Микрофинансовые организации: соответствование новым требованиям ФСТЭК и Банка России. Полный гайд от Б-152
С 1 октября 2024 года ожидаются изменения в части определения уровня уровня защиты информации для МФО и МКК. При несоответствии требованиям рассматриваются санкции вплоть до исключения из реестра. В любом случае внимание Банка России к информационной безопасности МФО и МКК усиливается. Это связано не только с высокой частотой атак и утечек ПДн, но и с жалобами клиентов МФО и МКК.
Как привести информационные системы МФО/МКК в соответствие требованиям Банка России, ФСТЭК и ФСБ и при этом оптимально распределить расходы на выстраивание процессов по защите информации? Читайте в нашей статье
Деятельность МФО/МКК (дальше будем использовать общий термин МФИ — микрофинансовые институты) в сфере информационной безопасности и сохранности персональных данных регламентируется рядом законов и подзаконных актов.
Обозначим их ландшафт:
Основной ФЗ для МФИ – Федеральный закон от 2 июля 2010 г. N 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» (далее – ФЗ-151).
Кроме того, не менее важным нормативно-правовым актом для МФИ является Федеральный закон № 86-ФЗ от 10.07.2002 «О Центральном банке Российской Федерации (Банке России)» (далее – ФЗ-86). В рамках данного закона МКК и МФО отнесены к некредитным финансовым организациям (НКО) (ст. 76.1). Следовательно на них возлагается обязанность исполнения ст. 76, в том числе частей статьи, в которых прописана обязанность МФИ:
– обеспечить защиту информационных систем (ст. 76.4-1),
– обеспечить операционную надежность (ст. 76.4-2),
– провести импортозамещение всех средств вычислительной техники и используемого системного и прикладного ПО (ст. 76.4-3),
– обеспечить выполнение требований по защите критической информационной инфраструктуры согласно ФЗ-187 (ст. 76.4-4).
Контроль за исполнением
Важно отметить, что на уровне федеральных законов закреплено проведение Банком России плановых и внеплановых проверки, в том числе дистанционно (контрольное мероприятие, осуществляемое дистанционно с использованием информационно-коммуникационных технологий).
Одним из поводов проверки МФИ Банком России являются жалобы клиентов.
В ходе проверки представители Банка России могут выявить нарушения в выполнении ст. 76.4 ФЗ-86, и подзаконных актов, таких как:
– Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
– Положение Банка России от 15 ноября 2021 г. № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76 1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)»
Но если обратиться к Положению Банка России от 20 апреля 2021 г. № 757-П, то в явном виде прописана обязанность НКО защищать персональные данные, а это уже требования Приказа ФСТЭК № 21, а при применении средств криптографической защиты информации – требования ФСБ по эксплуатации СКЗИ, в том числе и в целях защиты ПДн.
Также необходимо отметить, что Роскомнадзор, несмотря на введенный мораторий на плановые проверки, проводит мероприятия по контролю без взаимодействия c контролируемыми лицами и внеплановые проверки в случае жалоб субъектов ПДн и утечек ПДн. В рамках проводимых мероприятий по контролю без взаимодействия c контролируемыми лицами РКН проводит проверку сайта на предмет выполнения требований ФЗ-152.
Уже на данный момент МФИ должны соответствовать довольно внушительному пулу требований связанному как с защитой информации, так и с защитой персональных данных.
Изменения в законодательстве
С 2024 года начались значительные изменения в законодательстве, регулирующем деятельность МФИ. В феврале 2024 года вступили в силу изменения в Федеральном законе № 151, касающиеся обработки обращений граждан (ст. 9.1.).
Но самые значительные изменения связаны с системой защиты информации.
Предположительно с 1 октября 2024 года МФИ уже могут подпадать под минимальный уровень защиты информации. У нас пока нет конкретной даты, но то, что изменения вступят в силу - сомнений нет. Проект этих изменений уже прошел рассмотрение, и осталось только дождаться их вступления в силу.
Несмотря на то, что по ГОСТ 57580.1 всего 114 требований, минимальный уровень защиты обязует выполнять большинство требований Положения Банка России от 15 ноября 2021 года № 779-П «Об установлении обязательных требований к операционной надежности некредитных финансовых организаций при осуществлении видов деятельности, предусмотренных Федеральным законом от 10 июля 2002 года № 86-ФЗ »О Центральном банке Российской Федерации (Банке России)", для обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)".
Это также означает необходимость разработки плана выполнения ГОСТ Р 57580.4−2022, включающего в себя выбор и применение организационных и технических мер, направленных на обеспечение рекомендуемых уровней защиты операционной надежности. Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности 7-МР от 21.03.2024 определяют срок реализации требований ГОСТ 57580.4−2022 до 31 декабря 2027 года.
Таким образом, система защиты, разрабатываемая в МФИ, должна будет соответствовать всем требованиям регуляторов, таких как Банк России, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).
Если проигнорировать вопрос реализации мер защиты информации, в том числе персональных данных, то можно получить предписание Банка России или вовсе лишиться регистрации в государственном реестре.
Планируется, что изменения Положения Банка России № 757 вступают в силу с 1 октября 2024 года, и сейчас самое время привести в порядок СЗИ и подойти к этой дате уже готовыми.
Чему необходимо будет соответствовать
Количество мер защиты кратно возрастает, если на текущий момент около 50 мер защиты необходимо сделать, то при необходимости соответствовать минимальному уровню – этот показатель в разы выше.
Кроме того дополнительно необходимо будет в обязательном порядке реализовывать:
– Тест на проникновение – 1 раз в год,
– Оценка уровня доверия ПО (ОУД 4)– для МФИ, предоставляющих онлайн-займы,
– Необходимость реализации ГОСТ 57580.4 по оценке рисков с учетом плана, согласно МР-7,
– Выполнение требований к операционной надежности (Положение Банка России № 779-П),
– Необходимость реагирования на инциденты и взаимодействия с ФинЦЕРТ.
Довольно большой работ необходимо выполнить и всегда возникает вопрос:
А что будет, если оставить все как было и не выполнять указанные требования?
Из нашего большого опыта можем сказать, что не так страшны визиты регулятора, как успешно реализованные атаки на ключевые ИС компании, когда вследствие вирусного заражения или эксплуатации уязвимостей в ПО работа персонала парализована, а оказание услуг клиентам невозможно. Поэтому, решая вопрос реализации требований регулятора, рекомендуем подходить с позиции оценки рисков, недопустимых событий, определяя свой аппетит риска. Об основных наиболее часто встречаемых рисках расскажем далее.
Риски несоответствия требованиям
Все риски, связанные с нарушением ИБ (в том числе и по причине невыполнения требований по защите информации) можно разделить на 4 группы с приоритезацией по величине финансовых потерь:
– Репутационные
– Юридические
– Технические (операционные)
– Стратегические
Репутационные:
- Негативные отзывы клиентов
- Недоверия клиентов из-за утечек и долгого оказания услуги
- Негативные новости
Юридические
- Проверки регуляторов и предписания
- Штрафы
- Компенсации
Технические (операционные)
- Ограниченный доступ к информации
- Информация искажена
- Простои ИС и сотрудников
- Провалы со стороны подрядчиков
Стратегические
- Приостановление деятельности
- Исключение из реестра
Что необходимо сделать уже сейчас?
Если вы представитель МФИ, вы, скорее всего, уже в курсе будущих изменений. Но у вас может отсутствовать четкое понимание, как действовать в новых обстоятельствах.
Мы подготовили список того, что необходимо сделать в первую очередь:
- Определить состав актуальных угроз безопасности информации
- Сформировать состав мер защиты, направленных на нейтрализацию угроз безопасности и выполнение требований регуляторов
- Подготовить план реализации мер защиты с учетом величины рисков от реализации актуальных угроз и стоимости реализации мер защиты
- Сформировать план по импортозамещению согласно ст. 76.1 ФЗ-86
- Учесть дополнительные требования в случае подключения к ЕБС или ЕСИА (СМЭВ)
- Согласовать бюджеты
- Определить ресурсы на администрирование
- Провести категорирование (необходимость исполнения ФЗ-187
Также мы разработали подготовили для вас дорожную карту по подготовке системы защиты под новые требования Банка России:
- Провести инвентаризацию ИТ-активов, сформировать перечень ИС.
- Провести аудит выполнения мер защиты в зависимости от назначения ИС и обрабатываемых данных.
- Сформировать план устранения несоответствий с приоритизацией в зависимости от рисков, связанных с ними.
- Провести моделирование угроз по методике ФСТЭК от 2021 г, не забыв требования ЦБ к модели угроз.
- Определить меры защиты, направлены на нейтрализацию угроз и выполнения к уровню защиты информации, в том числе уровню защищенности ПДн.
- Определить меры защиты, направленные на обеспечение операционной надежности (Положение Банка России № 779-П).
- Определить способы реализации мер защиты на техническом и организационном уровне (в ГОСТ 57580.1, ГОСТ 57580.4 указаны явно на каком уровне требуется реализация).
- Внедрить средства защиты и комплекс организационных мер (проведя обучение персонала и проверку их знаний).
- Провести оценку эффективности мер защиты персональных данных, а также значимых объектов КИИ, в случае наличия значимых объектов КИИ.
- Провести тест на проникновение (можно включить в состав испытаний, проводимых на этапе оценки эффективности мер защиты).
- Провести ОУД 4 (только для МФИ, предоставляющих онлайн-займы) Сформировать план реализации ГОСТ 57580.4 с учетом сроков в МР-7.
- Сформировать план реализации ГОСТ 57580.4 с учетом сроков в МР-7.
- Выстроить процессы реагирования на инциденты ИБ и порядок взаимодействия с ФинЦЕРТ.
Получить полную версию дорожной карты на почту.
Заключение
Процесс приведения информационных систем МФИ в соответствие требованиям Банка России, ФСТЭК и ФСБ занимает до полугода при постоянной вовлеченности большого числа участников: не только специалистов ИТ и ИБ подразделений, но и руководителей компании.
Есть несколько важных обстоятельств:
- Процесс займет не менее 3 месяцев работы, даже если этим будет заниматься непосредственно лицензиат ФСТЭК. А значит, озаботиться этим вопросом необходимо было еще «вчера».
Одной из стартовых точек является подготовка дорожной карты, которая сможет подтвердить начало работы, если к вам возникнут вопросы от Банка России и ФСТЭК. Лучше, если она будет подготовлена совместно с лицензиатом ФСТЭК, так как это ускорит процесс подготовки и поможет избежать ошибок при ее составлении.
Компания Б-152 является лицензиатом ФСТЭК и наши эксперты не понаслышке знают о проверках Банка России МФИ. Мы помогаем заказчикам с юридической и технической стороной вопросов, при этом исходим из принципа применения необходимых и достаточных мер, которые принесут максимум пользы для стабильного развития вашего бизнеса.
Эксперты Б-152 помогут вам устранить риски и привести вашу Систему Защиты Информации в соответствие изменениям законодательства.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
Посмотреть подробную информацию о компании Б-152 можно на сайте
Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.