Главная » Новости

Новые изменения в Положении ЦБ РФ № 683-П

В 2019 году вступило в силу Положение Банка России № 683-П, с тех пор многие нормативно-правовые акты в сфере ИБ были отменены или уступили место новым, впоследствии изменились и требования ЦБ к защите информации. С 1 октября 2022 года вступает в силу новое указание Центрального Банка (№ 6071-У от 18.02.2022), содержащее множество существенных изменений для Положения №683-П. Вводимые дополнения как добавляют новые требования, так и актуализируют часть существующих. В этой статье мы рассмотрим наиболее значительные изменения, содержащиеся в новом указании.

Что вы найдёте в этой статье:
  1. Подробное описание изменений, вступающих в силу с 1 октября
  2. Оценка соответствия ОУД 4 (п.п.4.1., 4.2., 4.3.)
  3. Защита электронных сообщений (п.п.5.1.)
  4. Защита информации на технологических участках (п.п.5.2.1.)
  5. Ограничения по параметрам операций (п.п.71.)
  6. Выявление инцидентов и информирование Банка России (п.8.)
  7. О субъектах КИИ (п.10.)
  8. Итоги

Подробное описание изменений, вступающих в силу с 1 октября

Оценка соответствия ОУД 4 (п.п.4.1., 4.2., 4.3.)

Вслед за давно вступившим в силу Положением 719-П, теперь и 683-П предписывает использовать для совершения банковских операций программное обеспечение, сертифицированное или прошедшее оценку соответствия по требованиям к ОУД 4. Теперь, проведения анализа уязвимостей и контроля недекларированных возможностей будет недостаточно для выполнения требований положения.

Вместе с ужесточением требований к применяемому ПО АС и приложений, предусмотрена и возможность не привлекать для проведения оценки соответствия лицензиата ФСТЭК. По решению организации, возможно провести оценку соответствия самостоятельно.

Защита электронных сообщений (п.п.5.1.)

Указание усиливает требования к защите электронных сообщений, в их числе необходимость обеспечения целостности сообщения и подтверждение их составления уполномоченным на это лицом. Со вступлением в силу данных изменений, для защиты электронных сообщений будет обязательно использовать УКЭП, УНЭП, либо иные криптографические средства, реализующие имитозащиту информации и аутентификацию составителя. До пересмотра данного пункта требование имело значительно более мягкую формулировку.

Требования к защите сообщений могут не применяться при использовании для организации контроля целостности и аутентификации отправителя специально выделенных сегментов, доступ к которым для нарушителя исключён, такая возможность предусмотрена в обновлённой редакции.

Защита информации на технологических участках (п.п.5.2.1.)

Новые требования предусматривают необходимость идентификации устройств, используемых клиентами для осуществления платежей, а также использования номера телефона клиента (в случае использования мобильной версии приложения) в анализе параметров операций.

На участке формирования дополнительно должен быть обеспечен двойной контроль формирования электронного сообщения, а также входной контроль полей сообщения.

При использовании для передачи уведомлений для клиента его электронной почты, обязательно проверять принадлежность данного адреса электронной почты конкретному клиенту (например, с использованием уникальной ссылки, направляемой на адрес электронной почты клиента для его подтверждения).

Ограничения по параметрам операций (п.п.71.)

Следующий пункт справедливо сравнить с п.п.2.7. Положения № 719-П. Новое требование касается необходимости установления ограничений по параметрам операций (возможность осуществления операций, максимальная сумма одной операции или максимальная сумма за период времени, а также ограничения по конкретным типам операций) по соответствующему заявлению клиента.

Выявление инцидентов и информирование Банка России (п.8.)

Корректировке был подвержен пункт, регламентирующий выявление инцидентов защиты информации и передачу информации о них в ЦБ. Были добавлены ссылки на соответствующие части Положения № 716-П. В числе прочего кредитные организации будут также обязаны информировать Банк России о принятых мерах в отношении выявленных инцидентов, а также о сайтах в сети Интернет, используемых организацией.

О субъектах КИИ (п.10.)

Дополнение данного пункта подтверждает необходимость выполнения требований данного положения кредитными организациями, которые в то же время являются субъектами критической информационной инфраструктуры. Изменение не вводит новых требований, но устраняет возможные разночтения.

Итоги

Новое указание Центрального Банка существенно усиливает меры по противодействию ПДСБСК и работа над ними может занять некоторое время. Мы рекомендуем приступить к реализации заранее и обеспечить выполнение новых требований до 1 октября, так как с этой даты регулятор будет иметь полное право применить санкции за их невыполнение. Стоит помнить, что исправление замечаний по предписанию может отнять значительно больше ресурсов, как трудовых, так и финансовых.

Оцените статью
Finprz
Добавить комментарий

© 2024 Finprz
Adblock
detector