Информационная безопасность в финансовом секторе играет одну из важнейших ролей, поскольку утечка данных или успешная атака могут привести к значительным финансовым потерям и репутационным рискам организации. Одним из способов поддержания высокого уровня защиты информации и соответствия законодательству является тестирование на проникновение (пентест). Рассмотрим подробнее ключевые аспекты нормативно-правовой базы, регулирующей эту деятельность.
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон Российской Федерации от 27 июня 2011 года «О национальной платежной системе» устанавливает общие принципы функционирования национальных платежных систем, а также регулирует отношения между операторами платежных систем и другими участниками рынка. В контексте информационной безопасности этот закон предусматривает ряд важных положений:
- Статья 26 закона указывает на необходимость обеспечения защиты информации при осуществлении переводов денежных средств. Участники платежной системы обязаны применять меры, направленные на предотвращение несанкционированного доступа к данным, их изменения, уничтожения или копирования.
- В соответствии с частью 3 статьи 27 закона Банк России вправе устанавливать требования к защите информации при переводах денежных средств. Это означает, что Центральный банк имеет полномочия определять стандарты и правила, которым должны следовать участники рынка для обеспечения безопасности данных.
Таким образом, Федеральный закон № 161-ФЗ закладывает основу для регулирования вопросов информационной безопасности в финансовом секторе, предоставляя Банку России право разрабатывать и утверждать соответствующие нормативные документы.
Государственный стандарт РФ «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» был принят в целях унификации подходов к защите данных в финансовом секторе. Он содержит детальное руководство по созданию и поддержанию эффективных систем управления информационной безопасностью в банках и других финансовых учреждениях.
Стандарт описывает жизненный цикл автоматизированной системы (АС) и меры защиты информации на каждом этапе этого цикла. На этапе «Ввод в эксплуатацию АС» одна из обязательных мер защиты — это реализация контроля защищенности АС, который включает:
- Тестирование на проникновение.
- Анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды.
Эта мера обозначена как ЖЦ.14 и направлена на проверку готовности системы к эксплуатации с точки зрения информационной безопасности. Важно отметить, что данный этап подразумевает не просто формальную оценку, но и активное тестирование системы на предмет наличия уязвимостей, которые могли бы быть использованы злоумышленниками.
На этапе «Эксплуатация (сопровождение) А» применяется аналогичная мера — ЖЦ.20, которая предполагает проведение ежегодного контроля защищенности АС. Эта мера необходима для поддержания актуального уровня защиты, учитывая постоянные изменения в ландшафте угроз и эволюции самих информационных систем.
ГОСТ Р 57580.1-2017 является обязательным для применения всеми финансовыми организациями, что делает его ключевым документом в вопросах защиты информации.
Положение Банка России № 821-ППоложение Центрального банка Российской Федерации от 17 августа 2023 года было разработано на основе части 3 статьи 27 Федерального закона № 161-ФЗ и направлено на установление дополнительных требований к защите информации при переводе денежных средств. Основные положения документа включают:
- Обязанность операторов платежных систем внедрять современные технологии защиты информации, включая средства шифрования и аутентификации.
- Требование регулярного мониторинга состояния информационной безопасности для оперативного обнаружения и устранения возможных угроз.
- Установление порядка реагирования на инциденты информационной безопасности с целью минимизации ущерба и восстановления нормальной работы системы.
Положение № 821-П усиливает требования к участникам платежной системы, обеспечивая тем самым повышенный уровень защиты данных клиентов и самой системы.
Кредитные организации, согласно Положению Банка России от 17 апреля 2019 года , обязаны обеспечивать защиту информации на объектах своей информационной инфраструктуры. Основные моменты этого положения:
- В пункте 3.1 говорится о необходимости реализации соответствующих уровней защиты информации в зависимости от категории значимости объектов инфраструктуры. Это означает, что каждая организация должна оценивать риски и выбирать подходящие меры защиты исходя из важности конкретных информационных ресурсов.
- Пункт 3.2 устанавливает обязательство кредитных организаций проводить ежегодное тестирование на проникновение (пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Такие проверки позволяют выявить потенциальные угрозы и своевременно принять меры по их устранению.
Эти требования направлены на повышение общей устойчивости кредитных организаций к киберугрозам и обеспечение сохранности клиентской информации.
Некредитные финансовые организации, такие как страховые компании, брокеры и микрофинансовые организации, также подлежат строгому контролю со стороны регуляторов. Положение ЦБ РФ от 20 апреля 2021 года устанавливает следующие обязательства:
- Организации, реализующие усиленный уровень защиты информации (например, страховые компании), обязаны ежегодно тестировать свои информационные системы на наличие уязвимостей и возможность проникновения злоумышленников.
- Организации с стандартным уровнем защиты информации также должны проводить подобные тесты, хотя частота проверок может варьироваться в зависимости от особенностей бизнеса.
Этот документ подчеркивает важность регулярного анализа информационной безопасности даже для тех организаций, которые работают с менее чувствительными данными.
Итак, мы видим, что нормативная база, касающаяся проведения пентеста для банковских систем, состоит из нескольких документов:
- Федеральный закон № 161-ФЗ устанавливает базовые принципы защиты информации и предоставляет Банку России полномочия по разработке и утверждению соответствующих норм.
- ГОСТ Р 57580.1-2017 детализирует требования к мерам защиты информации для финансовых организаций, охватывая организационные, технические и мониторинговые аспекты.
- Положения Банка России № 821-П, 683-П и 757-П устанавливают конкретные требования к кредитным и некредитным финансовым организациям, включая обязательность проведения пентеста и анализа уязвимостей.
Хотя законодательство и стандарты четко указывают на необходимость проведения пентеста, они не содержат подробных методических рекомендаций относительно состава работ. Это создает определенные трудности для организаций, пытающихся самостоятельно организовать такие тесты. Поэтому привлечение профессиональных экспертов в области информационной безопасности становится необходимым шагом для эффективного выполнения требований законодательства.
Пентест представляет собой процесс имитации атак на информационную систему с целью выявления её уязвимостей. Основной целью тестирования является определение слабых мест в системе защиты и оценка возможных последствий их эксплуатации злоумышленниками. Мы уже публиковали подробную о пентесте, рекомендуем к прочтению.
ЗаключениеПроведение пентеста для банковской системы — это необходимое условие для соблюдения нормативных актов и стандартов в сфере информационной безопасности. Несмотря на отсутствие чёткой регламентации процесса, участие профессионалов поможет избежать ошибок и обеспечит эффективное выполнение требований законодательства.
Если вы хотите проверить свою организацию на наличие угроз безопасности – свяжитесь с нами и получите подробную консультацию об услуге от наших специалистов.
