Значимые изменения в регулировании ИБ Банком России 2020

В 2019 году произошли существенные изменения в регулировании процессов обеспечения информационной безопасности со стороны Банка России. Были разработаны и опубликованы следующие документы:

• Положение № 672-П
• Методические рекомендации 4-МР
• Положение № 683-П
• Положение № 684-П

Рассмотрим их подробнее в хронологическом порядке.

Положение № 672-П

Положение Банка России от 09.01.2019 №672-П “О требованиях к защите информации в платежной системе Банка России”, которое вступило в силу с 06.04.2019 и фактически заменило собой 552-П. Это положение распространяется на коммерческие банки и на другие организации, которые являются участниками платежной системы Банка России и имеют договор об обмене электронными сообщениями с ЦБ РФ.

672-П содержит собственные и отсылочные требования, последние представляют собой ссылки на другие нормативные акты, выполнение которых является обязательным (382-П, 2831-У, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018). Получается, 672-П органично вписано в систему регулирования информационной безопасности со стороны Центробанка.

Методические рекомендации 4-МР

14 февраля Банк России выпустил методические рекомендации 4-МР для кредитных организаций по обеспечению информационной безопасности при работе с Единой биометрической системой. В документе указано, как должны быть защищены ИТ-инфраструктура банка и каналы связи при сборе биометрических данных и удаленной идентификации клиентов в мобильном и онлайн-банкинге. Для всех технологических участков, на которые поделены оба процесса, установлены меры защиты от киберугроз.

К основным рекомендациям, которые содержит документ, относятся соблюдение требований ГОСТ Р 57580.1-2017, использование сертифицированных средств защиты информации, установку АРМ сбора ПДн.

Положение № 684-П

17 апреля 2019 было утверждено Положение №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Появление Положения 684-П является ключевым элементом в системе регулирования информационной безопасности НФО со стороны Банка России, т.к. фактически до появления 684-П Центробанк не регулировал информационную безопасность некредитных финансовых организаций.
Положение выделяет 2 группы НФО, которые попадают под стандартный и усиленный уровень защиты информации по ГОСТ 57580.1-2017 и обязывает проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018, при этом некредитные финансовые организации, соответствующие усиленному уровню защиты информации – не реже одного раза в год, стандартному уровню – не реже одного раза в три года.

Положение №683-П

21 мая 2019 года Банк России опубликовал Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», которое вступило в силу с 01 июня.

Как становится ясно из названия, положение устанавливает обязательные требования по защите информации для противодействия переводам денежных средств, которые осуществляются без согласия клиента. В документе присутствуют прямые ссылке на ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018, что делает их ключевыми документами. Само же Положение № 683-П во многом схоже с Положением № 684-П, которое разработал ЦБ для некредитных финансовых организаций и является дополнением к 382-П для банков.

Обобщая, за 2019 год произошли существенные изменения в регулировании информационной безопасности. Во-первых, регулятор разработал 684-П, и таким образом обратил свое внимание на некредитные финансовые организации, так как до этого НФО фактически им не регулировались. Во-вторых, с помощью Положений 684-П, 683-П, 672-П сделал обязательным исполнение ГОСТа 57580.

Вопросы эксперту