Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Письмо Банка России от 21 июля 2021 г. № 56-26/616 “О рассмотрении предложений в проект нормативного акта и вопросов кредитных организаций”

Письмо Банка России от 21 июля 2021 г. № 56-26/616 “О рассмотрении предложений в проект нормативного акта и вопросов кредитных организаций”

6 августа 2021

Департамент информационной безопасности рассмотрел предложения в проект указания Банка России "О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Проект), а также вопросы кредитных организаций по Проекту и направляет информацию о результатах рассмотрения.

Приложение: на 8 л.

Директор Департамента
информационной безопасности

В.А. Уваров

Сводная таблица
замечаний и предложений по проекту указания Банка России "О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Проект)

N п/п	Структурная единица Проекта	Содержание замечания или предложения	Решение	Пояснение
1	2	3	5	6
Ассоциация "Россия"
1.	п. 1.1 (п. 4.1 Положения)	Кредитные организации предлагают сохранить формулировку "анализ уязвимостей" вместо "оценка соответствия", а также уточнить в формулировках либо дать пояснения на предмет возможности проведения оценки соответствия информационных систем, имеющих короткие релизные циклы разработки и agile-ориентированные подходы, а также имеющих микросервисную архитектуру. Многие кредитные организации используют в своих процессах разработки agile-ориентированные подходы, а также короткий релизный цикл. Так как оценка соответствия по ГОСТ Р ИСО/МЭК 15408-3-2013 предполагает анализ конкретного релиза, кредитные организации физически не смогут проводить данную оценку каждого выпущенного релиза. Более того, в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 оценке подлежат информационные системы в комплексе. Стандарт не учитывает возможности микросервисной архитектуры, в рамках которой информационные системы могут состоять из отдельных независимых сервисов, часть которых подлежит оценке в соответствии с требованиями, а часть нет. Тем организациям, которые уже внедрили в свой жизненный цикл информационных систем процессы безопасной разработки, учитывающие все особенности своих бизнес процессов и архитектуры информационных систем, необходимо будет пересмотреть данные процессы для их формализации в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013, что может повлечь удорожание разработки продукта и увеличение сроков выхода на рынок новых продуктов. В связи с вышеуказанным, кредитные организации считают, что полная оценка соответствия вместо анализа уязвимостей является избыточной и не учитывает современные мировые практики, подходы и особенности технологий в области разработки программного обеспечения.	Отклонено	Анализ уязвимостей является составной частью оценки соответствия по ОУД4 по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013. При этом указанный подход согласован со ФСТЭК России и в настоящее время уже используется в Положениях Банка России от 04.06.2020 N 719-П и от 20.04.2021 N 757-П.
2.	п. 1.1 (п. 4.1 Положения)	Предлагается дополнить абзацы первый и второй подпункта 4.1. пункта 4 Положения 683-П в редакции Проекта словами "в случае, когда применение данных мер необходимо для нейтрализации актуальных угроз и минимизации рисков информационной безопасности." Вносимые правки в части проведения оценки соответствия фактически означают подтверждение соответствия (статья 20 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании") и могут носить добровольный (в форме добровольной сертификации) или обязательный характер (в форме декларирования соответствия и в форме обязательной сертификации), что является аналогичным требованием "сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия не декларированных возможностей".	Отклонено	Данное требование является обязательным и устанавливается в целях противодействия осуществлению переводов денежных средств без согласия клиента.
3.	п. 1.1 а (п. 4.1 Положения)	По мнению кредитных организаций, целесообразно добавить ссылку на соответствие каким требованиям и критериям необходимо проводить оценку соответствия и сертификацию. Кредитные организации отметили, что новая редакция не содержит конкретики: "прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия". Кроме того, с учетом предлагаемых Проектом изменений возникает неясность в отношении положений пунктов 4.1 и 4.3 Положения N 683-П. Так, в пункте 4.1. Положения N 683-П предусмотрена необходимость сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014). В то же время, в пункте 4.3 Положения N 683-П предусмотрено, что кредитные организации "должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 "Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий", зарегистрированным Министерством юстиции Российской Федерации 11 сентября 2020 года N 59772 (далее - приказ ФСТЭК России N 76)."	Отклонено	Для выполнения пункта 4.1, с учетом предлагаемых Проектом изменений, необходимо проводить либо оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013, либо сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю. Проектируемый пункт 4.3 устанавливает требования к проведению сертификации в случае принятия решения о необходимости ее проведения.
4.	п. 1.2 (п. 4.2 Положения)	"По решению кредитной организации оценка соответствия программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением организации". Кредитные организации просят уточнить, в каких случаях разрешается проводить самостоятельную оценку соответствия. В этих целях предлагается дополнить Проект отдельным пунктом, содержащим пояснение для указанной формулировки. Кроме того, в случае самостоятельного проведения кредитной организацией оценки соответствия, кредитные организации просят представить разъяснения по следующим вопросам: 1. Требуется ли наличие у кредитной организации лицензии на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02. 2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"? 2. В каком формате должен быть оформлен результат оценки соответствия? 3. Обязательно ли для оценки соответствия разрабатывать задание по безопасности на основе методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций"?	Даны пояснения	Для выполнения пункта 4.1, с учетом предлагаемых Проектом изменений, необходимо проводить либо оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013, либо сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю. Решение о возможности проведения самостоятельной оценки соответствия программного обеспечения автоматизированных систем и приложений принимается организаций самостоятельно с учетом наличия работников, имеющих квалификацию для проведения указанных работ, а также на основе анализа рисков.
5.	п. 1.5 (п. 5.2.1 Положения)	"В случае если банковская операция осуществляется с мобильных (переносных) устройств вычислительной техники кредитные организации в рамках реализуемой ими системы управления рисками должны обеспечить проверку используемого клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи на основе анализа характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности)." Абзац 3 пункта 1.3 Проекта не учитывает, что мобильные устройства могут быть без возможности подтверждения номера по телефону (планшет без сим-карты, использующий полноценную версию сайта интернет-банкинга). Предлагается изложить в редакции "при использовании мобильной версии приложения" или "при использовании приложения, установка (вход) которого невозможна без указания номера мобильного телефона".	Учтено в редакции
6.	п. 1.4 (п. 5.1 Положения)	"В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных средств криптографической защиты информации (СКЗИ), реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения." Кредитные организации просят уточнить в Проекте возможность применения механизмов простой электронной подписи, а также что подразумевается под понятием "иных СКЗИ". В случае, если имеется в виду использование симметричных алгоритмов, остается неясным достаточно ли будет использовать связку простая электронная подпись для аутентификации отправителя сообщения и симметричная криптография для имитозащиты и обеспечения целостности.	Даны пояснения	Предложенный вариант применения механизмов использования простой электронной подписи соответствует требованиям проектируемой нормы.
7.	п. 1.4 (п. 5.1 Положения)	Предлагается исключить из второго и третьего абзацев подпункта 5.1 пункта 5 Положения N 683-П в редакции Проекта слово "иных" применительно к СКЗИ. Усиленная квалифицированная и усиленная неквалифицированная электронные подписи не являются средством криптографической защиты информации, они формируются с помощью таких средств.	Учтено
8.	п. 1.4 (п. 5.1 Положения)	"Указанные в абзаце втором настоящего пункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные сегменты вычислительных сетей и указанные меры определены кредитными организациями как неактуальные в модели угроз и нарушителей безопасности информации." По мнению кредитных организаций, остается неясным, что подразумевает понятие "выделенные сегменты вычислительных сетей": 1. выделенный сегмент технологического участка дистанционного банковского обслуживания; 2. выделенный сегмент программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет".		Абзац исключен
9.	п. 1.4 (п. 5.1 Положения)	Предлагается оставить пункт 5.1 Положения № 683-П в текущей редакции: "5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; № 26, ст. 3889) (далее - Федеральный закон "Об электронной подписи")." Согласно пояснительной записке к проекту, Банком России вносятся изменения, в частности, уточнения требований, предъявляемых к обеспечению целостности электронных сообщений, которыми обмениваются кредитные организации со своими клиентами. Согласно изменениям, для обеспечения целостности должны использоваться СКЗИ, что исключает использование простой электронной подписи. Стоит отметить, что в информационном письме от 30.01.2020 N ИН-014-56/4 Банком России были даны разъяснения относительно возможности обеспечения целостности при использовании простой электронной подписи и аналогов собственноручной подписи. Согласно абзацу первому подпункта 5.1 пункта 5 Положения N 683-П, абзацу первому пункта 10 Положения N 684-П, кредитные организации, а также некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации (далее - некредитные финансовые организации), должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом. В целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на это лицом кредитным организациям, некредитным финансовым организациям рекомендуется обеспечивать использование усиленной электронной подписи или с соблюдением применяемой технологии обработки защищаемой информации иных аналогов собственноручной подписи, кодов, паролей и других средств при подписании электронных сообщений. С учетом системной связи положений части 1 статьи 5 Федерального закона "Об электронной подписи" о видах электронной подписи и положений части 4 статьи 11 Федерального закона от 27 июля 2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" к аналогу собственноручной подписи относится, в частности, простая электронная подпись. Таким образом, в новой редакции Положения N 683-П Банком России исключается использование простой электронной подписи и иных аналогов собственноручной подписи, не использующих СКЗИ, при том, что они, в сочетании с другими средствами, используемыми при подписании электронных сообщений, могут обеспечить целостность электронных сообщений. Кредитные организации считают, что не стоит ограничивать использование простой электронной подписи и иных аналогов собственноручной подписи, если они могут обеспечить выполнение требований, предъявляемых к электронным сообщениям.	Отклонено	Изменения вносятся с целью реализации возможности применения простой электронной подписи.
16.	п. 1.8	Предлагается изложить пункт 1.8 Проекта следующим образом: "71. Кредитные организации на основании заявлений клиентов, переданных способами, определенными договорами кредитных организаций с клиентами, должны установить ограничения по осуществлению операций клиентами либо максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций. Лимиты могут быть установлены как на все операции клиентов, так и в разрезе видов операций." Предлагаемая редакция позволяет предусмотреть возможность устанавливать отдельные лимиты на различные виды операций.	Учтено в редакции
17.	п. 1.9 (п. 8 Положения)	Представляется необходимым согласовать указанные в Проекте варианты ведения базы данных инцидентов с нормами Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе". Абзац 2 пункта 8 Положения N 683-П в редакции Проекта предписывает направление информации об инциденте информационной безопасности в службу управления рисками для внесения в их базу данных, в то время как Положение N 716-П позволяет выбрать, кто именно ведет базу данных по рискам информационной безопасности - служба рисков или служба информационной безопасности.	Учтено в редакции
18.	п. 1.10 (п. 9 Положения)	Проектом предлагается в пункте 9 Положения N 683-П слова "сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79 (далее - проверяющая организация)" заменить словами "проверяющих организаций". В случае изменения всего пункта исчезают квалификационные требования к "проверяющим организациям". Предлагается заменить слова "сторонних организаций" на "проверяющих организаций" и исключить слова "(далее - проверяющая организация)".	Отклонено	Сокращение "проверяющая организация" в соответствии с п. 1.2 Проекта переносится в п. 4.2 Положения N 683-П. Таким образом квалификационные требования к "проверяющим организациям" не исключаются из Положения N 683-П.

Обзор документа

Банк России рассмотрел ряд предложений по корректировке требований к обеспечению защиты информации при ведении банковской деятельности в целях противодействия переводам денежных средств без согласия клиента.

Предложения касаются в т. ч. подписания электронных сообщений, которыми обмениваются кредитные организации со своими клиентами, установления отдельных лимитов на различные виды операций.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перепечатка