Вопрос: У кредитных организаций возникли вопросы, касающиеся информационной безопасности и соблюдения требований нормативных правовых актов в области обеспечения защиты информации.
В частности, кредитные организации предлагают регулятору высказать позицию относительно перспектив использования аутсорсинга информационной безопасности и страхования киберрисков, а также разъяснить порядок исполнения требований к применению средств криптографической защиты информации (СКЗИ).
Приложение: на 6 л. в 1 экз.
Приложение
Вопросы и предложения кредитных организаций по вопросам
информационной безопасности
1. В настоящее время в Государственной Думе Федерального Собрания Российской Федерации рассматривается законопроект N 404786-8 <1>, направленный на возможность применения ИТ-аутсорсинга и облачных сервисов. Кредитные организации предлагают сообщить:
- позволит ли принятие законопроекта N 404786-8 реализовать сервисную модель оказания услуг кибербезопасности в целях повышения доступности сервисов информационной безопасности для небольших банков;
- в соответствии с Требованиями к СКЗИ <2>, утвержденными ФСБ России по согласованию с Банком России, системное ПО не должно содержать модулей, использующих технологию аппаратной виртуализации физических ресурсов. Это означает, что в отношении такого ПО фактически не может применяться облачная модель оказания услуг. Планирует ли Банк России инициировать пересмотр указанных Требований к СКЗИ, чтобы разрешить применение технологии аппаратной виртуализации и, как следствие, облачной модели оказания услуг в отношении ряда ПО, используемого в финансовых организациях?
--------------------------------
<1> Законопроект N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации" (в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями).
<2> Требования к средствам криптографической защиты информации в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSM модулях), платежных картах и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в п. 2.20 Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", утверждены ФСБ России 28.02.2020 N ФТ-56-3/32.
2. Положениями N 683-П <3> и N 757-П <4> установлены требования к защите информации (ЗИ) при осуществлении банковской деятельности и деятельности в сфере финансовых рынков соответственно, а также к оценке соответствия уровня ЗИ по методике, определенной положениями ГОСТ Р 57580.2-2018 <5>.
--------------------------------
<3> Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
<4> Положение Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
<5> Национальный стандарт Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".
Оценка уровня соответствия ЗИ проводится на основе сравнения результирующей числовой оценки выполнения требований к организационным и техническим мерам ЗИ, а также к планированию, реализации, контролю и совершенствованию процесса ЗИ финансовой организации с нормативными показателями, указанными в п. 7.9 ГОСТ Р 57580.2-2018. Например, кредитные организации согласно п. 9.2 Положения N 683-П с 01.01.2023 обязаны обеспечить уровень соответствия не ниже четвертого, что соответствует числовому показателю не менее 0,85.
В этой связи допустимо ли для финансовой организации выполнение требований Положений N 683-П и N 757-П не в полном объеме, в случае если данный факт не повлияет на достижение нормативно установленного уровня соответствия требованиям к ЗИ?
3. При реализации разработчиком безопасного жизненного цикла, указанного в разд. 7.4 Профиля защиты <6>, финансовая организация вправе перейти от выполнения требований к оценочному уровню доверия <7> ПО к соблюдению методологии безопасного жизненного цикла ПО.
--------------------------------
<6> Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций.
<7> В соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".
При этом Профиль защиты построен на базе каскадной модели, в которой процесс разработки ПО выглядит как поток, состоящий из последовательных фаз анализа требований, проектирования, реализации, тестирования, интеграции и поддержки. В настоящее время такой подход практически не используется разработчиками, которые перешли на более гибкую методологию непрерывной разработки (например, CI/CD <8>). Кроме того, Профиль защиты не может применяться в отношении ЗОКИИ. Все это существенно ограничивает его практическую применимость.
--------------------------------
<8> Continuous integration / continuous delivery - непрерывная интеграция и непрерывное развертывание.
В этой связи в целях расширения возможностей кредитных организаций по применению Профиля защиты возникли следующие вопросы:
- в какие сроки Банк России планирует пересмотреть требования разд. 7.4 Профиля защиты с точки зрения их адаптации и синхронизации с современными методологиям гибкой и непрерывной разработки ПО, а также распространить их действие на ЗОКИИ;
- рассматривает ли Банк России возможность применения разд. 7.4 Профиля защиты для целей признания разработанного согласно требованиям данного раздела ПО соответствующим критериям импортозамещения, чтобы его можно было использовать наряду с ПО, включенным в реестр <9> Минцифры России?
--------------------------------
<9> Единый реестр российских программ для электронных вычислительных машин и баз данных.
4. В соответствии с п. 5 ч. 2 ст. 6 Закона N 572-ФЗ <10> Минцифры России распространяет на безвозмездной основе для физических и юридических лиц шифровальное (криптографическое) средство для целей работы с биометрией. Планирует ли Банк России участвовать в создании и распространении среди финансовых организаций таких средств в целях обеспечения защиты устройств клиентов, с которых осуществляется фотографирование для целей аутентификации по биометрии?
--------------------------------
<10> Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".
5. В соответствии с требованиями п. 5.1 Положения N 683-П кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом с использованием усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения и имеющих сертификат соответствия требованиям ФСБ России.
Кредитные организации отмечают, что при встраивании такого СКЗИ в мобильные приложения (МП) требуется проведение длительной процедуры оценки влияния <11>, которая длится более 7 - 9 месяцев, а также проведение последующих проверок при внесении любых изменений в МП. При этом, учитывая высокую частоту обновлений МП, реализация данного требования на практике приводит к значительным издержкам и трудозатратам кредитных организаций.
--------------------------------
<11> В соответствии с Приказом ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
В этой связи предлагается рассмотреть возможность применения для указанных выше целей СКЗИ, не имеющих сертификат соответствия требованиям ФСБ России, что позволит не проводить формальные процедуры оценки влияния и упростит реализацию принципов непрерывной разработки. При этом уровень безопасности фактически не изменится, так как реализация такими СКЗИ функции имитозащиты информации будет по-прежнему обеспечена.
Аналогичный подход предлагается применить также при встраивании программного модуля Платформы цифрового рубля Банка России в МП банков.
6. В соответствии с требованиями п. 1.2 Указания N 6541-У <12> предусмотрена обязанность применения СКЗИ класса КС2 в сценариях использования биометрии для банкоматов и диспенсеров талонов очередей. По мнению ряда кредитных организаций, применение таких требований к указанным устройствам является избыточным и приводит к значительным издержкам на обеспечение установленного уровня безопасности. В целях митигации возможных рисков банками уже применяются организационно-технические меры защиты. В частности, в отношении банкоматов осуществляются дополнительные меры, связанные с контролем вскрытия корпуса и отсутствием внешних интерфейсов подключения, а диспенсеры талонов очередей всегда располагаются в пределах контролируемой зоны и не используются для дальнейших юридически значимых операций.
--------------------------------
<12> Указание Банка России от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами".
В этой связи в целях оптимизации нагрузки на кредитные организации, особенно в условиях импортозамещения средств защиты информации, в сценариях использования биометрии для банкоматов и диспенсеров талонов очередей предлагается рассмотреть возможность применения СКЗИ более низкого класса КС1.
7. В соответствии с требованиями Закона N 572-ФЗ и Указания N 6541-У в биометрические POS-терминалы (биоPOS-терминалы) должны быть встроены сертифицированные СКЗИ для проверки электронной подписи и шифрования обрабатываемых биометрических персональных данных (бПДн). В настоящее время по требованиям ФСБ России <13> период действия закрытых ключей СКЗИ POS-терминалов ограничен сроком 1 год и 3 месяца, при этом срок использования POS-терминалов гораздо больше и в среднем составляет 7 - 10 лет. По этой причине кредитным организациям за время использования терминала приходится несколько раз получать ключи СКЗИ, что влечет за собой значительные трудовые и финансовые издержки.
--------------------------------
<13> Функционально-технические требования к техническим средствам и программному обеспечению, реализующим СКЗИ в платежных устройствах с терминальным ядром, утверждены Банком России 28.02.2020 N ФТ-56-3/33.
В этой связи кредитные организации предлагают рассмотреть возможность увеличения срока действия ключей для СКЗИ, применяемых в составе биоPOS-терминалов. Такая мера не приведет к снижению защищенности биоPOS-терминалов, так как их применение производится со строгим соблюдением дополнительных требований по защите обрабатываемой информации в рамках сертификации по требованиям международного стандарта PCI PTS POI <14>. Данный стандарт предусматривает невозможность доступа пользователей и администраторов к настройкам и файловым ресурсам устройств, применение специальных механизмов уничтожения информации, в том числе закрытых ключей СКЗИ, при вскрытии корпуса биоPOS-терминала, а также штатное отключение гарантированным способом функциональности биоPOS-терминалов при сбоях.
--------------------------------
<14> Стандарт безопасности Payment Card Industry Security Standards Council (PCI SSC) "PIN Transaction Security. Point of Interaction".
Кроме того, в целях совершенствования процедур работы биоPOS-терминалов и снижения излишней административной нагрузки предлагается отменить требование по их обязательной ежедневной перезагрузке.
8. Кредитные организации заинтересованы в развитии страхования киберрисков и в этой связи предлагают Банку России рассмотреть и оценить возможность реализации инициативы об увеличении ответственности операторов персональных данных (ОПДн) перед гражданами за утечки их персональных данных и установлении требования по страхованию киберрисков и (или) оформлению банковской гарантии в качестве обязательного условия получения статуса ОПДн. В этом случае страховая компания или банк будут заинтересованы в высоком уровне защиты данных на стороне ОПДн, будут проводить его оценку и давать рекомендации по мероприятиям, направленным на его повышение.
Ответ: Департамент информационной безопасности Банка России (далее - ДИБ) рассмотрел обращение по вопросам информационной безопасности и соблюдения требований нормативных актов в области обеспечения защиты информации и сообщает следующее.
По вопросу 1. Проектом федерального закона N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации" планируется внесение изменений в законодательство Российской Федерации, направленных на снятие ограничений, связанных с передачей охраняемых законом видов тайн на аутсорсинг. Предполагается, что положения законопроекта будут распространяться в том числе на случаи использования организациями финансового рынка облачных услуг по обеспечению информационной безопасности.
С учетом широко признанных практик <1> применение кредитными организациями облачного решения, реализующего функции аппаратного модуля безопасности информационной инфраструктуры платежной системы (HSM модуля), на текущем этапе не рассматривается в качестве допустимого сценария аутсорсинга в рамках осуществления переводов денежных средств.
--------------------------------
<1> В частности, документы The Payment Card Industry Security Standards Council.
По вопросу 2. Требование о реализации уровня защиты информации, предусмотренного национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", является одним из набора требований, установленных Положением Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" и Положением Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
Выполнение указанного требования не влияет на необходимость выполнения иных требований, установленных указанными нормативными актами Банка России.
По вопросу 3. В настоящее время ДИБ располагает недостаточными данными относительно практики применения положений раздела 7.4 Профиля защиты <2>, в котором изложены требования к гибкой безопасной разработке, тестированию и внедрению прикладного программного обеспечения автоматизированных систем с соблюдением требований положений нормативных актов Банка России.
--------------------------------
<2> С учетом Информационного письма Банка России от 02.02.2022 N ИН-014-56/5 о разработке нового раздела 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций".
В целях разработки и внедрения безопасных программных продуктов при сохранении гарантированного и достаточного уровня защищенности прикладного программного обеспечения автоматизированных систем и приложений, используемых при осуществлении финансовых (в том числе банковских) операций, ДИБ рекомендует использовать новый раздел документа.
При этом в рамках сопровождения Профиля защиты ДИБ ориентируется на выпускаемые, а также планируемые к выпуску национальные стандарты Российской Федерации по разработке безопасного программного обеспечения, работа над которыми ведется в техническом комитете по стандартизации N 362 "Защита информации", а также на международные стандарты и лучшие практики.
В связи с изложенным пересмотр раздела 7.4 Профиля защиты в части расширения случаев применения, а также рассмотрение возможности использования оценки с учетом положений раздела 7.4 Профиля защиты для допуска программного обеспечения к использованию наряду с программным обеспечением, включенным в реестр Минцифры России, планируется осуществлять после апробации применения финансовыми организациями подходов к безопасной разработке программного обеспечения и приложений согласно перспективным правовым условиям.
По вопросу 4. Распространение на безвозмездной основе для физических и юридических лиц шифровального (криптографического) средства, соответствующего требованиям к шифровальным (криптографическим) средствам, указанным в части 1 статьи 19 Федерального закона от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон N 572-ФЗ), относится к полномочиям Минцифры России.
Участие со стороны Банка России в создании и распространении среди финансовых организаций таких средств не планируется.
По вопросу 5. В соответствии с пунктом 6.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" в том случае, если кредитная организация применяет средства криптографической защиты информации (далее - СКЗИ) российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности (далее - ФСБ России). При этом необходимость проведения оценки влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований определяется требованиями технической документации на СКЗИ и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 09.02.2005 N 66.
Необходимость проведения работ по оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование программного модуля Банка России (далее - ПМ БР), на выполнение предъявленных к входящему в его состав СКЗИ требований определяется пунктом 6 Положения Банка России от 07.12.2023 N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля".
Дополнительно отмечаем, что Банком России разработан стандарт платформы цифрового рубля "Порядок проведения работ по оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование ПМ БР, на выполнение предъявленных к входящему в его СКЗИ требований", который позволяет оптимизировать процесс взаимодействия кредитной организации - участника платформы цифрового рубля и аккредитованной ФСБ России испытательной лаборатории с ФСБ России, а также сократить сроки проведения оценочных процедур относительно "стандартного" подхода к оценке.
На текущем этапе рассмотрение вопроса о пересмотре подхода к проведению оценки влияния для всех случаев применения СКЗИ в приложениях кредитных организаций ДИБ полагает преждевременным ввиду недостатка накопленной информации о применении на практике подхода по оптимизации взаимодействия кредитной организации и аккредитованной ФСБ России испытательной лаборатории с ФСБ России.
По вопросу 6. Указание Банка России от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами" (далее - Указание Банка России N 6541-У) определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, указанных в части 1 статьи 3 Федерального закона N 572-ФЗ и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных.
В соответствии с частью 3 статьи 16 Федерального закона N 572-ФЗ обработка биометрических персональных данных в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается при одновременном выполнении условий, включающих использование шифровального (криптографического) средства, определенного пунктом 5 части 2 статьи 6 данного Федерального закона, либо шифровальных (криптографических) средств, позволяющих обеспечить безопасность персональных данных от угроз, определенных в том числе Указанием Банка России N 6541-У.
Необходимость применения СКЗИ определенных классов обусловлена целью обеспечить конфиденциальность и целостность биометрических персональных данных на уровне, пропорциональном рискам компрометации или подмены биометрических персональных данных (в результате реализации которых для субъекта персональных данных могут возникнуть значимые негативные последствия).
С учетом технической возможности применения на стационарных средствах вычислительной техники СКЗИ класса КС 2 пересмотр перечня угроз, установленных Указанием Банка России N 6541-У, не планируется.
По вопросу 7. Разделом 2 функционально-технических требований, утвержденных Банком России 28.02.2020 N ФТ-56-3/33, определен закрытый перечень платежных устройств с терминальным ядром, которые входят в область применения указанных функционально-технических требований.
Указанный перечень не включает биоPOS-терминалы, в связи с чем ДИБ полагает, что в случае размещения закрытых ключей в неизвлекаемой области памяти биоPOS-терминала срок действия закрытых ключей может совпадать со сроком эксплуатации биоPOS-терминала.
По вопросу 8. В настоящее время в Государственной Думе Федерального Собрания Российской Федерации готовится ко второму чтению проект федерального закона N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
В связи с этим полагаем, что основным инструментом стимулирования заинтересованности операторов персональных данных в высоком уровне защиты данных будет являться вышеуказанный законопроект, так как наряду с установлением штрафов он предусматривает условия, при которых для организаций снижается размер штрафа.
В условиях перспективных изменений в Кодекс Российской Федерации об административных правонарушениях инициатива об установлении требования по страхованию киберрисков и (или) оформлению банковской гарантии в качестве обязательного условия получения статуса оператора персональных данных может создать дополнительную регуляторную нагрузку для операторов персональных данных.
Дополнительно отмечаем, что проведение оценки защиты данных на стороне операторов персональных данных не является профильной деятельностью страховой или кредитной организации. ДИБ полагает, что на текущем этапе у указанных организаций недостаточно инструментов для принятия обоснованных решений об уровне киберриска, присущего деятельности оператора персональных данных.
Вместе с тем ДИБ планирует принимать активное участие в рамках проработки вопросов развития страхования киберрисков, включая указанную инициативу.
Заместитель директора Департамента
информационной безопасности
А.О.ВЫБОРНОВ
02.04.2024