В прошлом году продолжилось активное развитие нормативной базы в области информационной безопасности финансового сектора. Хотим обратить внимание на некоторые важные нововведения в законодательстве.
В первую очередь произошли изменения в части требований, предъявляемых к обеспечению защиты информации при осуществлении переводов денежных средств, внесенные Указанием Банка России от 7 мая 2018 г. N 4793-У в Положение Банка России № 382-П от 9 июня 2012 года.
Ключевыми деталями документа стали следующие изменения:
С 1 июля 2018 года в состав требований по обеспечению защиты информации при переводе денежных средств включены обязательные ежегодные тестирования на проникновение и анализ уязвимостей информационной безопасности.
С 1 июля 2018 года обязательным стало привлечение внешних организаций, обладающих лицензией на ТЗКИ, для оценки выполнения требований по защите информации при переводе денежных средств. Ранее данные организации могли проводить оценку соответствия самостоятельно.
С 1 Июня 2020 года все прикладное программное обеспечение, используемое для переводов денежных средств, должно пройти сертификацию ФСТЭК на соответствие требованиям по безопасности. Используемое П О сертифицируется либо по предписаниям для анализа уязвимостей и отсутствию НДВ, либо по требованиям к оценочному уровню доверия не ниже чем ОУД 4, в отношении которого (ПО) проведен анализ уязвимостей, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15 408−3-2013.
На данный момент сложно сказать, как будет реализован переход на сертифицированное программное обеспечение, используемое при переводе денежных средств. Исходя из текущей формулировки, требования по сертификации будут предъявляться не только к средствам защиты информации, но и к сопутствующему программному обеспечению.
Другим документом, принятым в прошедшем году, который стоит отметить, стал Базовый стандарт совершения страховыми организациями операций на финансовом рынке. Он вступает в силу 7 мая настоящего года и регламентирует обязательное исполнение требований Национальных стандартов РФ ГОСТ Р 57 580.1−2017 и ГОСТ Р 57 580.2−2018 страховыми организациями.
Первый нормативный акт определяет достаточно большой перечень организационных и технических мер, которые в части защиты информации должны применяться в финансовых организациях и страховых компаниях.
Второй, в свою очередь, определяет порядок оценки соответствия защиты информации в финансовой организации данным требованиям.
В ближайших публикациях мы подробнее рассмотрим данные стандарты.
Если у вас имеются вопросы по специфике выполнения данных требований, необходимо провести тестирование на проникновение или оценку соответствия, наши специалисты будут рады вам помочь.
Георгий Морозов Менеджер по сопровождению корпоративных клиентов, Акрибия