382 п цб рф последняя редакция 2023
Содержание
- 1 382 п цб рф последняя редакция 2023
- 2 382 п ЦБ РФ последняя редакция 2023
- 3 382 п цб рф последняя редакция 2023
- 4 Указание Банка России от N 5690-У
- 5 Соответствие новым требованиям ЦБ РФ в области информационной безопасности для финансовых организаций
- 6 Ограничения ЦБ для неквалов по индексам с и облигациям до
- 7 382 п ЦБ РФ последняя редакция 2023
Начиная с 30.11.2023 учреждениям разрешено вести кассовые операции с применением устройств, которые функционируют в автоматическом режиме без участия работника. Это следует из нового положения п. 4 Указания № 3210-У, которым установлены требования к таким устройствам. В частности, автоматические устройства, конструкция которых предусматривает прием и (или) выдачу банкнот, должны иметь функцию распознавания на всей площади банкноты не менее четырех машиночитаемых защитных признаков, указанных в п. 1.1 Положения № 630-П.
Кроме того, прежняя редакция пп. 6.3 п. 6 Указания № 3210-У возлагала на подотчетное лицо обязанность по представлению авансового отчета об израсходованных подотчетных средствах в течение трех рабочих дней со дня окончания срока, на который выдавались эти суммы. Если данный срок истекал в период, когда работник отсутствовал на рабочем месте (например, болел или был направлен в другую командировку), сдать авансовый отчет нужно было не позднее трех рабочих дней со дня выхода на работу.
По общему правилу постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев со дня его совершения (ч. 1 ст. 4.5 КоАП РФ). При длящемся административном правонарушении этот срок начинают исчислять со дня его обнаружения (ч. 2 ст. 4.5 КоАП РФ).
К тому же помимо Указания № 3210-У учреждениям необходимо соблюдать Указание ЦБ РФ от 09.12.2023 № 5348-У. Согласно этому документу организации вправе расходовать наличные денежные средства, полученные за реализованные товары (работы, услуги), исключительно на выплату:
В настоящее время руководитель учреждения вправе самостоятельно установить сроки представления авансовых отчетов работниками, получившими подотчетные суммы (за исключением авансовых отчетов по командировкам). Это закреплено в новой редакции абз. 2 пп. 6.3 п. 6 Указания № 3210-У.
Передача создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры операторами на аутсорсинг не запрещена Положением № Однако обращаем внимание на то, что такая передача может привести к росту рисков информационной безопасности и нарушению системы управления рисками в целом.
В настоящее время не завершено формирование нормативной базы, предусмотренной Федеральным законом от 27 июля 2006 года № «О персональных данных», поскольку Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю не утверждены все документы, предусмотренные статьей 19 данного закона.
Пунктом 18 части 1 статьи 20 Федерального закона № также предусмотрена необходимость отражения оператором платежной системы в правилах платежной системы порядка взаимодействия в рамках платежной системы в спорных и чрезвычайных ситуациях, включая информирование операторами услуг платежной инфраструктуры, участниками значимой платежной системы оператора значимой платежной системы о событиях, вызвавших операционные сбои, об их причинах и последствиях.
Положение № устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры (далее при совместном упоминании — операторы) и банковские платежные агенты (субагенты) обеспечивают защиту информации при осуществлении переводов денежных средств.
Положение № устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг платежной инфраструктуры, операторы платежных систем обеспечивают защиту информации при осуществлении переводов денежных средств вне зависимости от формы таких переводов.
В частности, участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Положением Банка России от 23.12.2023 N 747-П установлено, что требования к защите информации должны выполнять прямые участники платежной системы Банка России, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств в электронном виде, являющиеся кредитными организациями (их филиалами), а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей, оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей.
Кроме того, документом установлены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ.
382 п цб рф последняя редакция 2023
2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
предотвращения физического воздействия на средства вычислительной техники, эксплуатация которых обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которые используются для осуществления переводов денежных средств (далее — средства вычислительной техники), и телекоммуникационное оборудование, эксплуатация которого обеспечивается оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры и которое используется для осуществления переводов денежных средств (далее — телекоммуникационное оборудование), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа;
в случае отсутствия требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя * и которые полностью не выполняются, корректирующий коэффициент * принимается равным 1;
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.
результаты анализа рисков при обеспечении защиты информации при осуществлении переводов денежных средств на основе моделей угроз и нарушителей безопасности информации, определенных в национальных стандартах по защите информации, стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с законодательством Российской Федерации о техническом регулировании, или на основе моделей угроз и нарушителей безопасности информации, определенных оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры.
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (далее — технологические меры защиты информации);
2.5. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых для защиты информации на стадиях создания, эксплуатации, модернизации, снятия с эксплуатации объектов информационной инфраструктуры, включаются следующие требования.
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код);
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.
382 п ЦБ РФ последняя редакция 2023
в случае отсутствия требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя * и которые полностью не выполняются, корректирующий коэффициент * принимается равным 1;
Ни для кого не секрет, что финансовые организации традиционно являются привлекательной мишенью для злоумышленников, в том числе и в киберпространстве. Зачастую между информацией, обрабатываемой в финансовой организации, и деньгами можно смело поставить знак равенства.
Настоящее Положение в соответствии со статьей 4 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061; N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст. 4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629; N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973; N 48, ст. 6728; 2012, N 50, ст. 6954; N 53, ст. 7591, ст. 7607; 2013, N 11, ст. 1076; N 14, ст. 1649; N 19, ст. 2329; N 27, ст. 3438, ст. 3476, ст. 3477; N 30, ст. 4084; N 49, ст. 6336; N 51, ст. 6695, ст. 6699; N 52, ст. 6975; 2014, N 19, ст. 2311, ст. 2317; N 27, ст. 3634; N 30, ст. 4219; N 40, ст. 5318; N 45, ст. 6154; N 52, ст. 7543; 2023, N 1, ст. 4, ст. 37; N 27, ст. 3958, ст. 4001; N 29, ст. 4348, ст. 4357; N 41, ст. 5639; N 48, ст. 6699; 2023, N 1, ст. 23, ст. 46, ст. 50; N 26, ст. 3891; N 27, ст. 4225, ст. 4273, ст. 4295) (далее — Федеральный закон от 10 июля 2002 года N 86-ФЗ) и решением Совета директоров (протокол заседания Совета директоров от 20 февраля 2023 года N 4) устанавливает План счетов бухгалтерского учета для кредитных организаций и порядок его применения.
При применении настоящего Положения кредитные организации руководствуются Международными стандартами финансовой отчетности и Разъяснениями МСФО, принимаемыми Фондом МСФО, введенными в действие на территории Российской Федерации, а также частью 12 статьи 21 Федерального закона от 6 декабря 2011 года N 402-ФЗ «О бухгалтерском учете» (Собрание законодательства Российской Федерации, 2011, N 50, ст. 7344; 2013, N 26, ст. 3207; N 27, ст. 3477; N 30, ст. 4084; N 44; ст. 5631; N 51, ст. 6677; N 52, ст. 6990; 2014, N 45, ст. 6154; 2023, N 22, ст. 3097; 2023, N 30, ст. 4440) (далее — Федеральный закон от 6 декабря 2011 года N 402-ФЗ). (в ред. Указания ЦБ РФ от 02.10.2023 N 4555-У)
7. На основе вычисленного значения итогового показателя * формируется обобщенное суждение о выполнении субъектом платежной системы требований к обеспечению защиты информации при осуществлении переводов денежных средств в соответствии со следующим общим подходом:
382 п цб рф последняя редакция 2023
2.1. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, реализуемых применением организационных мер защиты информации или использованием технических средств защиты информации, используется следующий подход (далее — требования категории проверки 1):
- Разработка или доработка системы защиты. Также это называется проектированием системы защиты — разработкой технического проекта на создание/доработку системы защиты информации. На выходе составляется технический проект, включающий, как минимум, следующие отчетные документы:
-
- пояснительная записка к техническому проекту,
- ведомость технического проекта,
- спецификация оборудования,
- структурная схема комплекса технических средств.
Требованиями Положения Банка России № 382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (в редакции Указаний Банка России № 3007-У от 05.06.2013, № 3361-У от 14.08.2014, № 4793-У от 7.05.2023) предусмотрена необходимость регулярного проведения работ по оценке соответствия установленным требованиям.
Результирующей процедурой является мониторинг операционных рисков. Здесь кредитной организацией устанавливаются ключевые индикаторы риска (КИР) и контролируется их уровень, проводится анализ статистики событий ОР, контролируется выполнение мероприятий и мер. Кроме того, в рамках данной процедуры предусмотрено проведение общей оценки эффективности управления операционным риском, а также формирование ежеквартальных и годовых отчётов.
КПК, общее число членов которых превышает три тысячи физических и (или) юридических лиц, КПК второго уровня, а также КПК, не вступившими в члены СРО на отчетную дату, в течение 10 рабочих дней, следующих за днем исправления годовой бухгалтерской (финансовой) отчетности КПК;
СРО должна составлять и представлять Отчетность, представлять аудиторское заключение о годовой бухгалтерской (финансовой) отчетности КПК, общее число членов которых не превышает три тысячи физических и (или) юридических лиц и которые являются членами этой СРО на отчетную дату, на основании Отчетности и аудиторского заключения о годовой бухгалтерской (финансовой) отчетности КПК, представленных КПК, в соответствии с настоящим Указанием в Банк России.
1. Отчет о деятельности кредитного потребительского кооператива (далее — КПК) (приложение 1, приложение 2 к настоящему Указанию), отчет о персональном составе органов КПК (приложение 3 к настоящему Указанию), годовая бухгалтерская (финансовая) отчетность КПК (далее при совместном упоминании — Отчетность), аудиторское заключение о годовой бухгалтерской (финансовой) отчетности КПК по результатам аудиторской проверки, проведенной на основании части 2 статьи 28, части 1 статьи 31, части 10 статьи 33 Федерального закона от 18 июля 2009 года N 190-ФЗ «О кредитной кооперации» (Собрание законодательства Российской Федерации, 2009, N 29, ст. 3627; 2023, N 27, ст. 4225; 2023, N 29, ст. 4506) (далее — аудиторское заключение о годовой бухгалтерской (финансовой) отчетности КПК), представляются КПК и саморегулируемой организацией в сфере финансового рынка, объединяющей КПК (далее — СРО), в Банк России в форме электронного документа, подписанного усиленной квалифицированной электронной подписью лица, осуществляющего функции единоличного исполнительного органа КПК или СРО соответственно, в соответствии с порядком взаимодействия Банка России с некредитными финансовыми организациями и СРО, определенным на основании части восьмой статьи 76.9 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2023, N 27, ст. 4225).
КПК, общее число членов которых превышает три тысячи физических и (или) юридических лиц, КПК второго уровня, а также КПК, не вступившими в члены СРО на отчетную дату, в течение 10 рабочих дней, следующих за днем выявления неверных и (или) неактуальных значений показателей;
Отчет о деятельности КПК должен составляться и представляться КПК и СРО в соответствии с настоящим Указанием в Банк России по форме, в порядке и сроки, установленные приложением 2 к настоящему Указанию, начиная с отчета о деятельности КПК за последний отчетный период 2023 года.
Постановление Правительства № 584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе» было подписано во исполнение норм 161-ФЗ «О национальной платежной системе» и вступило в силу с 01.07.2012. Данное Постановление содержит требования к операторам и агентам платежных систем по обеспечению в них безопасности информации, подлежащей обязательной защите в соответствии с законодательством РФ, включая ПДн. В документе описаны следующие требования к ЗИ в платежной системе:
- информация об остатках денежных средств на банковских счетах;
- информация об остатках электронных денежных средств;
- информация о совершенных переводах денежных средств;
- информация, содержащаяся в оформленных распоряжениях клиентов, участников платежной системы, платежного клирингового центра;
- информация о платежных клиринговых позициях;
- клиентская информация и данные держателей платежных карт;
- ключевая информация средств криптографической защиты информации (СКЗИ);
- информация о конфигурации объектов информационной инфраструктуры и технических средств защиты информации;
- информация ограниченного доступа, в том числе персональные данные и иная информация, подлежащая обязательной защите в соответствии с законодательством РФ.
Основными требованиями по защите информации при переводе денежных средств в финансовых учреждениях, сформулированными в 382-П, являются:
Следует отметить, что до середины 2023 года кредитные организации предоставляли в Банк России данные о несанкционированных операциях в рамках плановой формы отчетности 0409258, а сведения об их причинах – в рамках формы отчетности 0403203 на ежемесячной основе, однако в настоящий момент активно развивается и используется автоматизированная система обработки инцидентов (АСОИ) ФинЦЕРТ Банка России, при помощи которой обмен соответствующими сведениями осуществляется в режиме реального времени.
Настала очередь более детально рассмотреть нормы действующего российского законодательства в финансовой сфере. Ключевым регулятором в данной отрасли является Центральный Банк Российской Федерации, который регулярно выпускает актуализированные документы по защите информации в финансовых учреждениях, отвечающие современным кибер-вызовам. Кроме этого, ЦБ РФ ведет активную работу с гражданами и организациями: проводятся конференции с участием представителей Центробанка, публикуются отчеты и предупреждения ФинЦЕРТ, даются разъяснения по выполнению нормативных требований. Анализу актуальных документов по защите информации в кредитно-финансовой сфере и будет посвящена данная публикация. Итак, приступим.
Уже с 1 июля 2023 года (изначально планировалось ввести эту норму с 01.01.2023, но ЦБ РФ выпустил сообщение о переносе сроков) некредитные финансовые организации, реализующие усиленный и стандартный уровни ЗИ, будут обязаны при проведении финансовых операций использовать ПО, в том числе и предоставляемое клиентам, которое либо сертифицировано ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия НДВ, либо прошло процедуру анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4 в соответствии с требованиями стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (эта норма полностью повторяет требования 683-П и 382-П). Указано, что иные некредитные финансовые организации (т.е. не реализующие ни усиленный, ни стандартный уровни ЗИ) обязаны самостоятельно определять необходимость сертификации или анализа уязвимостей используемого и предоставляемого клиентам ПО. При этом в части ПО, не применяемого для финансовых операций, организации могут самостоятельно принимать решение о необходимости сертификации или анализа уязвимостей. В части анализа уязвимостей в прикладном ПО автоматизированных систем и приложений для некредитных организаций, по сравнению с кредитными, сделано послабление — они могут проводить данную процедуру как самостоятельно, так и с привлечением проверяющей организации.
Указание Банка России от N 5690-У
«систему оценки кредитного риска по ссудам, предоставленным субъектам малого и среднего предпринимательства, определенным статьями 3, 4 и 4.1 Федерального закона от 24 июля 2007 года N 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации» (Собрание законодательства Российской Федерации, 2007, N 31, ст. 4006; 2023, N 14, ст. 2013; N 44, ст. 6891) (далее соответственно — Федеральный закон от 24 июля 2007 года N 209-ФЗ, субъекты малого и среднего предпринимательства), сгруппированным в портфели однородных ссуд, по которым оценка риска осуществляется на основе внутрибанковских оценок кредитоспособности заемщика без использования официальной отчетности и проведения оценки финансового положения в соответствии с требованиями главы 3 настоящего Положения (далее — внутрибанковские оценки кредитоспособности). Кредитная организация вправе предусмотреть во внутренних документах возможность оценки кредитного риска по ссудам, предоставленным субъектам малого и среднего предпринимательства, исключенным из единого реестра субъектов малого и среднего предпринимательства в соответствии со статьей 4.1 Федерального закона от 24 июля 2007 года N 209-ФЗ, с применением подходов, предусмотренных настоящим Положением для субъектов малого и среднего предпринимательства, в течение года с даты их исключения из единого реестра субъектов малого и среднего предпринимательства;».
3.20.1. Требование абзаца первого настоящего пункта не распространяется на вложения в уставные капиталы, осуществляемые в рамках федеральных целевых программ, а также на вложения в уставные капиталы юридических лиц, входящих в Перечень стратегических предприятий и (или) Перечень стратегических организаций, а также включенных в сводный реестр организаций оборонно-промышленного комплекса, установленный постановлением Правительства Российской Федерации от 20 февраля 2004 года N 96 «О сводном реестре организаций оборонно-промышленного комплекса» (Собрание законодательства Российской Федерации, 2004, N 9, ст. 781; 2023, N 37, ст. 5155).
1.4. В абзаце втором подпункта 3.2.2 пункта 3.2 слова «от 28 декабря 2012 года N 395-П «О методике определения величины собственных средств (капитала) кредитных организаций («Базель III»)», зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2013 года N 27259, 29 ноября 2013 года N 30499, 2 октября 2014 года N 34227, 11 декабря 2014 года N 35134, 17 декабря 2014 года N 35225, 24 марта 2023 года N 36548, 5 июня 2023 года N 37549, 5 октября 2023 года N 39152, 8 декабря 2023 года N 40018, 17 декабря 2023 года N 40151, 26 августа 2023 года N 43442″ заменить словами «от 4 июля 2023 года N 646-П «О методике определения собственных средств (капитала) кредитных организаций («Базель III»)», зарегистрированным Министерством юстиции Российской Федерации 10 сентября 2023 года N 52122, 19 декабря 2023 года N 53064, 30 сентября 2023 года N 56084, 30 июля 2023 года N 59121″.
Информация о принятии решения, указанного в абзаце первом настоящего подпункта, с его обоснованием, включающим данные о реализуемом проекте, окупаемости реализуемого проекта, об источниках погашения ссуды, анализе финансовых показателей деятельности заемщика за три последних завершенных года и о категории качества ссуды, включается в досье заемщика и представляется кредитной организацией в Банк России (уполномоченное структурное подразделение центрального аппарата Банка России) в соответствии с пунктом 3.10 настоящего Положения.».
в абзаце шестом слова «(ипотечные ссуды (далее — ипотека)» заменить словами «(ипотечные ссуды, в том числе под залог прав требования участника долевого строительства, соответствующий требованиям главы 6 настоящего Положения (далее — ипотека)», слова «N 180-И» заменить словами «N 199-И».
Вторым революционным изменением (после сертификации прикладного ПО) стало другое, которое имеет далеко идущие последствия для всего рынка и даже, не побоюсь этого, для всей цифровой экономики, как бы не смешно звучало это словосочетание в наших условиях. Речь идет о поголовном переходе всех финансовых организаций на российскую криптографию. Да-да, именно так. Мне можно возразить, что в 4793-У написано только про значимые платежные системы (кстати, в проекте упоминались национально значимые ПС), но давайте посмотрим на перечень таких систем. Там есть, как минимум, Сбербанк, Visa, Master Card и НСПК. Достаточно? Все банкоматы и POS-терминалы, все ДБО, позволяющие пополнять карточные счета, должны будут перейти на российскую криптографию. Пункт о том, что в остальных случаях можно применять СКЗИ иностранного производства в таком варианте звучит как издевка. Учитывая, что с 2011-го года, когда начался писаться первый вариант 382-П, эту формулировку не удавалось протоклнуть через ФСБ, а сейчас это удалось, мне кажется это сделано осознанно. Ситуаций, когда можно будет обойти компоненты инфраструктуры значимых платежных систем, практически нет. Кстати, требования от международных платежных систем перейти на российскую криптографию, не значит ли перевода и платежных карт Visa и MC на нее?
Центральный банк традиционно является революционером в области кибербезопасности в России. То он вводит национальный стандарт (ГОСТ) как обязательный. То требует обязательного информирования об инцидентах ИБ. То создает ФинЦЕРТ, первый государственный и работающий центр сбора информации об инцидентах. И вот новая революция, а точнее две, пришедшие с новым Указанием 4793-У, которое спустя год после опубликования проекта, вносит долгожданные, но местами неприятные, изменения в 382-П, потребующие серьезного передела, как внутренней системы ИБ финансовых организаций, так и всего рынка ИБ России. Но обо всем по порядку.
Начну с более приземленной и практичной, но совершенно не раскрытой темы — уведомления об инцидентах ИБ. Лично я ждал, что ЦБ все-таки потребует от участников НПС (а 382-П распространяется именно на них) уведомления об инцидентах по форме, используемой в 552-П, то есть в течение 3-х часов с момента наступления инцидента. Но увы. ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа, размещаемого на сайте ЦБ, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ, курирующей ГосСОПКУ. Как мне кажется, это (а также сроки принятия новой редакции — больше года) связано с тем, что ФСБ в лице 8-го Центра и НКЦКИ до сих не смогли утвердить ни одного документа по ГосСОПКЕ в рамках 187-ФЗ. Ждать больше ЦБ не захотел или не смог, поэтому принял документ в этой части в абсолютно размытой и неконкретной формулировке, которая еще даст о себе знать.
Прикладное ПО, используемое для переводя денежных средств, требует либо сертификации ФСТЭК, либо анализа уязвимостей по ОУД4 с помощью лицензиата ФСТЭК. Это классный пункт — он позволит поднять уровень защищенности ПО и заставит разработчиков повышать свои компетенции в этом вопросе, внедряя SDLC. Но есть и нюансы (куда же без них). Во-первых, испытательные лаборатории ФСТЭК не обладают должными компетенциями в этом вопросе, преимущественно занимаясь сертификацией средств защиты информации. Да, они будут рады новому рынку, но пока вся процедура утрясется, немало воды утечет. Тем более, что непонятно как к этому относится ФСТЭК и на соответствие каким требованиям должна проводиться сертификация (НДВ скоро отомрет, а разрабатывать РД для АБС никто пока не планировал)? Более того, у ФСТЭК наметился уход от концепции «Общих критериев» и как проводить оценку по ОУД4 скоро будет совсем непонятно. Также непонятно, что включается в понятие «прикладное ПО»? Регулятор утверждал неоднократно, что речь идет о ПО, которое непосредственно участвует в переводе денежных средств, то есть об АБС, клиент-банке, мобильном банкинге, процессинге, ДБО, интернет-банкинге и т.п. Надеюсь, браузеры и офис не потребуется сертифицировать.
Требование разделения контуров у клиент-банка (одним ПК у бухгалтера теперь не обойтись) было предсказуемым и подробно на нем я останавливаться не буду — подход ЦБ не поменялся. К счастью, так как это потребует переделки клиентской части АБС и усилий разработчиков финансового софта, возможна компенсирующая мера в виде введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т.п.).
Соответствие новым требованиям ЦБ РФ в области информационной безопасности для финансовых организаций
Положение 683-П дополняет и усиливает меры защиты, установленные Положением 382-П, в связи с чем они должны применяться одновременно и распространяться на одну и ту же область действия, т.е. на объекты информационной инфраструктуры, задействованные в процессе переводов денежных средств. Среди экспертов в области информационной безопасности существует иное мнение, связанное с тем, что требования Положения 683-П распространяются на все финансовые и банковские операции (не только на переводы денежных средств) и, соответственно, на все банковские системы, автоматизирующие данные операции. Вопрос остается открытым до появления официальных разъяснений Банка России.
Несмотря на то, что интуитивно требование вполне понятно, обязанность регламентации технологии обработки информации в контексте ее деления на технологические участки является новой и требует определенных трудозатрат, что также необходимо учитывать, планируя реализацию данного требования.
- ГОСТ написан на стыке технического и юридического языков, некоторые формулировки перегружены излишними словесными конструкциями, также не все требования стандарта являются однозначными, формулировка некоторых требований может допускать их расширенное трактование. В качестве примера можно привести требование РД 18: «Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации». На первый взгляд данное требование достаточно тривиально и является реализацией стандартной практики хеширования паролей, однако фраза «передачу куда-либо, кроме средств или систем аутентификации» может трактоваться в том числе как необходимость обеспечить контроль за передаваемыми паролями между сотрудниками организации с использованием организационных методов или средств DLP. Другой пример – требование ПУИ.14: «Запрет хранения и обработки информации конфиденциального характера на объектах доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет». Если трактовать данное требование так, как оно описано, можно прийти к выводу, что все рабочие места пользователей автоматизированной системы (например, АБС) не должны иметь доступа в Интернет, так как в АБС осуществляется обработка конфиденциальной информации. Однако, автор полагает, что речь в данном требовании идет об объектах информационной инфраструктуры, находящихся в сегменте DMZ, в отношении которых должны быть приняты меры по размещению баз данных, в которых осуществляется хранение и обработка конфиденциальной информации, во внутреннем сегменте сети, отделенном от демилитаризованной зоны и иных недоверенных сетей (по аналогии с требованием 1.3.6 стандарта PCI DSS). Таким образом, трактовка того или иного требования будет в существенной мере зависеть от аудитора, проводящего оценку выполнения требований. При этом нужно учитывать, что от лица, проводящего аудит, требуется высокий уровень компетентности и внимательности. Для решения данной проблемы Центральный Банк в настоящее время рассматривает необходимость введения механизма обязательной аккредитации аудиторов, а также организации обучения по курсам, согласованным с ЦБ РФ.
- Управлению информационной безопасности в самом стандарте отведен небольшой раздел, описывающий конкретные меры (преимущественно организационного характера) в соответствии с известным подходом PDCA (Plan – Do – Check – Act, Планирование – Реализация – Контроль – Совершенствование). При этом в стандарте отсутствует требование проведения оценки рисков информационной безопасности, в отличие от того же СТО БР ИББС. По информации от Банка России, в настоящее время завершается разработка отдельного ГОСТ, описывающего процесс управления рисками информационной безопасности (киберрисками). Известно, что управление рисками информационной безопасности в новом стандарте планируется связать с управлением операционными рисками организации. В связи с этим ЦБ РФ опубликован проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», с выходом которого риски нарушения информационной безопасности, а также ИТ-риски будут официально включены в состав операционных.
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
В целом, по своей идеологии и детализации требований ГОСТ схож с ранее упомянутым стандартом PCI DSS, а также стандартами общества SWIFT. Стандарт направлен на повышение реальной защищенности финансовых организаций путем применения технических мер, в том числе путем использования продвинутых технических средств защиты информации, таких как системы SIEM, DLP, MDM и другие. ГОСТ также допускает использование компенсирующих защитных мер, однако применять их стоит с осторожностью, так как важно помнить, что с 2023 года Банк России начнет проводить проверочные мероприятия по реализации требований данного стандарта. Соответственно, при использовании компенсирующих мер финансовой организации следует в том числе подготовить достаточные документальные обоснования их применения и быть готовой продемонстрировать их проверяющим.
Ограничения ЦБ для неквалов по индексам с и облигациям до
1) Установлен перечень индексов в целях применения условий совершения сделок по приобретению ценных бумаг физическим лицом, не являющимся квалифицированным инвестором, и условий, при которых исполнение поручения физического лица на совершение сделок не требует проведения тестирования.
Перечень включает 42 индекса, в том числе FTSE 100 (Великобритания), DAX (Германия), индекс МосБиржи (Россия), индекс РТС (Россия), S&P 500 (США). В целях пункта 7 части 8 статьи 11 Федерального закона от 11.06.2023 N 192-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» настоящее решение применяется с даты опубликования информации о нем на официальном сайте Банка России до 1 октября 2023 года. В целях подпунктов 6 и 7 пункта 2 статьи 3.1 Федерального закона от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг» настоящее решение применяется с 1 октября 2023 года.
2) Установлены уровни кредитного рейтинга в целях применения условий совершения физическим лицом, не являющимся квалифицированным инвестором, сделок с облигациями.
В целях применения подпункта «в» пункта 1 части 13 статьи 11 Федерального закона от 11.06.2023 N 192-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» установлены следующие уровни кредитного рейтинга облигаций (при отсутствии кредитного рейтинга облигаций — кредитного рейтинга их эмитента, поручителя (гаранта) по облигациям):
— для российских объектов рейтинга — «ruA-» по национальной рейтинговой шкале для РФ АО «Рейтинговое агентство „Эксперт РА“ либо „A-(RU)“ по национальной рейтинговой шкале для РФ АКРА (АО);
— для иностранных объектов рейтинга — »BB-» по международной рейтинговой шкале кредитного рейтингового агентства Fitch Ratings, либо «Ba3» — по международной рейтинговой шкале кредитного рейтингового агентства Moody’s Investors Service, либо «BB-» по международной рейтинговой шкале кредитного рейтингового агентства S&P Global Ratings. Настоящее решение применяется с даты опубликования информации о нем на официальном сайте Банка России до 1 апреля 2023 года.
3) Установлены уровни кредитного рейтинга в целях применения условий совершения сделок по приобретению ценных бумаг физическим лицом, не являющимся квалифицированным инвестором.В целях применения подпункта «б» пункта 6 части 8 статьи 11 Федерального закона от 11.06.2023 N 192-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» установлены следующие уровни кредитного рейтинга облигаций или эмитента облигаций, либо юридического лица за счет которого обеспечивается или осуществляется исполнение обязательств по облигациям:
— для российских объектов рейтинга — «ruBBB+» по национальной рейтинговой шкале для РФ АО «Рейтинговое агентство „Эксперт РА“ либо „BBB+(RU)“ — по национальной рейтинговой шкале для РФ АКРА (АО);
— для иностранных объектов рейтинга — »B+» по международной рейтинговой шкале кредитного рейтингового агентства Fitch Ratings, либо «B1» по международной рейтинговой шкале кредитного рейтингового агентства Moody’s Investors Service, либо «B+» по международной рейтинговой шкале кредитного рейтингового агентства S&P Global Ratings.
Настоящее решение применяется с даты опубликования информации о нем на официальном сайте Банка России до 1 октября 2023 года.
- риск для информационной безопасности;
- риск для информационных систем;
- правовой риск;
- риск ошибок в управлении проектами;
- риск ошибок в управленческих процессах;
- риск ошибок в процессах осуществления внутреннего контроля;
- модельный риск;
- риск потерь средств клиентов, контрагентов, работников и третьих лиц;
- риск ошибок процесса управления персоналом;
- операционный риск платёжной системы.
обобщающий показатель * — характеризующий выполнение группы требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных в пунктах 2.4 — 2.10 настоящего Положения, и вычисляемый как среднее арифметическое оценок выполнения указанных требований, умноженное на корректирующий коэффициент *;
«О подписании Соглашения между Российской Федерацией и Республикой Южная Осетия о порядке исчисления выслуги лет для назначения ежемесячной надбавки за выслугу лет военнослужащим, проходящим военную службу по контракту, и для установления размера ежемесячной надбавки за выслугу лет при исчислении пенсии лицам, уволенным с военной службы»
Поэтому работы по оценке соответствия оператор вправе заказать у лицензиата ФСТЭК России. Доверие к таким работам выше, чем при самостоятельной оценке, так как лицензиат ФСТЭК является внешним аудитором и осуществляет свою деятельность на основании лицензии, выданной регулятором в области защиты информации – ФСТЭК России.
- Определяется перечень требований, согласно роли финансовой организации в национальной платежной системе:
- анализируются требования платежных систем, участником которых является финансовая организация;
- проверяется выполнение данных требований в финансовой организации.
- Анализируется особенности бизнес-процессов, существующих в финансовой организации.
- Анализируются информационные системы финансовой организации и используемые организационные и технические меры обеспечения безопасности информации, в том числе:
- назначение и распределение ролей в платежных системах;
- требования защиты информации на стадиях жизненного цикла информационных систем;
- управление доступом к информационным ресурсам и защита от несанкционированного доступа;
- защита от вредоносного кода;
- требования к использованию сети Интернет;
- криптографическая защита информации;
- технологические меры защиты информации;
- организация и функционирование службы обеспечения безопасности информации;
- повышение осведомленности персонала и клиентов в области безопасности информации;
- выявление инцидентов безопасности информации и реагирование на них;
- порядок обеспечения защиты информации в ОРД финансовой организации и степень его реализации;
- информирование оператора платежной системы об обеспечении защиты информации;
- совершенствование защиты информации.
- Проводится предварительная оценка соответствия финансовой организации требованиям Положения Банка России № 382-П.
- Разрабатывается план работ («дорожная карта») по приведению финансовой организации в соответствие с требованиями Федерального закона «О национальной платежной системе», включающий в себя мероприятия:
- по изменению существующего процесса осуществления денежных переводов;
- по изменению правил взаимодействия с третьими лицами;
- по разработке нормативных документов в области осуществления денежных переводов и ИБ;
- по внесению изменений в технологические процессы;
- по исполнению законодательства Российской Федерации в области защиты персональных данных;
- по внедрению средств защиты информации.
- Проводится разработка нормативных актов в соответствии с Федеральным законом «О национальной платежной системе» по следующим направлениям:
- защита информации при проведении платежей;
- нормативно-методические документы, регламентирующие обработку персональных данных;
- построение делопроизводства для выполнения требований по защите информации;
- методика классификации рисков и проведение классификации активов с принятием допустимого уровня риска;
- рекомендации по стандартизации договорно-правовой работы с партнерами и клиентами.
382 п ЦБ РФ последняя редакция 2023
информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее — объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации;
Эмитент должен будет указать, на основании какой отчетности (консолидированной финансовой отчетности (финансовой отчетности) или бухгалтерской (финансовой) отчетности) в проспекте ценных бумаг раскрывается информация о его финансово-хозяйственной деятельности.
Задачей предпринимателей, бухгалтеров и юристов является заблаговременное ознакомление с предстоящими изменениями и внесение соответствующих корректировок в свои бизнес-процессы, только так возможно не стать объектом для применения ограничительных мер со стороны банков.
в случае отсутствия требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя * и которые полностью не выполняются, корректирующий коэффициент * принимается равным 1;
По дебету счета отражается номинальная стоимость чеков (в том числе дорожных чеков) в иностранной валюте, купленных (оплаченных) кредитной организацией (в том числе у физических лиц), в корреспонденции с корреспондентскими счетами кредитной организации, банковскими счетами клиентов, счетом по учету кассы и другими счетами.
31 Янв 2022 uristpolik 303