05.05.2017

Обзор проекта новой редакции 382-П

На сайте ЦБ выложен проект новой редакции Положения 382-П по защите информации в Национальной платежной системе. Новая редакция вносит следующие изменения в действующий нормативный акт Банка России:
  • Уточняется понятие инцидента ИБ, к которому теперь относятся "события, которые возникли вследствие нарушения или попыток нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, в состав которых включаются инциденты из перечня, размещаемого Банком России на официальном сайте Банка России в информационно- телекоммуникационной сети "Интернет". Ждем перечня инцидентов от FinCERTа? Пока же можно посмотреть на временный регламент передачи данных в FinCERT, в котором перечислены такие инциденты, как вредоносный код, несанкционированный доступ, эксплуатация уязвимости, DDoS, перебор паролей, фишинг, командные сервера ботнетов, вредоносный ресурс, сканирование и общая категория "другие".
  • Прикладное ПО, используемое для осуществления переводов денежных средств, должно быть сертифицировано на отсутствие уязвимостей или в отношении которого проведен анализ уязвимостей. Если быть более точным, то применяется схожая с описанным ранее ГОСТом концепция:
    • сертификация на отсутствие НДВ или сертификация по уровню ОУД4 (привет PA DSS)
    • ежегодные пентесты и анализ уязвимостей инфраструктуры (привет PCI DSS)
    • проверки уязвимостей проводится только лицензиатами ФСТЭК.
  • Уточняется порядок работ по применению СКЗИ для защиты персональных данных. Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то их применение должно соответствовать 378-му приказу ФСБ. Но не забываем, что СКЗИ не являются обязательными для обеспечения конфиденциальности ПДн, - существует и куча других методов, которые я неоднократно описывал в блоге.
  • Вводится обязательное разделение контуров подготовки и подтверждения платежных поручений, в том числе и в ДБО. Компенсирующей мерой для разделения контуров является введение ограничение на параметры операций, что является актуальным именно для физлиц, которые не захотят применять два компьютера или две виртуальных машины для проведения обычных платежей, например, с помощью мобильных устройств. Нового в этом требовании ничего нет - его давно обещали ввести. Да и в 552-П схожая конструкция применяется.
  • Вводится обязанность по информированию ЦБ об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации о инцидентах. В первом случае информирование будет осуществляться согласно порядка, опубликованного на сайте ЦБ (смотрим выше про временный регламент). Единственное, что я бы поправил, это внес в сам документ сроки уведомления (по аналогии с 552-П). А то иначе все будут забивать болт на соблюдение этих сроков, а наказать за это будет нельзя - указание срока и порядка уведомления на сайте не является нормативным актом Банка России, за несоблюдение которого можно будет наказать.
  • Исключается оценка соответствия в форме самооценки. Теперь только внешняя оценка (читай, аудит) с помощью лицензиатов ФСТЭК. Это жесткая позиция ЦБ, которая была озвучена еще на заседании ПК1 ТК122 в контексте проекта ГОСТа по оценке соответствия. Никакой отсебятины - только внешний аудит со стороны доверенных фирм. Небольшим банкам будет сложно, но увы... А учитывая, что ЦБ ужесточил недавно требования к обычным аудиторам, не исключаю, что у ЦБ и требования к аудиторам ИБ появятся тоже. Тем более, что раньше, в одной из прежних редакций проектов 382-П, такая идея уже была и реализовать ее хотели через АБИСС (сейчас таких членов всего 6). Правда, тогда ее отмели по ряду причин, но ничто не мешает к ней вернуться вновь.
  • Оператор национально значимой платежной системы обязан информировать ФСБ о применяемых СКЗИ.
Новая редакция 382-П должна быть введена с 1-го июля 2018-го года, а в части сертификации на НДВ или ОУД4 и разделения контуров - с 1-го июля 2019 года.

Можно заметить, что ничего нового по сравнению с ранее обещанным не вводится. Ну разве что применение 378-го приказа ФСБ, но формулировка используется дипломатичная, позволяющая СКЗИ для защиты ПДн не применять. Требование по уведомлению об инцидентах с одной стороны ново, а с другой - после после принятия 552-П и роста роли FinCERT это было только вопросом времени. Я на курсах с обзором новинок в области законодательства ИБ для финансовых организаций говорю про это достаточно давно.

По рынку ходят разговоры о введении требования наличия антифрода в новом проекте, но это не совсем так. Требование наличия антифрода было уже в предыдущей версии 382-П (п.2.3), а в п.2.8 (про защиту ДБО) было требование использования различных ограничений на операции. Последний вариант просто был расширен в новом проекте и стал применяться в случае отсутствия разделения контуров.

Единственным новым пунктом можно считать требование уведомлять ЦБ о проведении мероприятий по информированию клиентов об инцидентах минимум за сутки. То есть финансовая организация должна будет сообщить о проведении пресс-конференций, публикации пресс-релизов и т.п. событиях. Именно уведомить, а не согласовывать. Это важно, так как в условиях цейтнота согласовывать такие вещи с ЦБ было бы неразумной тратой времени.

ЗЫ. До 11 мая принимаются предложения и замечания по проекту данного нормативного акта. Очень удачно выбрано время для выкладывания проекта - майские праздники, отпуска... :-(

1 коммент.:

andrewz66 комментирует...

Какие-то изуверские формулировки:
"..обеспечивает применение сертифицированных АС и приложение...или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013"
Звучит так, как будто можно обойтись без сертификации ПО, проведя анализ уязвимостей. Каковы критерии качества проведенного анализа? Для ОУД4 это "AVA_VAN.3 Сосредоточенный анализ уязвимостей". Даже за рубежом картина удручающая (http://s3r.ru/2016/04/sertifikatsiya_szi/pro-analiz-uyazvimostey-v-zarubezhnyih-sistemah-sertifikatsii/), что уж говорить про РФ.