Требования к обеспечению защиты информации
Банк России опубликовал Информационное письмо от 08.07.2020 № ИН-014-56/110 "Об анализе уязвимостей ПО по требованиям к оценочному уровню доверия (ОУД)".
В целях обеспечения единообразной практики применения отдельных положений нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации при осуществлении перевода денежных средств и в целях противодействия осуществлению переводов денежных средств без согласия клиента, а также в целях противодействия осуществлению незаконных финансовых операций, Банк России сообщает следующее.
Некредитные финансовые организации обязаны обеспечивать защиту информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций согласно Положению Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П).
В силу пункта 9 Положения № 684-П некредитные финансовые организации должны проводить анализ уязвимостей в отношении указанного в этих нормах прикладного программного обеспечения автоматизированных систем и приложений по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 (далее – Анализ) в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014).
В целях проведения Анализа рекомендуем применять одобренный подкомитетом № 1 «Безопасность финансовых (банковских) операций» Технического комитета по стандартизации № 122 «Стандарты финансовых операций»2 методический документ «Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», размещенный на официальном сайте Банка России в информационнотелекоммуникационной сети «Интернет» в подразделе «Стандарты Банка России» раздела «Информационная безопасность».