Информационная безопасность: что важно не забыть сделать банкам и НФО в 2023 году

Ни у кого нет сомнений, что обеспечение информационной безопасности на должном уровне при предоставлении финансовых услуг является одним из главных условий функционирования банковских организаций и НФО. Основные требования к ИБ содержатся в стандартах и различных законах, соответствовать которым обязывает ЦБ.

Несмотря на то, что финансовый сектор (в сравнении с другими направлениями экономики) демонстрирует наилучший уровень подготовки к атакам, а за прошедший год общее число таких инцидентов здесь сократилось на 7% (в сравнении с аналогичным периодом 2021 года), уровень защищенности банковских организаций от злоумышленников по-прежнему остаётся недостаточно высоким.

Инциденты, связанные с нарушением ИБ банков и НФО, более, чем в половине случаев приводят к краже конфиденциальных данных клиентов и остановке бизнес-процессов. Чтобы этого избежать, необходимо соответствовать требованиям регуляторов в полной мере. В данном материале вместе с Федором Музалевским, директором технического департамента RTM Group, мы рассмотрим основные из вступающих в силу и уже актуальные законодательные требования.

Финансовым организациям

В соответствии с ними финансовые организации, участвующие в переводе денежных средств, в числе прочего, должны:

• По методике ГОСТ 57580.2-2018 раз в 2 года проводить оценку соответствия систем, применяемых организациями для оказания услуг по переводу денежных средств. Проводить аудит необходимо с привлечением лицензиата ФСТЭК;
• Применять для работы с электронными платёжными поручениями клиентов прикладное ПО, сертифицированное или оценённое к оценочному уровню доверия (ГОСТ 15408-3-2013).

Согласно пунктам 2.4, 3.7, 4.5, и 6.8 Положение 719-П требует обеспечить 4-й уровень соответствия по ГОСТ 57580.2-2018. с 01.01.2022г. Если организацией не достигнут этот уровень защиты, или она не подтвердила его в ходе внешней оценки соответствия, то это может вызвать ряд вопросов со стороны Центрального Банка и других неприятных последствий.

1. В соответствии с этим документом, в банковских организациях должен быть выделен отдельный сегмент платёжной системы Банка РФ. Объекты его инфраструктуры (ПК сотрудников, линии связи, средства защиты информации и пр.) не должны входить в основную инфраструктуру организации. Обозначен новый перечень информации, нуждающейся в защите. В него входит информация, указанная в пунктах 2.2., 4.2 и 6.4 положения № 719-П, в т.ч. сообщения, в которых есть любая платежная информация.
2. Усовершенствован порядок обработки инцидентов. Указаны ограничения возможностей изготовления криптографических ключей. Криптоключи, задействованные в обмене сообщениями между Банком РФ и ОПКЦ СБП, должны производиться ОПКЦ СБП, а те, что используются в аналогичных процессах между участником СБП и ОПКЦ СБП, – участником СБП.
3. Согласно положению № 802-П организация-участник платёжной системы Банка России должна проходить оценку соответствия требованиям ГОСТ Р 57580.1 раз в 2 года. Таким образом, не проводившим оценку в 2022 году, необходимо ее провести в 2023.

Банкам

Положение № 683-П ЦБ РФ от 17.04.2019 включает в себя ряд требований по обеспечению ИБ в рамках пресечения операций с денежными средствами без согласия клиентов банковских организаций.

1. Основные меры защиты касаются криптоключей, электронных сообщений, авторизационной информации и информации об осуществленных банковских операциях. В частности, обозначена необходимость применения усиленной квалифицированной и неквалифицированной электронной подписи или средств криптозащиты информации, реализующих функцию имитозащиты.
2. В состав требований 683-П (п. 9) входит необходимость обеспечить уровень соответствия ГОСТ не ниже четвертого с 01.01.2023г.

НФО

Некредитные финансовые организации (НФО) – это участники финансового рынка, оказывающие финансовые услуги (инвестирование, страховые операции, консультирование и т.д.) за исключением предоставления кредитов. К таковым относят:

• профессиональных участников рынка ценных бумаг;
• управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
• клиринговые организации;
• субъектов страхового дела;
• негосударственные пенсионные фонды;
• микрофинансовые организации;
• ломбарды;
• и т.д.

Требования, касающиеся защиты данных некредитных финансовых организаций, описываются в Положении Центрального Банка РФ № 757-П.

Данный документ вступил в силу 01.07.2021 и заменил собой более ранний аналог, положение № 684-П. В соответствии с требованиями 757-П, НФО обязаны обеспечить защиту информации о финансовых операциях, которая обрабатывается в АС, обеспечить защиту информации согласно требованиям ГОСТ Р 57580.1-2017, раз в год определять уровень защиты информации – минимальный, стандартный или усиленный, а также выполнять иные требования в части защиты платежей.

1. В обязанности некредитных финансовых организаций, реализующих стандартный и усиленный уровни защиты информации, входит применение для обработки платёжных поручений клиентов прикладного ПО, прошедшего сертификацию ФСТЭК или оценку соответствия по требованиям ОУД не ниже, чем ОУД 4;
2. НФО необходимо обеспечить уровень соответствия по ГОСТ Р 57580.2-2018 не ниже 3-го уровня до 30.06.2022, а с 01.07.2023 не ниже 4-го уровня.

Операторам персональных данных

14.07.2022 Федеральным законом № 266-ФЗ в Федеральный закон № 152-ФЗ «О персональных данных» были внесены изменения, призванные повысить степень защиты прав граждан РФ на неприкосновенность частной жизни.

Главным образом изменения затрагивают:

• Обязанность операторов персональных данных (ПДн) уведомлять Роскомнадзор о начале обработки ПДн;
• Появление новой обязанности операторов ПДн – информирование уполномоченных органов об инцидентах, в результате которых произошла неправомерная передача ПДн.

Изменения, вводимые 152-ФЗ, дополняют требования к обработке ПДн.

1. Сократилось число случаев, не требующих уведомления Роскомнадзора о начале обработки персональных данных. Теперь без уведомления можно вести лишь неавтоматизированную обработку и обработку в государственных информационных системах, функционирующих в целях защиты безопасности государства и общественного порядка.
2. Кроме того, если информация об обработке персональных данных меняется, оператор обязан сообщить об этом в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли эти изменения. В случае прекращения обработки персональных данных оператору нужно уведомить Роскомнадзор в течение 10 рабочих дней, начиная с даты остановки обработки. Затем РКНоскомнадзор исключает организацию из реестра.
3. Срок реагирования на обращения субъекта, который раньше составлял 30 рабочих дней, теперь – 10. Его можно продлить на 5 рабочих дней, направив в Роскомнадзор оповещение с разъяснением причины продления. Если субъект ПДн требует прекратить обработку его данных, оператор должен сделать это в срок до 10 дней.

Поручение обработки персональных данных

Ещё одно нововведение 152-ФЗ – понятие “лица, проводящего обработку ПДн по поручению оператора”. Теперь оператор имеет право передать обработку персональных данных другому лицу.
Для этого требуется согласие субъекта ПДн и поручение, которое включает в себя:

• Перечень персональных данных;
• Цели их обработки;
• Требования к их защите;
• Обязанности и перечень действий с ПДн для лица, осуществляющего обработку по поручению оператора;
• Требования оповещать оператора о неправомерной обработке персональных данных.

В свою очередь лицо, обрабатывающее ПДн по поручению оператора, обязуется:

• Соблюдать конфиденциальность;
• Записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан России в базах данных, которые находятся на территории нашей страны;
• Обеспечивать безопасность при обработке ПДн.

Уничтожение персональных данных

Также с 1 марта 2023 года для организаций, обрабатывающих ПДн, изменен порядок уничтожения персональных данных.

Операторы обязаны уничтожать такие сведения:

• При необоснованном получении персональных данных (например, без согласия);
• При неправомерной обработке персональных данных (например, незаконная передача третьим лицам);
• При достижении целей обработки персональных данных (например, по истечении срока действия ранее исполненного договора);
• При отзыве субъектом ПДн своего согласия на обработку.

Порядок уничтожения ПДн организация определяет самостоятельно. После завершения процесса необходимо все документально оформить.

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную (не автоматизированная обработка), то уничтожение ПДн нужно подтверждать специальным актом об уничтожении. Если организация осуществляет автоматизированную обработку, то нужно представить и акт, и выгрузку из журнала регистрации событий в системе персональных данных. То же самое касается и случаев, когда обработка производится и вручную и с автоматизировано.

Организация может составить акт в свободной форме, но он обязательно должен содержать необходимые сведения. Такой порядок будет действовать до 1 марта 2029 года.

Принцип экстерриториальности

152-ФЗ является экстерриториальным и позволяет уполномоченным органам вмешиваться в вопросы обработки персональных данных россиян иностранными лицами.

Операторы, планирующие осуществлять трансграничную передачу персональных данных, должны были уведомить об этом Роскомнадзор до 01.03.2023.

До начала передачи ПДн оператор получает от иностранных лиц информацию о:

• Мерах, предпринимаемых для защиты передаваемых персональных данных и условиях прекращения их обработки;
• Правовом регулировании в области ПДн иностранного государства;
• Иностранных лицах, которым планируется трансграничная передача ПДн.

Если Роскомнадзор запрещает или ограничивает трансграничную передачу, оператор обязан проконтролировать уничтожение у иностранных лиц ранее переданных ПДн с получением факта уничтожения.

Информирование Роскомнадзора и подключение к ГосСОПКА

При возникновении инцидентов, в результате которых произошла неправомерная или непреднамеренная передача ПДн, оператор обязан:

• В течение 24 часов с момента произошедшего информировать об этом Роскомнадзор;
• В течение 72 часов отчитаться в Роскомназдор о результатах внутреннего расследования.

Оценка негативных последствий

Операторы обязаны регулярно осуществлять оценку вреда, который может быть нанесён субъектам ПДн в случае нарушения 152-ФЗ.
Что делать, чтобы соответствовать 152-ФЗ:

• Уведомить Роскомнадзор о том, что организация планирует проводить обработку ПДн.
• Актуализировать поручения на обработку ПДн.
• Удалить из договоров с субъектами ПДн пункты, которые:

• • Ограничивают права и свободы субъектов;
  • Устанавливают случаи обработки ПДн несовершеннолетних, если обработка ПДн несовершеннолетних явно не предусмотрена законодательством РФ;
  • Допускают в качестве условий заключения договора бездействие субъекта.

• Уведомлять Роскомнадзор об инцидентах, повлекших передачу данных (непреднамеренную или неправомерную).
• Актуализировать организационно-распорядительную документацию.

При проведении трансграничной передачи ПДн уведомить Роскомнадзор и получить все необходимые сведения от иностранных лиц.

Заключение

В 2023 году финансовые организации и иные компании, принадлежащие к КИИ, вынуждены считаться с растущим количеством фактических угроз, а также с новыми требованиями регуляторов. Им придётся приложить немало усилий для реализации нововведений, укрепления информационной безопасности и снижения рисков потери ценных данных. Именно поэтому важно своевременно отслеживать появление новых правил и требований и неукоснительно им следовать.