Аудит финансовых организаций на соответствие требованиям ЦБ РФ: что нового?

Олег Нестеровский, заместитель директора департамента по консалтингу и аудиту ARinteg / BIS

Мы выступаем в качестве внешних ИБ-аудиторов банков и на практике нередко сталкиваемся с тем, что ответственные сотрудники, зная нормативную правовую базу регулирования направления ИБ, не знают, каким образом корректно обосновать, предоставить доказательства выполнения той или иной организационной или технической меры. Не понимают важность регламентации всех мер, в том числе технических, а также как учесть те или иные изменения законодательства.

Между тем, в условиях постоянного изменения геополитической обстановки требования регуляторов Банка России, ФСТЭК России, ФСБ России к защите информации ограниченного доступа ужесточаются, и это оправдано. С каждым днем совершенствуются механизмы реализации кибератак, мошеннических действий, что требует компенсационных мер в виде дополнительных требований по защите информации.

В этой статье поделюсь информацией о наиболее значимых нововведениях в этой области, часть из которых вступит в действие уже с 1 сентября 2024 года, а также расскажу, какую пользу можно извлечь из внешнего аудита.

Напомню, что под «аудитом» понимается систематический, независимый и документируемый процесс получения свидетельств и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

Аудит информационной безопасности позволяет проверить выполнение требований нормативных правовых актов или обоснованность и защищенность применяемых решений. В первом случае он обязателен, его игнорирование может повлечь наложение штрафов, приостановление деятельности и не только. Во втором носит добровольный характер.

Внешний аудит позволяет банкам спокойно проходить проверку в ЦБ РФ, ограждает от предписаний, штрафов и других мер ответственности. С ним вы минимизируете риски финансовых и репутационных потерь, лучше понимаете узкие места в системе защиты и знаете, какие решения надо предпринять, чтобы усовершенствовать систему защиты информации.

В настоящее время для банков крайне актуальными можно считать следующие направления в области защиты информации ограниченного доступа, а именно:

• приведение банков в соответствие требованиям ЦБ РФ;
• приведение объекта КИИ в соответствие требованиям 187-ФЗ.

Приведение банков в соответствие требованиям ЦБ РФ:
требования доверия, уровни защиты, сроки внедрения нацстандартов

В первую очередь следует остановиться на введении в действие 28.02.2024 Центральным банком РФ стандарта СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».

В стандарте установлены состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов – получателей услуг при дистанционном предоставлении поставщиками финансовых продуктов и услуг в целях реализации требований Банка России на технологическом участке идентификации, аутентификации и авторизации клиентов при осуществлении банковской деятельности, деятельности в сфере финансовых рынков.

Введение в действие данного стандарта является естественным продолжением, с одной стороны, принятия Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», с другой – действующего национального стандарта РФ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности».

Если последний рассматривает требования к доверию продуктов ИТ (программного обеспечения), то вновь введенный стандарт определяет требования доверия (состав и содержание мер защиты информации) уже к процедурам (процессам), а именно к:

• процессу идентификации;
• делегированию идентификации;
• процессу аутентификации;
• процессу аутентификации при использовании отдельных аутентификаторов;
• делегированию аутентификации.

В реальности процесс приведения процедур ИБ в соответствие предусматривает комплексный подход, включающий аудит ИБ, в результате которого в том числе приходит понимание трактовок требований Банка России, и постаудитную помощь в реализации мер защиты.

Другим знаковым нормативным документом 2024 года стали «Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» (утв. Банком России 21.03.2024 № 7-МР).

Этот документ, во-первых, устанавливает в рекомендательной форме уровни защиты (управления риском информационной безопасности и обеспечения операционной надежности), которые должны реализовать кредитные и некредитные финансовые организации. В то же время, несмотря на рекомендательный характер, по результатам анализа хода проверок со стороны Банка России, рекомендуемые положения, требования контролируются на одном уровне с обязательным. Поэтому рекомендательный характер в данном случае имеет место быть только условно.

Во-вторых, определяет сроки внедрения национальных стандартов в сфере обеспечения операционной надежности ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.

Так, для банков, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года установлен срок: до 31 декабря 2025 года; для остальных кредитных организаций – до 31 декабря 2026 года.

Таким образом, можно отметить, что совокупность требований регулятора в полной мере затрагивает банковский сектор, предписывая ужесточения требований как к защите информации в целом, так и, в частности, к использованию доверенных сред/процедур идентификации и аутентификации.

Приведение объекта КИИ в соответствие требованиям 187-ФЗ: 
импортозамещение, доверенные ПАК на значимых объектах КИИ

Важность защиты критической информационной инфраструктуры РФ обусловлена тем, что нарушение ее функционирования может негативно сказаться на некоторых аспектах деятельности государства, в том числе внешнеэкономической. А все банки – априори субъекты КИИ. Ужесточение требований законодательства в области защиты объектов КИИ призвано обеспечить бесперебойное функционирование системы защиты информации вне зависимости от мировой обстановки, санкций и т.п.

Сейчас, когда из России ушли некоторые западные производители, в т.ч. Cisco, Motorolla и т.п., многие компании столкнулись с отсутствием альтернатив в используемых технических и программных средствах. Именно на то, чтобы исключить возникновение подобных ситуаций в будущем и направлены текущие изменения законодательства в области защиты объектов КИИ, как наиболее важных для жизнедеятельности государства информационных систем.

Остановимся на Указе Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Его требования касаются всех субъектов КИИ без исключения. Мало того, ведущие специалисты в области защиты информации предполагают, что объекты КИИ присутствуют практически во всех сферах жизнедеятельности. Высказывается мнение, что в законодательство будут внесены дополнения, и тогда любое предприятие, которому на правах собственности, аренды или на ином законном основании принадлежат ИС, ИТКС, АСУ ТП, станет субъектом КИИ.

Согласно п. 6 Указа, с 1 января 2025 г. запрещается использовать средства защиты информации из недружественных государств, производители которых находятся под юрисдикцией таких государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Пока непонятно, каким образом п. 6 Указа будет реализовываться, поскольку часть используемых субъектами КИИ ИС, ИТКС, АСУ ТП изначально зарубежного производства. И интеграция тех или иных отечественных средств защиты информации оказывается под огромным вопросом. Особенно если речь идет, например, об авиационной тематике. Системы самолетов в ряде случаев индивидуальны. Часть из них не поддерживается ввиду санкций. И каким образом вводить, например, отечественные системы идентификации/аутентификации в такие системы – большой вопрос.

Также с 14 ноября 2023 года вступило в действие Постановление Правительства РФ № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

В соответствие с рассматриваемым Постановлением переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ осуществляется до 1 января 2030 года. Кроме того, с 1 сентября 2024 года вступает запрет на использование недоверенных ПАК, если они приобретены после указанной даты.

Данное Постановление необходимо рассматривать совместно с Постановлением Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах КИИ РФ, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками.

Рассмотренные документы – звенья одной цепи, направленные на обеспечение безопасности объектов КИИ вне зависимости от санкций, которым может быть подвергнута Российская Федерация.

С ARinteg вы легко пройдете проверки

ARinteg – один из ведущих системных интеграторов в сфере информационной безопасности в России. Наши специалисты обладают большим опытом в области аудита и консалтинга, мы регулярно проводим оценки соответствия требованиям регуляторов в области информационной безопасности: 10-15 крупномасштабных аудитов в год.

В части аудита рассмотренных направлений ARinteg готов предложить:

• оценку выполнения требований положений Банка России;
• оценку соответствия требованиям ГОСТ Р 57580.1-2017 (включая методику ГОСТ Р 57580.2);
• пакет услуг по подготовке к категорированию объектов КИИ, включая рекомендации по защите информации, разработку моделей угроз, а также оценку соответствия требованиям регуляторов, и не только это.

Специалисты ARinteg понимают, что аудит – это не самоцель, но все-таки его необходимо проводить с требуемой периодичностью.

ARinteg выполняет весь комплекс работ по защите информации в соответствие с требованиями регуляторов: от аудита до поставки, внедрения и технической поддержки полноценной системы защиты информации ограниченного доступа.  

Поделиться: