Правила игры для банков продолжают меняться
Положение Банка России №683-П - ключевой нормативно-правовой акт (НПА), регулирующий информационную безопасность и защиту информации в кредитных организациях. Оно принято еще в июне 2022 г., но полное вступление в силу произойдет только с 1 января 2023 г.
Прежняя версия положения №683-П полностью дублировала ряд норм из утратившего силу положения №382-П. Также, как отметил руководитель группы кибербезопасности в финансовой сфере BI.ZONE Артем Назаретян в ходе вебинара "Новое в положении Банка России №683-П", устранен ряд нестыковок с законодательством и прочими НПА, касающимися защиты объектов критической информационной инфраструктуры (КИИ).
Директор технического департамента RTM Group Федор Музалевский также обращает внимание на устранение противоречий с другими документами, такими как 719-П: "В частности, относительно работ по ОУД4 - теперь банки однозначно должны проверять не только саму систему дистанционного банковского обслуживания (ДБО) на уязвимости, но и оценивать процесс разработки. Также дано послабление: банки могут делать это самостоятельно, не прибегая к услугам сторонних аудиторов. Это не сможет не сказаться негативно на качестве и строгости проверок. Фактически контроль за безопасностью мобильного банкинга отдан самим разработчикам, что недопустимо".
По оценке руководителя направления по работе с клиентами Aktiv.Consulting Олега Симакова, речь идет о своевременных технических уточнениях. Также ЦБ связал меры по реагированию с системой управления рисками ИБ по положению 716-П.
Директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS Станислав Шилов обращает внимание, что требования к банкам серьезно ужесточились: "Это касается и процессов, и технических требований. Видно, что новые регуляции в целом следуют в русле более строгого контроля за выполнением банками требований по ИБ, а также адресуют отдельные актуальные угрозы - например, требование о контроле банками принадлежности мобильного телефона физлицу".
Одним из ключевых нововведений положения №683-П, как напомнил Артем Назаретян, которое вступает в силу с 1 января 2023 г., является то, что соответствие ГОСТ Р 57580 может подтверждать только внешний аудитор, который должен иметь лицензию от ФСТЭК. Раньше было достаточно самопроверки. Олег Симаков полагает, что наибольшие сложности вызывает сертификация программного обеспечения автоматизированных систем в системе ФСТЭК России, так как это достаточно длительный по времени процесс, к тому же требующий привлечения высококвалифицированных специалистов от разработки и ИБ.
Еще одним важным новшеством, по оценке Артема Назаретяна, является то, что при уведомлении об инциденте необходимо уведомлять регулятора не только о самом факте, но и о мерах реагирования. Также Центральный банк необходимо уведомлять о мерах по раскрытию информации через СМИ и интернет.
Также необходимо защищать любую информацию, необходимую для переводов денежных средств. При этом, как обратил внимание Артем Назаретян, требуется идентификация не только номера телефона и устройства клиента, но и его адреса электронной почты. Также вводится требование использования усиленной электронной подписи или средств криптографической защиты для обеспечения целостности электронных сообщений.
Как предупреждает Федор Музалевский, данные требования могут оказаться трудновыполнимыми или вообще невыполнимыми: "Требование по использованию криптографии ставит "вне закона" SMS и push-уведомления, требуя гостовского шифрования и идентификации устройства клиентов, что труднореализуемо - а на iPhone нереализуемо вовсе. Это ставит банки в парадоксальную ситуацию - требование есть, а возможности его выполнить нет".
Станислав Шилов считает, что наибольшие трудности, как показывает опыт, вызывает ужесточение требований по обеспечению целостности электронных сообщений. Формулировка "буквы" требований такова, что целый ряд упрощенных технологических решений, которые банки использовали в массовом сегменте (например, SMS-подпись в решениях для физических лиц), оказываются не соответствующим регуляциям.