым способом, позволяющим установить, что данное подтверждение предоставляется клиентом. Данные требования распространяются на все банковские операции, регулируемые Положением № 683-П | Разъяснения ЦБ для АЛ |
684-П пункт 11.4 683-П пункт 5.2.1 | Необходимо ли подтверждать адрес электронной почты клиента, на который отправляется уведомление об осуществляемых операциях | Да, с использованием уникальных ссылок для подтверждения электронной почты, графического кода и кода, отправляемого по СМС. | Письмо ЦБ РФ ИН-014-56/6 |
684-П пункт 12 | Существуют ли регламентирующие (рекомендующие) нормы, которые необходимо учитывать при разбиении процесса оказания услуги на технологические участки, либо данное разбиение может устанавливаться компанией самостоятельно? | Некредитные финансовые организации, реализующие стандартный или усиленный уровень защиты, могут самостоятельно осуществлять разбиение на технологические участки. Например, участки:
| Разъяснения ЦБ для НАУФОР УЦСБ |
684-П пункт 12 | Упоминается, что в журнале должны быть отражены код технологического участка, результат осуществления операции. Хотелось бы уточнить должны ли в журнал попасть все операции и ПДн, если сотрудник вывел на экран монитора список последних операций или список персональных данных? | Требования по протоколированию относятся к результатам выполнения действий (например, если выводится отчет о всех операциях, то протоколированию подлежит факт формирования отчета) | Разъяснения ЦБ для НАУФОР |
684-П пункт 12 683-П пункт 5.2.2 | Хотелось бы уточнить должны ли регистрироваться факты доступа к журналу регистрации? | Требования к регистрации фактов доступа к журналу регистрации отсутствуют в Положении № 684-П | Разъяснения ЦБ для НАУФОР |
684-П пункт 13 | Кого, какое подразделение назначить ответственным за управление рисками? | НФО самостоятельно определяет лицо или подразделение ответственное за управления рисками | Разъяснения ЦБ для НАПФ |
Планируем ещё задать ещё серию вопросов в ЦБ РФ. Коллеги, можете добавить свой вопрос в общий пакет.
Комментарии
Проверьте вёрстку в мобильном варианте.
FAQ в табличном варианте нечитаем.