Журнал "Information Security/ Информационная безопасность" #4, 2020

комсвязи оператор также должен будет разработать паспорт ИБ в соответствии с ГОСТ Р 53109–2008, который необхо- димо актуализировать не реже чем один раз в три года. Требования по информационной безопасности от Банка России В информационном письме о приме- нении стандартов Банка России от 16.07.2020 г. № ИН-014-56/113 3 регуля- тор сообщает следующее: l стандарт Банка России СТО БР ИББС- 1.0–2014 и стандарт Банка России СТО БР ИББС-1.2–2014 носят рекоменда- тельный характер и могут применяться как методические документы; l кредитные организации, которые ранее присоединились к упомянутым выше стандартам, вправе направить в Банк России в свободной форме уве- домления о неприменении стандартов в качестве обязательных в случае при- нятия такого решения. 16 июля 2020 г. Банк России предста- вил для публичного обсуждения проект указания о внесении изменений в Поло- жение Банка России от 17 апреля 2019 г. № 683-П 4 "Об установлении обязатель- ных для кредитных организаций требо- ваний к обеспечению защиты информа- ции при осуществлении банковской дея- тельности в целях противодействия осу- ществлению переводов денежных средств без согласия клиента". Приведем перечень основных изме- нений в 683-П, предлагаемых проектом указания Банка России: 1. В случае принятия решения о сер- тификации прикладного программного обеспечения автоматизированных систем (АС) и приложений такую серти- фикацию необходимо будет проводить в действующей системе сертификации ФСТЭК России, а именно на соответ- ствие требованиям к уровням доверия. 2. Установленное требование по полу- чении от клиента подтверждения совер- шенной банковской операции будет скор- ректировано на "подтверждение совер- шаемой банковской операции". 3. При осуществлении подтверждения совершения банковских операций с использованием электронной почты, в том числе при представлении клиентам справок (выписок) по банковским опе- рациям и банковским счетам, кредитным организациям будет необходимо реали- зовывать механизмы подтверждения при- надлежности клиенту адреса электрон- ной почты, на который кредитной орга- низацией направляются уведомления о совершенных банковских операциях. 4. Анализ уязвимостей прикладного ПО АС и приложений по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, будет заменен на оценку соответствия по требованиям к ОУД. Если до этого ГОСТ Р ИСО/МЭК 15408-3–2013, определяющий требова- ния к ОУД, необходимо было выполнять только в части анализа уязвимостей, то теперь нужно будет применять все про- цедуры упомянутого выше ГОСТа. 5. По решению кредитной организа- ции оценка соответствия прикладного ПО АС и приложений может прово- диться самостоятельно или с привлече- нием проверяющей организации-лицен- зиата. При этом Банк России информацион- ным письмом от 08.07.2020 г. № ИН- 014-56/110 5 рекомендует при анализе уязвимостей ПО по требованиям к ОУД применять методический документ "Про- филь защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных орга- низаций и некредитных финансовых организаций", одобренный подкомитетом № 1 "Безопасность финансовых (бан- ковских) операций" Технического коми- тета по стандартизации № 122 "Стан- дарты финансовых операций". "Профиль защиты" 6 официально опуб- ликован 10 июля 2020 г. и содержит требования не только из ОУД 4, но и усиления и расширения компонентами из более высоких ОУД. Следом, 17 июля 2020 г., Банк России опубликовал проект указания о внесении изменений в Положение Банка России от 9 января 2019 г. № 672-П 7 "О требо- ваниях к защите информации в платеж- ной системе Банка России". Согласно проекту указания Банка Рос- сии, требования 672-П планируется рас- пространить на участников сервиса быст- рых платежей (СБП) – операторов услуг информационного обмена – при предо- ставлении участникам СБП услуг инфор- мационного обмена при осуществлении переводов денежных средств с исполь- зованием СБП (ОУИО СБП). При этом перечень обязательных мер по противодействию осуществлению переводов денежных средств без согла- сия клиента с использованием СБП пла- нируется определить как для участников СБП, являющихся банком плательщика, так и для участников СБП, являющихся банком получателя. Для объектов информационной инфра- структуры ОУИО СБП по проекту указа Банка России с 1 января 2022 г. необхо- димо будет применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1–2017. 17 июля 2020 г. опубликован также проект о внесении изменений в указание Банка России от 9 июня 2012 г. № 2831-У 8 "Об отчетности по обеспечению защиты информации при осуществлении пере- водов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Указание № 2831-У определяет формы и методики составления отчетности для операторов платежных систем, операто- ров услуг платежной инфраструктуры и операторов по переводу денежных средств. Предлагаемые изменения несу- щественны, в своей основе только немно- го корректируют процедуру предостав- ления отчетности. Нормотворчество в области защиты персональных данных Минэкономразвития России 17 июля 2020 г. опубликовало проект федераль- ного закона "О внесении изменений в отдельные законодательные акты Рос- сийской Федерации в связи с принятием Федерального закона "Об эксперимен- тальных правовых режимах в сфере цифровых инноваций в Российской Федерации" 9 . Проект федерального закона подразу- мевает, что давно устоявшиеся нормы обработки персональных данных (ПДн) можно не применять, если такое будет установлено программой эксперимен- тального правового режима (в части раз- вития технологий искусственного интел- лекта и больших данных). Таким образом, проект федерального закона предлагает не применять следующие положения: l об обработке ПДн только в рамках конкретных, заранее определенных и законных целей; l о невозможности объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой; l об осуществлении обработки ПДн с соблюдением принципов и правил, пред- усмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персо- нальных данных", в том числе случаев, установленных ч. 1 ст. 6 ФЗ-152; l о требованиях к поручению обработки ПДн третьему лицу; l о требованиях к обработке специальных категорий ПДн и биометрических ПДн; l об исключающих случаях освобожде- ния оператора от обязанности предо- ставить субъекту ПДн сведения. • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 3 http://www.cbr.ru/StaticHtml/File/59420/20200716_in_014_56-113.pdf 4 https://regulation.gov.ru/projects#npa=106069 5 https://cbr.ru/StaticHtml/File/59420/20200708_in-014-56_110.pdf 6 https://cbr.ru/information_security/acts/ 7 https://regulation.gov.ru/projects#npa=106115 8 https://regulation.gov.ru/projects#npa=106113 9 https://regulation.gov.ru/projects#npa=106119

RkJQdWJsaXNoZXIy Mzk4NzYw