Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Защита информации в финансовых организациях

Защита информации в финансовых организациях

Обеспечение соответствия требованиям Банка России, предъявляемым к кредитным и некредитным финансовым организациям (Положения №683-П, 684-П, ГОСТ Р 57580.1-2017).

АутсорсингВ Положении от 17 апреля 2019 г. № 683-П Банк России установил для кредитных организаций (КО) обязательные требования по защите информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

В Положении от 17 апреля 2019 г. № 684-П Банк России установил для некредитных финансовых организаций (НФО) обязательные требования по защите информации в целях борьбы с незаконными финансовыми операциями.

В указанных Положениях определен перечень защищаемой информации. Приведены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного ПО, технологии обработки защищаемой информации. Требования дифференцированы в зависимости от применяемого к организации уровня защиты информации.

КО должны осуществлять защиту следующей информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств:

  • информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее - клиенты);
  • информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
  • информации об осуществленных банковских операциях;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой при осуществлении банковских операций (далее - криптографические ключи).

В целях противодействия осуществлению незаконных финансовых операций при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", НФО должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах:

  • информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками НФО и (или) клиентами НФО;
  • информации, необходимой НФО для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
  • информации об осуществленных НФО и их клиентами финансовых операциях;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой НФО и их клиентами при осуществлении финансовых операций (далее - криптографические ключи).

В случае если защищаемая информация содержит персональные данные, НФО и КО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".

Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования должна осуществляться в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".

Организации, реализующие усиленный и стандартный уровень защиты информации, должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей ИБ.

Организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного ПО АС и приложений сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".

Кроме этого, НФО и КО, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:

  • о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Обеспечение соответствия НФО и КО указанным требованиям Положений Банка России включает в себя решение следующих задач:

  • Оценка соответствия организации требованиям Положения Банка России № 683-П или 684-П.
  • Оценка соответствия организации требованиям национального стандарта РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".
  • Тестирование объектов информационной инфраструктуры организации на предмет проникновений и анализ уязвимостей ИБ.
  • Оценка соответствия организации требованиям Федерального закона РФ №152-ФЗ  и Положения Правительства РФ №1119 (в случае если защищаемая информация содержит персональные данные).
  • Анализ уязвимостей прикладного ПО по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" (в случае отсутствия сертификации данного ПО в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации).
  • Разработка рекомендации и плана мероприятий по обеспечению соответствия организации требованиям Положения Банка России № 683-П или 684-П.
  • Реализация комплекса организационно-технических мероприятий по приведению организации в соответствии с требованиями, установленными Банком России.

Для получения более подробной информации обращайтесь к нам: