Что требует закон?

Указанное положение было разработано на основании 161-ФЗ «О национальной платежной системе» и установило требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем и операторы услуг платежной инфраструктуры должны обеспечивать защиту информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств (далее — оператор) обязан обеспечить выполнение банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований по обеспечению защиты информации.

Оператор также обязан обеспечивать контроль выполнения банковскими платежными агентами (субагентами) требований по защите информации.

382-П: выполнять самому или привлечь лицензиата

Жесткого требования о привлечении лицензиата 382-П (далее – положение) не устанавливает.
Но практика показывает, что оператор не всегда способен провести все необходимые работы самостоятельно. Например, проектирование системы защиты информации, анализ уязвимостей и тестирование на проникновение автоматизированных информационных систем – сложнейшие виды работ, для реализации которых необходимы не только знания, но и практика.

Благо, пунктом 2.5.5.1. положения предусмотрена возможность привлечения на договорной основе лицензиата ФСТЭК России.

При этом нужно учесть, что оператору самому не требуется получать лицензию ФСТЭК России, если он осуществляет работы по защите информации только для своих нужд. Если же оператор оказывает услуги другим юридическим лицам, лицензия необходима, т.к. деятельность по защите информации в соответствии с постановлением Правительства № 79 «О лицензировании деятельности по технической защите информации» является лицензируемой.

В таком случае у оператора должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации с пунктами:

  • контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    • средствах и системах информатизации;
  • контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • проектирование в защищенном исполнении:
    • средств и систем информатизации;
  • установка, монтаж, испытания, ремонт средств защиты информации программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

382-П: аттестация

Начнем с того, что 382-П не устанавливает требование по аттестации автоматизированных информационных систем (далее – АИС) оператора.

Однако в соответствии с пунктом 2.15.1. оператор обязан проводить оценку выполнения требований по обеспечению защиты информации при осуществлении переводов денежных средств (далее — оценка соответствия).

Оценка соответствия проводится оператором самостоятельно или с привлечением сторонних организаций не реже одного раза в 2 (два) года, а также по требованию Банка России.

Поэтому работы по оценке соответствия оператор вправе заказать у лицензиата ФСТЭК России. Доверие к таким работам выше, чем при самостоятельной оценке, так как лицензиат ФСТЭК является внешним аудитором и осуществляет свою деятельность на основании лицензии, выданной регулятором в области защиты информации – ФСТЭК России.

На выходе оператор получает подтверждающие документы установленного образца:

  • программа и методики аттестационных испытаний,
  • протокол аттестационных испытаний,
  • заключение аттестационных испытаний,
  • аттестат соответствия.

Внимание! Для осуществления работ по аттестации у лицензиата ФСТЭК в лицензии должны быть следующие виды работ:

  • Контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
    • средствах и системах информатизации.
  • Контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
  • Аттестационные испытания и аттестация на соответствие требованиям по защите информации:
    • средств и систем информатизации.

Стоимость оценки соответствия ориентировочно составляет 250 тыс.руб. и больше в зависимости от ряда критериев, указанных ниже.

382-П: тестирование на проникновение

В соответствии с пунктом 2.5.5.1. положения оператор обязан проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Что под этим подразумевается?

С данными понятиями хорошо знакомы лицензиаты ФСТЭК России, так как в соответствии с постановлением Правительства такие работы относятся к лицензируемому виду деятельности и осуществляются в рамках работ по аттестации объектов информатизации (по требованиям ФСТЭК России). Например, в рамках работ по защите и аттестации государственных информационных систем (по 17 приказу ФСТЭК) обязательно проводятся работы по анализу уязвимостей информационных систем.

Под тестированием на проникновение понимается легальная услуга по реализации попыток преодоления системы защиты, которая включает:

  • изучение объекта (изнутри и(или) снаружи);
  • выявление уязвимостей (выборочно: только тех, которые необходимы для достижения выбранных целей) так же, как это проводится в случае реального взлома;
  • попытки взлома (реализация попыток несанкционированного доступа);
  • проникновение и расширение привилегий в случае успеха проникновения в АИС;
  • документирование хода и результатов работ.
Смотреть весь список
Свернуть

Цена работ по тестированию на проникновение зависит от ряда критериев (см. ниже) и, как правило, составляет от 250 тыс. руб. до 2,5 млн. руб.

382-П: анализ уязвимостей

Общепринятый порядок проведения анализа уязвимостей выглядит следующим образом:

  • изучение объекта (изнутри и(или) снаружи), составление перечня используемого ПО с указанием версии;
  • поиск уязвимостей ПО по международным базам уязвимостей;
  • поиск уязвимостей ПО по базе уязвимостей ФСТЭК России;
  • ручное и инструментальное тестирование уязвимостей (попытка их реализации);
  • документирование хода и результатов работ.
Смотреть весь список
Свернуть

Типовой набор документов, фиксирующих (подтверждающих) проведение данной процедуры, следующий:

  • программа и методики проведения анализа уязвимостей,
  • протокол проведения анализа уязвимостей,
  • заключение по результатам анализа уязвимостей.

Цена работ формируется не так просто. Если плюс-минус километр, то стоимость составит от 250 тыс. и до 5 млн. для одной автоматизированной информационной системы в зависимости ряда критериев (см. ниже).

382-П: цена вопроса

В первую очередь давайте четко обозначим, какие виды работ подразумевает 382-П:

  • приведение системы защиты автоматизированной информационной системы (АИС) в соответствие требованиям безопасности,
  • анализ уязвимостей АИС,
  • тестирование на проникновение АИС,
  • оценка соответствия требованиям безопасности информации.

А теперь давайте по каждому пункту поподробнее.
Общепринятый порядок приведения системы защиты информации в соответствие требованиям безопасности выглядит следующим образом:

  1. Обследование (сбор и анализ исходных данных) АИС и системы защиты информации (СЗИ) в составе АИС в частности. На выходе составляются следующие отчетные документы:
    • отчет об обследовании,
    • модель угроз и нарушителя безопасности информации,
    • техническое задание на создание/доработку системы защиты.

Стоимость подготовки по данному этапу, как правило, составляет 250 тыс. и  больше в зависимости от ряда факторов (см. ниже).

  1. Разработка или доработка системы защиты. Также это называется проектированием системы защиты — разработкой технического проекта на создание/доработку системы защиты информации. На выходе составляется технический проект, включающий, как минимум, следующие отчетные документы:
    • пояснительная записка к техническому проекту,
    • ведомость технического проекта,
    • спецификация оборудования,
    • структурная схема комплекса технических средств.

Стоимость подготовки по данному этапу, как правило, начинается от 350 тыс. и зависит от ряда факторов (см. ниже).

  1. Внедрение системы защиты информации, включая:
    • закупку, установку и настройку средств защиты информации в соответствии с техническим проектом;
    • разработку организационно-распорядительной документации (положения, регламенты, инструкции и др.);
    • внедрение режимных (организационных) мер;
    • обучение персонала по работе с системой защиты информации.

Стоимость подготовки по данному этапу, не включая стоимость средств защиты информации, как правило, составляет от 450 тыс. и больше в зависимости от ряда факторов (см. ниже). 

Смотреть весь список
Свернуть

Обычно операторы реализуют систему защиты по собственным соображениям, опираясь на международные стандарты и практику. Но каждому оператору также необходимо понимать, что существуют и Российские требования по безопасности с которыми нужно считаться.

Поэтому даже если система защиты уже фактически разработана и введена в действие, то привести ее в соответствие требованиям ЦБ РФ просто необходимо.

Точную стоимость по указанным выше услугам можно сформировать только после оценки АИС по следующим критериям:

  • масштаб АИС;
  • программно-аппаратное обеспечение АИС (типы аппаратных платформ и программное обеспечение);
  • технологии обработки и передачи информации (терминальный доступ, беспроводной доступ, SAAS и др);
  • географическое распределение АИС (филиалы, оперкассы);
  • проводились ли ранее работы по безопасности информации.
Скачать коммерческое предложение на аттестацию по 382-П
СКАЧАТЬ PDF

382-П: камни преткновения

В процессе реализации требований по безопасности информации оператор может столкнуться с такими проблемами: 

  1. Большинство операторов не понимают и не знают, какие конкретно организационно-распорядительные документы необходимо разработать для соответствия требованиям.
  2. Большинство операторов не понимают, как трактовать требование пункта 2.5.5.1: «использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4»
  3. Большинство операторов не понимают, что такое тестирование на проникновение, как оно проводится и как его выполнить с минимальными для себя рисками.
  4. Большинство операторов не понимают, что такое анализ уязвимостей автоматизированной информационной системы, и как его грамотно сделать.
  5. Специалисты оператора не всегда способны провести все указанные работы по безопасности собственными силами.
Смотреть весь список
Свернуть

Благо подпунктом 2.5.5.1. положения предусмотрена возможность привлечения специализированной организации — лицензиата ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Но нужно учесть, что не все лицензиаты ФСТЭК специализируются одновременно на всех вышеуказанных направлениях деятельности. Рекомендуем вам запрашивать у лицензиатов подтверждение опыта выполненных работ в виде портфолио (референс-листы/перечень выполненных проектов) по требуемой вам работе (подготовке).

382-П: пакет организационно-распорядительной документации (ОРД)

Минимальный пакет документации диктуется пунктом 2.2. положения и выглядит следующим образом:

  1. Положение по обеспечению информационной безопасности (ИБ) при назначении и распределении ролей лиц, в том числе связанных с осуществлением переводов денежных средств;
  2. Положение по обеспечению ИБ на различных стадиях жизненного цикла объектов информационной инфраструктуры (ОИИ);
  3. Требования по обеспечению ИБ при осуществлении доступа к ОИИ;
  4. Положение по обеспечению ИБ средствами антивирусной защиты (по предотвращению и обнаружению компьютерных вирусов и другого вредоносного ПО);
  5. Положение по обеспечению ИБ при использовании сети Интернет, в том числе при осуществлении переводов денежных средств;
  6. Положение по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ);
  7. Положение по обеспечению ИБ с использованием технологических мер защиты информации (в том числе банковских платежных и информационных технологических процессов);
  8. Положение о службе информационной безопасности;
  9. Положение по повышению осведомленности в области обеспечения защиты информации;
  10. Положение по выявлению и реагированию на инциденты, связанные с нарушениями требований к обеспечению защиты информации;
  11. Положение по определению и реализации порядка обеспечения защиты;
  12. Положение по оценке выполнения требований по обеспечению защиты информации;
  13. Положение по информированию оператора платежной системы об обеспечении защиты информации;
  14. Положение по совершенствованию системы защиты информации.
Смотреть весь список
Свернуть

Конечно, перечень ОРД может быть шире, но практика прохождения проверки ЦБ РФ показывает, что указанного пакета документов вполне достаточно.

382-П: лайфхак

Обозначим некоторые хитрости соответствия требованиям по безопасности, установленным положением:

  • Перечень организационно-распорядительной документации в целом определяет пункт 2.2. положения. Пакета ОРД по указанному пункту достаточно для прохождения проверки ЦБ РФ.
  • По пункту 2.5.5.1 установлено сложное требование: «использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4». Данное требование в действительности означает, что софт, на базе которого построено ДБО у оператора, должен быть сертифицирован во ФСТЭК России, или проведена его соответствующая оценка лицензиатом ФСТЭК России. И данные работы по факту должен заказывать и в итоге оплачивать вендор (разработчик) ДБО, а не оператор, так как при проведении указанных работ по сертификации/оценке софта требуется доступ к исходным кодам софта и проектной (программной) документации на него.
  • Подвидов работ по тестированию на проникновение несколько. Существует тестирование «изнутри» и «снаружи». Так как положение не предъявляет детальных требований по тестированию на проникновение, то, чтобы отделаться малой кровью, можно провести оценку только «изнутри». Но, само собой, лучше проводить полное тестирование (по всем векторам), чтобы исключить лишние вопросы со стороны ЦБ РФ.
  • Так как анализ уязвимостей автоматизированной информационной системы (АИС) является сложнейшим видом оценки АИС, для его осуществления нужно не только понимание темы и специальный сертифицированный инструментарий, но и практика проведения данных работ. Благодаря пункту 2.5.5.1. данные работы можно заказать у специализированной организации с соответствующей лицензией — лицензиата ФСТЭК России на техническую защиту конфиденциальной информации.
Смотреть весь список
Свернуть

Что предлагаем мы?

Мы предлагаем помощь операторам в реализации любого из видов указанных работ или все вместе:

  • приведение системы защиты автоматизированной информационной системы (АИС) в соответствие требованиям безопасности,
  • анализ уязвимостей АИС,
  • тестирование на проникновение АИС,
  • оценка соответствия требованиям безопасности информации.

Стоимость определяется индивидуально в зависимости от ряда критериев, которые нужно обсудить.

Вы можете узнать стоимость работ по аттестации по 382-П по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК