Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

Всем привет!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО).

Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли.

Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

6b79565945fbb7fb8dee04fa427b6e1c.jpg

Оговорка

Пока мы делали аналитику, появились проекты обновлений 3-х из этих 13 документов (но о трендах поговорим в 5-й статье). Хотелось бы, чтобы скорость принятий новой регуляторики вышла на новый уровень, но, полагаю, что к моменту выпуска 5-й части эта статья будет еще актуальна, поэтому сейчас рассмотрим действующую на данный момент регуляторику.

Для удобства регуляторику в финансовой отрасли делим на 2 блока: для кредитных и для некредитных организаций; еще будут общие требования.

Для понимания терминологии:

1. Кредитные 

Статья 1 ФЗ № 395–1

Кредитная организация — юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным законом. Кредитная организация образуется на основе любой формы собственности как хозяйственное общество.

Банк — кредитная организация, которая имеет исключительное право осуществлять в совокупности следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц.

Полный список действующих кредитных организаций размещен по ссылке.

2. Некредитные

Статья 76.1. ФЗ № 86-ФЗ

Некредитными финансовыми организациями признаются лица, осуществляющие следующие виды деятельности:

1) профессиональных участников рынка ценных бумаг;

2) управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

3) специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

4) акционерных инвестиционных фондов;

5) клиринговую деятельность;

6) деятельность по осуществлению функций центрального контрагента;

7) деятельность организатора торговли;

8) деятельность центрального депозитария;

9) репозитарную деятельность;

10) деятельность субъектов страхового дела;

11) негосударственных пенсионных фондов;

12) микрофинансовых организаций;

13) кредитных потребительских кооперативов;

14) жилищных накопительных кооперативов;

15) сельскохозяйственных кредитных потребительских кооперативов;

16) деятельность оператора инвестиционной платформы;

17) ломбардов;

18) оператора финансовой платформы;

19) операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;

20) операторов обмена цифровых финансовых активов.

Еще в документах упоминаются бюро кредитных историй и кредитное рейтинговое агентство.

Если ваша компания относится к какой-либо отрасли из списка — значит, вы по адресу. И если нет — тоже, ведь кто знает, куда вас приведет карьерный путь?

Итак, переведем глаза в глубины океана на 5 секунд, вытрем слёзы улыбнёмся и продолжим!

7ae4721cd0243e11499a1442fb160bd7.png

Общие требования

  1.  ГОСТ Р 57580.1–2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

Стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и формированием среды обеспечения оперативного устранения выявленных ошибок ПО и уязвимостей программы.

ГОСТ применяется любой организацией на добровольной основе или в обязательном порядке, если упоминается в нормативном документе.

Требования к практикам безопасной разработки можно найти в пункте 7.4. Он содержит описание процессов, среди которых, например, «Контроль целостности и защищенности информационной инфраструктуры» (мера «ЦЗИ»).

П.7.4.1 Применяемые финансовой организацией меры по контролю целостности и защищенности информационной инфраструктуры должны обеспечивать:

— контроль отсутствия известных уязвимостей защиты информации объектов информатизации;

— организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры;

— контроль состава и целостности ПО информационной инфраструктуры;

— регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры.

Полный набор мер «ЦЗИ» описан в пунктах 7.4.2–7.4.5.

  1. Методический документ Банка России от 2021 года Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций

Этот документ предназначен для компаний, создающих прикладное ПО автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, а также для учреждений, которые проводят сертификацию ПО на соответствие требованиям по безопасности, включая условия по анализу уязвимостей и контролю отсутствия недекларированных возможностей. К последним относятся заявители на осуществление сертификации продукции, органы по сертификации, испытательные лаборатории и организации, которые самостоятельно проводят оценку соответствия.

Документ может использоваться для разработки ПО кредитных и некредитных финансовых организаций, но только если ПО не отнесено к объектам КИИ (Критическая информационная инфраструктура).

Требования к РБПО:

В документе устанавливаются условия доверия к безопасности объекта, среди которых есть класс доверия «Оценка уязвимостей». В разделе 7.4 указаны требования к Безопасному жизненному циклу объекта. По сути, описаны Secure by Design и максимальный сдвиг влево (Shift Left). Это большой и подробный раздел, его можно открыть на странице 140 и изучить всё.

Напомню, что методический документ становится обязательным только при отсылке на него в обязательном к исполнению документе (в данном случае, в Положении БР).

  1. Положение Банка России от 17.10.2022 N 808-П О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций…

Положение устанавливает:

— обязательные для лиц, оказывающих профессиональные услуги на финансовом рынке, требования к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций;

— требования к обеспечению бюро кредитных историй защиты информации;

— требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.

Что по РБПО:

П.2.4. Бюро кредитных историй должны использовать для обработки, хранения и передачи информации прикладное ПО автоматизированных систем, прошедших сертификацию в соответствующей системе федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, или оценку соответствия по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408–3–2013.

  1. Методические рекомендации Банка России от 30.09.2024 № 16-МР по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме

Совсем свежее. Еще месяца нет.

Методические рекомендации разработаны в целях обеспечения единства подходов к организации взаимодействия их информационных систем с инфраструктурой Госуслуг. Документ может использоваться кредитными и некредитными финансовыми организациями при подключении к Госуслугам/ЕСИА.

А тут что по РБПО?:

П.2.8. Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

Требования для кредитных организаций

  1. Положение Банка России от 17.04.2019 № 683-П Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

Требования применяются для обеспечения защиты информации в автоматизированных системах по переводу денежных средств.

Требования к РБПО:

П.3.1. Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

П.3.2. Положения устанавливает ежегодный анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

П.4.1. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее — ОУД) не ниже чем ОУД 4.

При этом ОУД4 содержит обязательное требование по проведению анализа уязвимостей.

  1. Положение Банка России от 08.04.2020 N 716-П О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Кредитная организация и головная кредитная организация банковской группы должны организовать управление операционным риском в соответствии с настоящим Положением.

П. 1.4. Кредитная организация (головная кредитная организация банковской группы) для целей унификации управления операционным риском выделяет виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском (далее выдержка):

риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.

 Требования к РБПО найдены в главах 7 и 8 Положения:

В Главе 7. «Управление риском информационной безопасности» содержится требование о ежегодном тестировании на проникновение и анализе уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения Банка России N 683-П.

В Главе 8. «Управление риском информационных систем» содержится требование о ежегодном тестировании уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также разработка комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.

  1. Положение Банка России от 12.01.2022 N 787-П Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

Положение устанавливает обязательные для кредитных организаций требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

Требования к РБПО:

П. 6.1. Кредитные организации в отношении элементов, являющихся значимыми объектами критической информационной инфраструктуры, должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ.

П 6.2. Кредитные организации должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:

— управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;

— управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

  1. Положение Банка России от 25.07.2022 N 802-П О требованиях к защите информации в платежной системе Банка России

Данные требования должны выполнять прямые участники платежной системы Банка России, являющиеся участниками обмена и кредитными организациями (их филиалами) (далее — участники обмена), являющиеся международными финансовыми организациями, а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (ОПКЦ СБП), оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (ОУИО СБП).

Меры из РБПО:

П.3 Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

  1. Положение Банка России от 03.08.2023 № 820-П О платформе цифрового рубля

Положение устанавливает требования к участникам платформы цифрового рубля, пользователям платформы цифрового рубля.

Требования РБПО:

П.2.1. При совершении операций с цифровыми рублями в рамках платформы цифрового рубля участники платформы выполняют требования к обеспечению защиты информации, устанавливаемые Банком России на основании пункта 7 части 1 статьи 30.7 Федерального закона N 161-ФЗ. Такими требованиями являются требования, утвержденные Положением Банка России от 07.12.2023 № 833-П (обзор далее).

  1. Положение Банка России от 17.08.2023 № 821-П требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Положение устанавливает требования к обеспечению операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ защиты информации при осуществлении переводов денежных средств, а также порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.

Требования к РБПО:

П.1.1 (абзац 2) Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

П.1.1 (абзац 3) Положения указывает на обязательное выполнение ежегодного тестирования на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

П.1.2 устанавливает необходимость применения прикладного ПО, прошедшего оценку соответствия по требованиям к оценочному уровню доверия (далее — ОУД) не ниже, чем ОУД 4.

При этом ОУД4 содержит обязательное требование по проведению анализа уязвимостей.

П.9.1. При обеспечении безопасности объектов информационной инфраструктуры, которые являются объектами КИИ, применяются в том числе требования к КИИ, установленные ФСТЭК России и ФСБ России.

Требования к КИИ, содержащие требования по безопасной разработке будут рассмотрены в следующей статье.

  1. Положение Банка России от 07.12.2023 № 833-П О требованиях к обеспечению защиты информации для участников платформы цифрового рубля

Положение устанавливает требования к обеспечению защиты информации для участников платформы цифрового рубля.

О РБПО:

П.4.1 Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

П.1 Требований (приложение к Положению) устанавливает требования к процессу разработки, тестирования и эксплуатации приложения клиента (иметь документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение клиента).

П.2 Требований (приложение к Положению) устанавливает требования к безопасности приложения клиента.

П.3 Требований (приложение к Положению) устанавливает организационно-технические меры, направленные на соответствие требованиям к безопасности мобильного приложения.

Требования для некредитных организаций:

  1. Положение Банка России от 20.04.2021 № 757-П Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций

Требования применяются для обеспечения защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций.

Что по РБПО:

П.1.4. Положения указывает на обязательное выполнение ГОСТ Р 57580.1–2017, в котором есть такие меры защиты как «контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации», «контроль размещения, хранения и обновления ПО информационной инфраструктуры», «контроль состава и целостности ПО информационной инфраструктуры» (Код мер — ЦЗИ.Х).

П.1.4.5. Некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации (далее при совместном упоминании — некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации), должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

П.1.8. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» или оценку соответствия по требованиям к оценочному уровню доверия (далее — ОУД) не ниже, чем ОУД 4.

При этом ОУД4 содержит обязательное требование по проведению анализа уязвимостей.

  1. Положение Банка России от 15.11.2021 N 779-П Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)

Положение устанавливает обязательные для некредитных финансовых организаций требования к операционной надежности.

О РБПО:

П. 1.5. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении управления изменениями критичной архитектуры:

— управление уязвимостями в критичной архитектуре…;

— управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры некредитных финансовых организаций.

Многовато требований, но деньги любят счет, а что мы будем считать если финансовые компании не на должном уровне будут защищать свои продукты, через которые проходят такие важные операции.

В следующей статье поговорим о не менее важной сфере — критической информационной инфраструктуре.

Кстати, как отмечала в первой статье, если ваш продукт не только финтех, но и объект КИИ, то смотрите для себя еще и требования к защите КИИ.

Если что-то не попало в обзор, делитесь информацией в комментариях!

P.s. кому доводилось принимать участие в нормотворческой деятельности, знают как это не просто сложить буквы в слова, а слова в предложения так, чтобы максимально учесть все нюансы в минимуме текста, но пока что видим, что получается то, что получается. И все-таки хочется верить и призвать, чтобы при разработке требований (и вообще при любой коммуникации, кроме книг, конечно) текст максимально упрощался для «потребителя» этой информации и снимал и без того огромную когнитивную нагрузку с конечного пользователя (разработчика, безопасника и etc.).

© Habrahabr.ru