Внешний аудит как инструмент контроля в области ИБ

Внешний аудит как инструмент контроля в области ИБ

В современном мире, где интенсивное развитие технологий неизбежно приводит к усилению информационных угроз, финансовые организации, будь то банки, некредитные финансовые компании или субъекты национальной платежной системы, сталкиваются с рисками, связанными с информационными угрозами и нарушениями операционной надежности. Для минимизации вероятности возникновения рисков и поддержания надежности своей работы, финансовые учреждения активно внедряют системы управления рисками и защитой информации. Особенное внимание уделяется циклической модели Деминга, которая позволяет обеспечить стабильное функционирование систем по управлению информационной безопасностью. Одним из направлений этой модели является этап контроля, в рамках которого осуществляется мониторинг, проводятся внутренние и внешние аудиты.

Ценность контроля в этом контексте сложно переоценить. Именно результаты контрольных мероприятий и аудитов формируют фундамент для дальнейшего совершенствования системы защиты информации. Для анализа уровня зрелости процессов обеспечения защиты информации в финансовом секторе Банк России установил требования по вопросу контроля в данной области, делая акцент на обязательное привлечение сторонних проверяющих организаций, в частности для проведения оценки соответствия защиты информации ГОСТ 57580.1.

Какие нормативные документы обязывают компании привлекать внешние проверяющие организации?

Организации финансового рынка обязаны привлекать проверяющие организации для оценки соответствия защиты информации. Эти требования основаны на ряде нормативных документов, в частности:

Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение 683-П).

Положение Банка России от 4 июня 2020 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 719-П).

Положение Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение 757-П).

Положение Банка России от 25 июля 2022 года № 802-П «О требованиях к защите информации в платежной системе Банка России» - (далее – Положение 802-П).

Приказ Минцифры России от 12 мая 2023 года № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального Банка в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».

Указанные нормативные акты содержат требования о проведении оценки соответствия защиты информации с привлечением проверяющей организации. Эта оценка соответствия защиты информации завязана на оценке полноты выбора и реализации защитных мер, состав которых определен ГОСТ 57580.1.

Что же касается вопроса о необходимости отчитываться перед регулятором о результатах проведенной оценки, ответ однозначен – да. Для глубокого понимания требований каждого нормативного акта, рекомендуется рассмотреть их детально и по отдельности.

Положение 683-П

Положение 683-П относится к кредитным организациям. Эти организации обязаны следовать требованиям Центрального Банка России и предоставлять отчетность. Одна из форм этой отчетности - 0409071, которая содержит информацию об оценке выполнения требований по защите информации. Результаты проведения оценки соответствия защиты информации, которую проводила внешняя организация, вносятся в разделы 3 и 4 данной формы.

Важно:

  • Первая оценка защиты информации должна была быть завершена до 31 декабря 2022 года.
  • Оценка соответствия защиты информации должна проводиться не реже одного раза в два года.
  • После завершения оценки, у организаций есть 30 рабочих дней на отправку формы 0409071.
  • В форме 0409071 присутствуют разделы 1 и 2, где нужно указать оценку выполнения технологических мер защиты и безопасности программного обеспечения. Оценки по указанным разделам подаются одновременно со сведениями в разделах 3 и 4. То есть, если кредитная организация провела оценку соответствия ГОСТ в целях выполнения пункта 9 Положения 683-П, то при подаче 0409071 формы должны быть заполнены все четыре раздела в отношении реализуемого направления деятельности.
  • Если у вас возникают вопросы по заполнению разделов 1 и 2 формы 0409071, обратитесь к Методическим рекомендациям № 12-МР, выпущенным Центральным Банком в ноябре 2022 года. В указанном документе имеется перечень мер (требований) из Положения 683-П, в отношении которых необходимо провести оценку их планирования, реализации, контроля и совершенствования. Расчет значений этих показателей для заполнения разделов 1 и 2 кредитная организация может провести своими силами. Требований об обязательном привлечении проверяющей организации в данном случае не устанавливается.
  • С 1 января 2023 года уровень защиты данных кредитных организаций должен быть не ниже четвертого уровня. При планировании следующей оценки учитывайте дату предыдущей проверки.

Положение 719-П

Требования документа по проведению оценки соответствия ГОСТ 57580.1 с привлечением проверяющей организации распространяются на следующие субъекты национальной платежной системы, к которым относятся:- Операторы по переводу денежных средств (ОПДС)- Банковские платежные агенты (субагенты) (БПА)- Операторы услуг информационного обмена (ОУИО)- Операторы услуг платежной инфраструктуры (ОУПИ).

ОПДС

  • Организации, имеющие статус оператора по переводу денежных средств (ОПДС), должны проводить оценку соответствия не реже одного раза в два года.
  • Результаты оценки соответствия используются для заполнения разделов 3 и 4 формы 0409071, по которой отчитываются кредитные организации.
  • С 1 января 2022 года ОПДС должны обеспечить уровень соответствия не ниже четвертого, следовательно, отчитаться о результатах необходимо не позднее 31 декабря 2023 года.
  • Заполнение разделов 1 и 2 указанной формы в отношении Положения 719-П производится путем расчета показателей по защитным мерам, указанным в документе 12-МР. Как уже отмечалось ранее, расчет показателей может быть произведен ОПДС самостоятельно.
  • Подача формы 0409071 осуществляется также в течение 30 рабочих дней со дня завершения проведения оценки соответствия защиты информации (с заполнением всех четырех разделов формы).

БПА

Банковские платежные агенты (БПА), осуществляющие операции платежного агрегатора, должны проводить оценку соответствия ГОСТ 57580.1 с привлечением проверяющей организации не реже одного раза в два года и обеспечить уровень соответствия не ниже четвертого с 1 января 2022 года. В отношении остальных БПА периодичность проведения оценки соответствия устанавливается ОПДС, с которым заключен договор оказания услуг. Результаты проведения оценки соответствия используются в целях контроля, осуществляемого ОПДС, и направляются ему в соответствии с условиями, установленными в договоре с ОПДС.

ОУИО

Операторы услуг информационного обмена (ОУИО) должны проводить оценку соответствия ГОСТ 57580.1 с привлечением проверяющей организации не реже одного раза в два года и обеспечить уровень соответствия не ниже четвертого с 1 января 2022 года. Результаты оценки соответствия используются в целях контроля, осуществляемого ОПДС, и направляются в соответствии с условиями, установленными в договоре с ОПДС.

ОУПИ

  • Операторы услуг платежной инфраструктуры (ОУПИ) должны проводить оценку соответствия ГОСТ 57580.1 с привлечением проверяющей организации не реже одного раза в два года и обеспечить уровень соответствия не ниже четвертого.
  • Результаты оценки соответствия используются для заполнения разделов 3 и 4 формы 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра» (для организаций, не являющихся кредитными).
  • Форма 0403202 направляется в Центральный Банк в течение 30 рабочих дней со дня завершения проведения оценки соответствия (с заполнением всех четырех разделов).
  • Заполнение разделов 1 и 2 указанной формы также осуществляется в соответствии с документом 12-МР. По форме необходимо отчитаться не позднее 31 декабря 2023 года.

Положение 757-П

Документ распространяется на некредитные финансовые организации и также устанавливает требования по привлечению проверяющей организации для проведения оценки соответствия.

Есть случаи, когда кредитная организация совмещает свою деятельность с деятельностью некредитной финансовой организации (НФО). В Положении 757-П отражен перечень видов деятельности и их разбивка по реализуемым уровням защиты информации ГОСТ 57580.1. Такие кредитные организации должны провести оценку соответствия и направить форму 0409071 в отношении Положения 757-П:

  • если совмещаемый вид деятельности по Положению 757-П требует реализацию усиленного уровня по ГОСТ 57580.1, то кредитная организация направляет заполненную форму не реже одного раза в год в течение 30 рабочих дней со дня завершения проведения оценки соответствия;
  • если совмещаемый вид деятельности требует реализацию стандартного уровня, то кредитная организация направляет заполненную форму не реже одного раза в три года в течение 30 рабочих дней со дня завершения проведения оценки соответствия.

Как отмечено выше, Положение 757-П выделяет отдельные перечни видов деятельности, в отношении которых необходимо реализовывать уровни ГОСТ 57580.1 и проводить оценку соответствия. Если обобщить перечень без учета особенностей Положения 757-П, то привлекать проверяющую организацию необходимо:

- центральным контрагентам, центральному депозитарию;

- регистраторам финансовых транзакций;

- специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;

- клиринговым организациям;

- организаторам торговли;

- страховым организациям;

- негосударственным пенсионным фондам, осуществляющим деятельность по обязательному пенсионному страхованию;

- негосударственным пенсионным фондам, осуществляющим деятельность по негосударственному пенсионному обеспечению;

- репозитариям, не являющимися регистраторами финансовых транзакций;

- брокерам, дилерам, управляющим, депозитариям и регистраторам;

- операторам инвестиционных платформ;

- операторам финансовых платформ, в которых осуществляется выпуск цифровых финансовых активов;

- операторам обмена цифровых финансовых активов;

- и другие НФО, перечень которых определен в Положении 757-П.

НФО, определившие у себя стандартный или усиленный уровень защиты информации должны провести оценку соответствия ГОСТ 57580.1. Периодичность: для усиленного уровня – ежегодно, для стандартного – не реже одного раза в три года. С 1 июля 2023 года необходимо обеспечить уровень соответствия не ниже четвертого.

Что касается направления результатов проведения оценки соответствия, для НФО не существует единой формы отчетности, как например для кредитных организаций. Требованиями Указаний Банка России устанавливаются формы отчетности по отдельным видам НФО:

- 0420433 «Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями»;

- 0420266 «Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом»;

- 0420722 «Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов»;

- 0420175 «Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией».

Указанные формы содержат по четыре раздела:

  • разделы 3 и 4 заполняются по результатам внешней оценки соответствия ГОСТ 57580.1;
  • разделы 1 и 2 могут заполняться НФО самостоятельно в соответствии с Методическими рекомендациями № 8-МР «По расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составлении отчетности об оценке выполнения требований к обеспечению защиты информации некредитными финансовыми организациями»;
  • отправка заполненных форм производится в течение 30 рабочих дней со дня завершения проведения оценки соответствия ГОСТ 57580.1;
  • если в отношении какого-либо типа НФО на текущий момент не установлено требование об отчетности в Центральный Банк, оценку соответствия все-таки необходимо провести и обеспечить хранение отчета об оценке в течение пяти лет.

Положение 802-П

Документ распространяется на участников платежной системы Банка России и устанавливает требования к проведению оценки соответствия для:

- операционного центра, платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (ОПКЦ СБП);

- оператора услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (ОУИО СБП);

- участники обмена при осуществлении переводов денежных средств с использованием сервиса срочного и несрочного перевода (участники ССНП);

- участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (участники СБП).

Важно:

  • Указанные организации должны проводить оценку соответствия не реже одного раза в два года и обеспечить четвертый уровень соответствия.
  • Кредитные организации по данному направлению подают заполненную форму 0409071. По аналогии, сведения для разделов 3 и 4 берутся из отчета по ГОСТ 57580.1, а разделы 1 и 2 могут заполняться организацией самостоятельно в соответствии с 12-МР.
  • Форма подается в течение 30 рабочих дней со дня завершения оценки соответствия.

Приказ Минцифры № 453

Банки и организации финансового рынка, осуществляющие размещение и обновление биометрических данных в единой биометрической системе, должны проводить оценку соответствия ГОСТ 57580.1 с привлечением внешней организации не реже одного раза в два года. О результатах проведения оценки необходимо информировать Банк России, однако, конкретных требований по информированию на текущий момент не установлено.

Когда еще необходимо привлекать проверяющую организацию?

В соответствии с Положением 683-П кредитные организации должны использовать программное обеспечение, в отношении которого проведена оценка соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4. В случае, если для кредитной организации не представляется возможным проведение указанных мероприятий по оценке ОУД своими силами, то привлекается проверяющая организация. Но стоит отметить, что в Положении 719-П возможность самостоятельного проведения оценки ОУД 4 отсутствует.

Также Положениями 683-П и 719-П устанавливаются требования к проведению ежегодного пентеста. Обязательных требований о привлечении внешних организаций в данном случае не устанавливается, но в целях получения объективных сведений о защищенности информационной инфраструктуры и об уязвимостях безопасности информации рекомендуется обращаться к внешним организациям.

В случае, если организация является участником SWIFT, то к ней предъявляются требования по обеспечению защиты информации в отношении применяемых компонентов. Одним из вариантов подтверждения соответствия установленным требованиям является привлечение внешней организации для проведения оценки требований SWIFT.

Если организация хранит, передает или обрабатывает данные платежных карт, то на нее распространяются требования стандарта PCI DSS. В зависимости от уровня сертификации может потребоваться привлечение внешней организации PCI QSA.

В дальнейшем при утверждении требований к защите информации для цифрового рубля в отношении применимых объектов информационной инфраструктуры участникам платформы цифрового рубля также потребуется привлечение проверяющей организации в целях проведения оценки соответствия ГОСТ 57580.1 (исходя из анализа проекта нормативного документа).

Вместо подведения итогов

Ниже в форме таблицы мы подготовили перечень обязательных внешних оценок по части защиты информации для финансовых организаций. Если у вас возникнут вопросы, эксперты Infosecurity готовы оказать консультационную поддержку.

Внешний аудит как инструмент контроля в области ИБ
Внешний аудит как инструмент контроля в области ИБ

Автор: Анастасия Федюнина, ведущий эксперт отдела аудита Infosecurity a Softline company

11
Начать дискуссию