Положение Банка России № 683‑П: как адаптироваться к новым требованиям
До обновления положения № 683‑П требовалось сертифицировать ПО на отсутствие недокументированных возможностей или проводить анализ уязвимостей по ОУД4 (четвертый оценочный уровень доверия). Для этого нужна была помощь лицензиатов ФСТЭК.
С 1 января 2023 года вместо этого кредитные организации должны делать оценку соответствия прикладного ПО по ОУД4. Альтернатива — сертифицировать ПО согласно приказу ФСТЭК № 76
Теперь нужно смотреть весь процесс безопасной разработки в банке и анализировать его, а не только проверять систему на уязвимости.
Оценку соответствия прикладного ПО можно проводить самостоятельно, если у компании достаточно компетенций. Привлекать лицензиатов ФСТЭК необязательно. Важно: результат не должен оценивать сотрудник, который участвует в разработке ПО. Чтобы обеспечить независимую оценку, ПО может проверять аудитор, специалист по кибербезопасности, внешний эксперт, но не сам разработчик.
Выделяется две основные технологии:
- Целостность электронных сообщений. Она достигается за счет УКЭП (усиленная квалифицированная электронная подпись), УНЭП (усиленная неквалифицированная электронная подпись) или СКЗИ (средство криптографической защиты информации) с имитозащитой. Альтернативный допустимый способ — выделение отдельных сегментов контуров безопасности.
- Идентификация параметров. Речь идет об идентификации устройств клиента, его номера телефона (при использовании мобильного банковского приложения), электронной почты (куда будут поступать заказанные документы: справки, выписки и пр.), а также о подтверждении операции от пользователя. Это реализуется с помощью антифрод‑систем. Также такая функция может быть встроена в сами прикладные системы.
Теперь пользователи вправе самостоятельно определить, какие операции они запрещают проводить. Также можно установить лимит для каждой услуги или указать максимальную сумму за определенный период
Это требование должно выполняться в соответствии с положением № 716‑П
Как минимум нужно зафиксировать в ВНД порядок того, как:
- идентифицировать и оценивать риски, структурировать и обновлять необходимые для этого данные;
- отслеживать произошедшие инциденты и их последствия;
- определять потери и возмещать их;
- проводить ежегодную переоценку рисков;
- реагировать на инциденты.
В положении 683-П до обновлений уже было требование уведомлять ЦБ о выявленных инцидентах. Вместе с этим с 2023 года нужно сообщать и о мерах реагирования на них: что сделано, чтобы локализовать инцидент, устранить угрозу и исправить последствия.
Если компания собирается поделиться информацией о произошедшем инциденте (например, в СМИ, социальных сетях, на конференции и пр.), то она обязана проинформировать ЦБ об этом как минимум за один рабочий день до публичного сообщения.
Еще компания должна уведомить ЦБ о своих сайтах, которые используются для осуществления банковской деятельности, и в будущем информировать, если такие будут появляться.
Для соблюдения актуального законодательства не получится ограничиться только положением № 683‑П. Оно связано с другими нормативными документами, учитывать которые обязательно.
Так, оценка по 683‑П не освобождает от оценки по ГОСТ Р 57580.2‑2018
Если кредитная организация относится к субъектам, на которые распространяется действие закона № 187‑ФЗ
Шаг 1. Проведите GAP‑анализ: выявите, что из новых требований пока не реализовано и с чем предстоит поработать до шага 5. Это удобнее делать на основе сравнения с предыдущей оценкой, если она проводилась.
Шаг 2. Актуализируйте ВНД, если она не соответствует новым требованиям.
Шаг 3. Закупите и внедрите технические решения, средства защиты и другие необходимые системы.
Шаг 4. Проведите оценку по ОУД4.
Шаг 5. Проведите аудит или самооценку по положению № 683‑П (самостоятельно или с привлечением сторонней организации).
Шаг 6. Обеспечьте оценку соответствия по ГОСТу (не реже одного раза в два года и только силами сторонней организации).
Шаг 7. Проинформируйте регулятора о результатах проведения оценки соответствия и о работе с инцидентами.
Порой организации решают не выполнять предписания, если суммы штрафов ниже, чем затраты на изменения системы.
В данном случае такой подход неприменим. И дело не только в размере штрафов, который составляет до 0,1% от уставного капитала. Компания, которая сознательно игнорирует требования или не находит времени обновить систему для соответствия положению № 683‑П, берет на себя риски сразу по нескольким векторам.
- Возникают уязвимости. Положение № 683‑П предполагает проведение внутреннего аудита, во время которого могут быть выявлены слабые места в защите. После такой проверки легче будет устранить их и усилить безопасность компании.
- Увеличивается вероятность денежных потерь. Злоумышленники постоянно совершенствуют атаки. Если не актуализировать систему защиты от них, мошеннические списания могут происходить чаще.
- Возрастают репутационные риски. Информация об утечках данных или других киберинцидентах распространяется очень быстро, рейтинг компании падает, что грозит новыми убытками.
Адаптироваться под требования положения 683‑П можно своими силами: это обойдется сравнительно недорого, но цена компенсируется большими затратами сил и времени. Другой вариант — привлечь консультантов, что ускорит процесс, но выйдет дороже. Чтобы сэкономить время и деньги при оценке соответствия, можно подключить автоматизированную систему.
С помощью специализированных решений с электронными таблицами, формами, опросниками и пр. удобно собирать данные. Вся накопленная информация хранится структурированно и легко встраивается в аналитику при повторных срезах. Оценка рассчитывается по заполненным формам автоматически, поэтому сотрудники почти не тратят силы на рутинную деятельность, а аудит занимает в 3–5 раз меньше времени. При этом стоимость таких решений получается ниже, чем при сборе и анализе данных непосредственно усилиями сторонних специалистов.
Пример такого решения — BI.ZONE Compliance Platform. Платформа оптимизирует процессы и позволяет непрерывно поддерживать соответствие требованиям нормативно‑правовых актов. Ее особенность — в контроле качества аудита: платформа проводит отчетную документацию через экспертов группы кибербезопасности для финансовой сферы, чтобы устранить возможные недочеты.
Следует помнить, что такое решение не даст оценку по ГОСТу — для этого нужно привлекать лицензиатов ФСТЭК. Но зато вы сможете провести оценку соответствия по положению 683‑П без внешних экспертов и оплаты их услуг. А самостоятельное использование автоматизации сократит трудозатраты и общее время работы.