Что нужно защищать по 683-П
В Положении Банка России 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (скачать можно по ссылке) определяются обязательные требования к защите информации для всех кредитных организаций.
Кредитные организации — это банки, должны обеспечивать состояния информационной безопасности в тех АС, которые участвуют в процессе переводов денежных средств клиентов.
Если поделить пункты Положения 683-П по направлениям, то следует выделить:
- Общие и требования, и требования о применении технологических мер защиты информации;
- Требования о соответствии ГОСТ Р 57580 и проведении оценки соответствия;
- Требования о соответствии прикладного ПО требованиям ОУД4.
Подход к оценке соответствия защиты информации
В общем виде подход к оценке соответствия ЗИ, установленный ГОСТ Р 57580.2, основан на комплексе мероприятий, связанным со сбором доказательств (свидетельств) соответствия установленным критериям. Критерии оценки соответствия ЗИ установлены ГОСТ Р 57580.1.
В этом плане установленный в ГОСТ Р 57580.2 подход к оценке соответствия ЗИ практически не отличается от оценки соответствия ИБ требованиям СТО БР ИББС-1.0, которая проводится на основе стандарта Банка России СТО БР ИББС-1.2-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0-2014».
При оценке соответствия ЗИ требованиям ГОСТ Р 57580.1 и оценке соответствия ИБ требованиям СТО БР ИББС-1.0 используется схожий состав источников свидетельств. Поскольку требования ГОСТ Р 57580.1 по сравнению с требованиями СТО БР ИББС-1.0 имеют большую техническую направленность, то по сравнению с СТО БР ИББС-1.2 в ГОСТ Р 57580.2 используется расширенный состав источников свидетельств оценки соответствия ЗИ, а именно:
- документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде и, при необходимости, документы третьих лиц, относящиеся к обеспечению ЗИ финансовой организации и находящиеся в распоряжении проверяемой организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов в области оценки соответствия ЗИ;
- результаты наблюдений членов проверяющей группы за процессами системы ЗИ и деятельностью сотрудников проверяемой организации в области оценки соответствия ЗИ;
- параметры конфигураций и настроек технических объектов информатизации и средств ЗИ;
- технические и программные средства сбора свидетельств полноты реализации мер ЗИ (анализ электронных журналов регистрации, анализ фактических настроек, анализ уязвимостей, проведение тестирования на проникновение и т.п.).
В ГОСТ Р 57580.2 добавлены последние два источника свидетельств (по сравнению с СТО БР ИББС-1.2). И если изучение параметры конфигураций и настроек технических объектов информатизации и средств ЗИ не вызывает особых сложностей в реализации, то применение специализированных средств сбора свидетельств потребует согласования с проверяемой организацией, так как данные средства могут повлиять на работоспособность ИТ-инфраструктуры финансовой организации.
Выбор конкретных источников свидетельств при проведении оценки соответствия ЗИ осуществляет проверяющая организация (проверяющая группа) с учетом предложений проверяемой организации и обеспечения максимальной достоверности оценки соответствия ЗИ.
Подход к фиксации свидетельств и источников свидетельств, примененный в ГОСТ Р 57580.2, аналогичен подходу СТО БР ИББС-1.2, т. е. полученные свидетельства и источники их получения должны быть задокументированы соответствующим образом и заверены участниками процесса оценки.
При заполнении листов для сбора свидетельств необходимо указать ссылки на соответствующие документы и иные материалы проверяемой организации или документы третьих лиц, результаты опроса сотрудников проверяемой организации, результаты наблюдений членов проверяющей группы, а также результаты работы технических и программных средств.
Такой состава листов сбора свидетельств оценки соответствия ЗИ увеличивает трудоемкость работ на их оформление. Кроме того, оформление листов сбора свидетельств осложняется тем, что результаты опроса должны быть подтверждены подписями члена (членов) проверяющей группы и опрашиваемого сотрудника (сотрудников) проверяемой организации.
- Подход к оценке соответствия ЗИ, установленный ГОСТ Р 57580.2, предусматривает использование шкалы, установленной для каждого направления оценки соответствия ЗИ (выбор мер ЗИ, полнота реализации мер ЗИ, реализация мер ЗИ на этапах жизненного цикла АС).
Подход к оценке выбора мер ЗИ для каждого процесса (подпроцесса) системы ЗИ проиллюстрирован на рисунке 32.
Для оценки, характеризующей выбор финансовой организацией каждой из организационных и технических мер ЗИ (ЕМЗИ), направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в разделе 7 ГОСТ Р 57580.1, используется шкала из двух возможных значений
- «0» – не выбрана (выставляется при отсутствии у проверяемой организации свидетельств выбора);
- «1» – выбрана (выставляется при предъявлении проверяемой организацией свидетельств выбора).
Такая дискретная шкала, не предусматривающая частичный выбор, позволяет выставить оценку «1» при наличии хотя бы одного свидетельства реализации меры ЗИ в отношении одного ресурса или объекта доступа, входящего в границы области оценивания.
В соответствии с пунктом 6.13 ГОСТ Р 57580.2, оценка соответствия ЗИ основывается на свидетельствах, в состав которых входят документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде.
Исходя из этого можно сделать вывод о том, что для обеспечения «выбора» всех мер ЗИ в соответствии с ГОСТ Р 57580.1 достаточно, целесообразно и наименее трудоемко зафиксировать «выбор» мер ЗИ документально. Для этих целей целесообразное разработать так называемую «ведомость применимости» мер системы ЗИ ГОСТ Р 57580.1, которая может быть оформлена в виде таблицы форма которой приведена на рисунке 33.
По критериям, установленным Банком России, в ИТ-инфраструктуре финансовой организации может быть выделено более одного контура безопасности. Ведомость применимости целесообразно разрабатывать отдельно для каждого контура безопасности.
Наличие в финансовой организации ведомости применимости позволит в дальнейшем облегчить и ускорить процедуру прохождения сертификационного аудита, обеспечит основу для реализации требований ГОСТ Р 57580.1, а также позволит обеспечить реализацию мер ПЗИ.2, ПЗИ.4 ГОСТ Р 57580.1.
Значения оценок выбора мер ЗИ заносят в формы, приведенные в таблицах В.1 – В.8 ГОСТ Р 57580.2, для каждого из процессов системы ЗИ.
Проблема оценивания полноты реализации мер ЗИ и оценивания ЗИ на этапах жизненного цикла АС по указанной шкале обусловлена тем, что для оценивания частичной реализации мер ЗИ предусмотрена всего одна градация шкалы – «0,5».
Например, одна финансовая организация внедрила средства защиты от воздействия вредоносного кода различных производителей почти на всех объектах доступа, а другая финансовая организация внедрила средства защиты от воздействия вредоносного кода только для АРМ пользователей (см. вариант 2 на рисунке 37). В итоге обе организации получат оценку полноты реализации мер ЗИ равной «0,5».
Такой шкалы явно недостаточно с учетом развитой ИТ-инфраструктуры финансовых организаций включающей тысячи объектов доступа, а также возможно распределенных по всей стране в случае крупных финансовых организаций.
Кроме того, с точки зрения проведения оценки соответствия ЗИ оценщик (проверяющий) при выявлении хотя бы одного несоответствия в полноте реализации мер ЗИ может поставить оценку «0,5» и дальше не рассматривать реализацию тех или иных мер ЗИ в границах области оценивания. Таким образом, оценка соответствия ЗИ в итоге может свестись в итоге к только поиску нарушений (несоответствий).
Следует отметить, что в Положении Банка России № 382-П и в стандарте Банка России СТО БР ИББС-1.2 предусмотрена шкала с большим количеством градаций для частичного оценивания соответствия, а именно: «0», «0,25», «0,5», «0,75», «1».
Значения оценок полноты реализации каждой из организационных и технических мер ЗИ заносят в формы, приведенные в таблицах В.10 – В.13 ГОСТ Р 57580.2, для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.
ОУД 4 по ГОСТ 15408
Тестированию на проникновение в 683-П посвящено совсем немного – п.3.2. Там сказано о необходимости проведения пентестов каждый год. Проводить можно своими силами.
Отдельно стоит выделить тему по ОУД.4
В пунктах 4, 4.1 и 4.2 Положения Банка России 683-П определяются требования к применяемому при осуществлении переводов денежных средств прикладному программному обеспечению. Согласно п.4.1 кредитные организации обязаны обеспечить использование прикладного ПО среди клиентов, а также использование прикладного ПО для обработки и приема электронных сообщений (для обработки в АС организации), которое либо сертифицировано ФСТЭК, либо в отношении которого проведен анализ уязвимостей по требованиям не ниже ОУД.4 (в соответствии с требованиями ГОСТ Р 15408-3-2013).
Если применяется такое ПО, которое не указано в пункте 4.1, то кредитная организация самостоятельно определяет необходимости соответствия ОУД.4.
В случае, если проводится анализ уязвимостей, то согласно пункту 4.2 необходимо привлекать стороннюю организацию, имеющей лицензии на ТЗКИ.
К слову, важно подметить, что в настоящее время есть проект изменений Положения 683-П, в котором, как и в 719-П, необходимо проводить уже не анализ уязвимостей, а оценку соответствия по ОУД.4. Такая процедура, как показывает практика, более дорогостоящая.
Борьба за безопасность 683-П
Современная политическая ситуация складывается таким образом, что вокруг нашей отчизны «сгущаются тучи». Государственный аппарат понимает, что страна может оказаться в изоляции, включая и информационно – финансовой.
На западе уже поднимают вопрос об отключении РФ от международной платёжной системы SWIFT и от иных, менее крупных, платёжных систем. К тому же с момента опубликования данного документа, до даты полного соответствия Банкам, Регулятор даёт совсем немного времени. Считай с даты опубликования (девятого января) до соответствия (с первого июля 2021 года)
Исходя из этого, становится понятно почему Банк России применяет такие жесткие требования к обеспечению безопасности своей платёжной системы.