Приказ №382-П

Обзор требований Положения Банка России от 24.08.2016 № 552-П

6 декабря 2016 года в МинЮсте зарегистрировано новое Положение ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе (далее – ПС) Банка России” (далее — Положение № 552-П)

Положение очень близко по духу и содержанию к Приказу ФАПСИ от 13 июня 2001г. №152.
Положением № 552-П устанавливаются длительные сроки хранения (от 3-х до 5-ти лет) информации шести видов.
Положением № 552-П устанавливается требование наличия в кредитной организации 37 видов нормативной документации.

На выполнение требований Положения № 552-П к защите информации на участке ПС БР кредитным организациям дано полгода — до 30 июня 2017 года.

Требования Положения № 552-П распространяются на участников ПС Банка России.
Положением № 552-П предписывается обеспечить защиту:
— информации, содержащейся в распоряжениях участников;
— информации о совершённых переводах денежных средств…;
— информации об остатках денежных средств на счетах, открытых у участников и связанных с осуществлением перевода денежных средств в ПС БР;
— информации, необходимой для удостоверения участниками права распоряяжения денежными средствами;
— ключевой информации средств криптографической защиты информации (далее – СКЗИ), используемых при осуществлении переводов денежных средств…;
— информации об объектах информационной инфрастуктуры…;
— информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.

Требования к организационному и документационному обеспечению защиты информации в ПС БР
Доступ к автоматизированному рабочему месту (далее – АРМ) обмена электронными сообщениями (далее – ЭС) только из сегмента локальной вычислительной сети (далее – ЛВС), в котором расположен АРМ обмена ЭС с ПС БР (далее – участок ПС БР).
А мы помним, что в середине декабря 2015 года ЦБ рассылал по кредитным организациям письма по мерам противодействия компьютерным атакам, например, письмо ЦБ от 17.12.2015 № Т1-17-26/197278 “О возможных атаках на АРМ КБР” (по территориальным ГУ ЦБ письма рассылалось с другими номерами), и была рекомендация от ЦБ о выведении АРМ КБР из корпоративного домена в отдельную подсеть (если этого не было сделано кредитной организацией ранее).
Необходимо разработать документы для обеспечения информационной безопасности на участке ПС БР. Вот неполный перечень нормативных документов из Приложения к Положению № 552-П:
— Положение о службе информационной безопасности (в том числе полномочия);
— Назначение работников, ответственных за выполнение порядка обеспечения защиты информации на участке ПС БР и определение их функций;
— Определение участка ПС БР;
— Перечень и описание объектов информационной инфраструктуры участка ПС БР;
— Перечень средств защиты информации, используемых на участке ПС БР;
— Учет и контроль программного обеспечения, установленного на средствах вычислительной техники участка ПС БР;
— Порядок действий по выявлению и реагированию на инциденты на участке ПС БР;
— Перечень и сроки проведения контроля ТЗИ;
— Программа обучения работников по вопросам защиты информации;
— Перечень лиц, имеющих доступ к объектам информационной инфраструктуры участка ПС БР и порядок осуществления доступа;
— Перечень лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств (?);
— Перечень лиц, обладающих правами по формированию электронных сообщений на АРМ обмена ЭС с ПС БР;
— План ОНиВД;
— Перечень работников, допущенных к работе с СКЗИ на участке ПС БР;
— Перечень работников, обладающих правами доступа в помещения участка ПС БР;
— Перечень программного обеспечения для каждого объекта информационной инфраструктуры.

Необходимо обеспечить выполнение требований эксплуатационной документации на СЗИ, СКЗИ, средства защиты от вредоносного кода в течение всего срока их эксплуатации.
Требования к защите информации при физическом доступе к участку ПС БР

Физический доступ в помещения только тем работникам, которые указаны в списке доступа в данные помещения.
Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.

Внимание! Срок хранения информации систем видеонаблюдения и контроля доступа (в случае их использования) должен составлять не менее 3-х лет (все сроки хранения сведены далее в отдельной таблице).

Требования к защите информации при логическом доступе к участку ПС БР
Процедуры идентификации, аутентификации и авторизации при логическом доступе к участку ПС БР должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субьектов доступа, которым предоставлен логический доступ к участку ПС БР.

Никаких технологических учетных записей!

В целях регистрации действий… должно быть обеспечено ведение следующих электронных журналов:
— журналов логического доступа к информационным ресурсам ПС БР (далее — журналы логического доступа);
— журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам ПС БР (далее — журналы операций);
— журналов средств защиты информации.
Сроки хранения журналов логического доступа, журналов операций, журналов средств защиты информации должны составлять не менеее 3-х лет.
Журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности и работникам службы информатизации, осуществляющих обслуживание объектов информационной инфраструктуры на участке ПС БР. Внесение исправлений в журналы операций не допускается.

Внимание! Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности.

Требования к использованию технологических мер защиты информации
В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же также определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР (готов расписаться в собственном бессилии, ибо связь интернет-банкинга и ПС БР недоступна  пониманию банковского работника, видимо, это для некредитных организаций писано), функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР (чуть понятнее) или с использованием специальной компоненты (вот, опять!?) автоматизированной банковской системы  участников.

Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется участником путем регистрации всех операций в платежных технологических процессах, осуществляемых на участке ПС БР, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры (Толстой отдыхает рыдает).
В целях обеспечения возможности восстановления информации об остатках денежных средств .. участники должны хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее 5-ти лет.
Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка ПС БР
Должен осуществляться контроль целостности ПО АРМ обмена ЭС с ПС БР при каждом включении.
Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.
Требования к защите информации от воздействия вредоносного кода (ВВК) на участке ПС БР
Содержится требование использовать средства защиты от ВВК  различных производителей и раздельная установка на персональных электронных вычислительных машинах (привет от терминологии 80-х) и серверах.
Содержится требование вести статистику событий, связанных с воздействием вредоносного кода на участке ПС БР.
Сроки хранения данных о событиях, связанных с воздействием вредоносного кода на участке ПС БР, и их анализе, должны составлять не менее 3-х лет.
Необходимо вести актуальный перечень ПО АРМ обмена ЭС с ПС БР.
Требования по применению средств криптографической защиты информации на участке ПС БР
Для защиты должны быть установлены СКЗИ.
Должно соблюдаться:
— исключение возможности доступа неуполномоченных лиц к криптографическим ключам;
— использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;
— использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами.
Требования к повышению осведомленности работников в области обеспечения защиты информации

Обучение работников на участке ПС БР с привлечением службы информационной безопасности.
Назначение ответственных за обучение.

Требования к информированию Банка Росии о выявленных инцидентах и хранению информации об инцидентах
Обязательное информирование о нарушениях требований к обеспечению защиты информации на участке ПС БР в произвольной форме путем отправки сообщения на электронный адрес  fincert@cbr.ru не позднее 3-х часов после выявления инцидента.
Документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.

Срок хранения информации об инцидентах должен составлять не менее 3-х лет с даты возникновения инцидента.
Требования к обеспечению восстановления функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе

Наличие плана ОниВД, согласованного со службой информационной безопасности, и предусматривающего восстановление функционирования технических средств на участке ПС БР в случаях сбоев и (или) отказов в их работе.
Назначение ответственных, в том числе, за ОНиВД.

Требования по контролю выполнения требований к защите информации на участке ПС БР
Не реже одного раза в кварталпроведение контроля выполнения требований к защите информации на участке ПС БР.
Срок хранения информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля, должен составлять не менее 3-х лет с даты проведения контроля.

Заключительные положения
Вступает в силу по истечении 10 дней после дня его официального опубликования.
Выполнить требования к защите информации на участке ПС БР в соответствии с настоящим Положением до 30 июня 2017 года.

Сроки хранения информации согласно требованиям Положения № 552-П


п/п
Вид информации Срок хранения Ответственный
1. Информация с систем видеонаблюдения и контроля доступа (в случае их использования) не менее 3-х лет
2. Информация в электронном виде:- журналы логического доступа, — журналы операций,

— журналы средств защиты информации

не менеее 3-х лет Служба информационной безопасности и
служба информатизацииСлужба информационной безопасности
3. Входящие и исходящие ЭС не менее 5-ти лет
4. Данные о событиях, связанных с воздействием вредоносного кода на участке ПС БР не менее 3-х лет
5. Информация об инцидентах не менее 3-х лет с даты возникновения инцидента
6. Информации о результатах проведения контроля выполнения требований к защите информации и решениях, принятых по результатам контроля не менее 3-х лет с даты проведения контроля

По материалам securitylab.ru