В компании «Новая Афина» проведен анализ требований Положения Банка России № 672-П «О требованиях к защите информации в платежной системе Банка России» от 09.01.2019 г. и Положения Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» с изменениями от 07.05.2018 г. (указание № 4793-У).
Данные требования регламентируют использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений и вступают в силу с 01.01.2020 г.
Компания «Новая Афина» предлагает два варианта реализации требований по использованию для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений:
Вариант 1. Сертификация продукта в Федеральной службе по техническому и экспортному контролю (ФСТЭК). В этом случае будет выполнено требование части 1 пункта 2.5.5.1 Положения № 382-П:
«использование средств, сертифицированных в системе сертификации ФСТЭК на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации»
Вариант 2. Проведение анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, с получением соответствующих сертификатов от уполномоченных организаций.
В этом случае будет выполнено требование части 2 пункта 2.5.5.1 Положения № 382-П (альтернативное требованию части 1 того же пункта):
«использование средств, в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности».
По второму варианту компания «Новая Афина» разработает собственные сертифицированные средства защиты информации.
По оценкам компании, второй вариант является более экономичным и менее длительным (требуется около 6 месяцев) и выглядит более оптимально.
В обоих вариантах указанные сертифицированные средства будут являться лицензионным функционалом.
После запуска процедур сертификации по одному из предлагаемых вариантов, в течение нескольких месяцев будет сформирована либо официальная заявка на сертификацию продукта, либо на проведение проверки, и клиенты компании «Новая Афина» получат официальный документ о запуске процедуры сертификации/проверки, который можно будет представить контролирующим органам в случае необходимости.
Клиенты компании «Новая Афина» могут выбрать любой из вариантов, исходя из собственной политики безопасности и, возможно, дополнительных источников информации.
Тем не менее, для начала реализации указанных требований необходимы окончательные разъяснения Банка России. Дело в том, что в конце сентября 2019 г. представителями Банка России был проведен семинар «Требования к обеспечению защиты информации в кредитных организациях при осуществлении банковской деятельности», на котором было сказано, что требования пункта 2.5.5.1 Положения № 382-П применимы только к системам дистанционного банковского обслуживания (ДБО), интернет-банкинга и клиентским мобильным приложениям. Автоматизированные банковские системы, в том числе в части осуществления платежей в бэк-офисе, не нуждаются в подобной сертификации. Таким образом, с точки зрения участников семинара требования пункта 2.5.5.1 не затрагивают ИСУБД «Новая Афина» и CBS Athena.
С учетом этой информации, компания «Новая Афина» приостанавливает работы по подготовке сертифицированных версий своих продуктов до получения окончательных разъяснений Банка России.