Информационное письмо Банка России от 08.07.2020 N ИН-014-56/110 "Об анализе уязвимостей ПО по требованиям к оценочному уровню доверия (ОУД)"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННОЕ ПИСЬМО

от 8 июля 2020 г. N ИН-014-56/110

ОБ АНАЛИЗЕ

УЯЗВИМОСТЕЙ ПО ПО ТРЕБОВАНИЯМ К ОЦЕНОЧНОМУ УРОВНЮ

ДОВЕРИЯ (ОУД)

В целях обеспечения единообразной практики применения отдельных положений нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации при осуществлении перевода денежных средств и в целях противодействия осуществлению переводов денежных средств без согласия клиента, а также в целях противодействия осуществлению незаконных финансовых операций Банк России сообщает следующее.

Кредитные организации обязаны обеспечивать защиту информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента согласно Положению Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П);

Некредитные финансовые организации обязаны обеспечивать защиту информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций согласно Положению Банка России от 17 апреля 2019 года N 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение N 684-П);

Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств согласно Положению Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение N 382-П).

В силу подпункта 4.1 пункта 4 Положения N 683-П, пункта 9 Положения N 684-П и подпункта 2.5.5.1 пункта 2.5 Положения N 382-П кредитные организации, некредитные финансовые организации и операторы услуг платежной инфраструктуры должны проводить анализ уязвимостей <1> в отношении указанного в этих нормах прикладного программного обеспечения автоматизированных систем и приложений по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 (далее - Анализ) в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

--------------------------------

<1> Положения о проведении анализа уязвимостей по требованиям к оценочному уровню доверия предусмотрены также пунктом 9.5 национального стандарта ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

В целях проведения Анализа рекомендуем применять одобренный подкомитетом N 1 "Безопасность финансовых (банковских) операций" Технического комитета по стандартизации N 122 "Стандарты финансовых операций" <2> методический документ "Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций", размещенный на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в подразделе "Стандарты Банка России" раздела "Информационная безопасность".

--------------------------------

<2> Организован в соответствии с приказом Росстандарта от 21.08.2017 N 1759 "Об организации деятельности технического комитета по стандартизации "Стандарты финансовых операций".

Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя

Банка России

Д.Г.СКОБЕЛКИН