Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Банк России требует от финансовых организаций подтверждать безопасность не только средств защиты информации, но и прикладного программного обеспечения, в котором проходят платежные операции. До последнего времени это требование обеспечивалось проведением анализа уязвимостей ПО (ОУД4). Но сейчас все больше организаций склоняются к внедрению процессов безопасной разработки ПО (БРПО), которые не только разово подтверждают отсутствие уязвимостей в конкретный момент времени, но и минимизируют вероятность их появления на всем жизненном цикле ПО за счет периодического проведения проверок безопасности
В последние полгода силы IT/ИБ-служб финансовых организаций были брошены на реструктуризацию внутренних процессов и поиск решений, которые могли бы обеспечить непрерывность операционной деятельности в условиях ухода зарубежных вендоров. Многие организации столкнулись с тем, что имеющиеся на рынке решения в сегодняшнем своем виде не соответствуют ожиданиям. И здесь перед организациями встал вопрос: внедрять то, что есть на рынке, и дорабатывать вместе с российскими вендорами или же постепенно занять вендоронезависимую позицию и начать разработку собственных решений.
При этом требования по обеспечению информационной безопасности никто не отменял. В частности, требования по безопасности прикладного ПО и автоматизированных систем, которые участвуют в финансовых операциях (положения Банка России № 683-П и № 757-П). Помимо этого, если финансовая организация владеет значимым объектом критической информационной инфраструктуры (ЗО КИИ), то требование по безопасности распространяется на все прикладное ПО, согласно Приказу № 239 ФСТЭК России.
Есть несколько способов подтвердить безопасность ПО: наличие сертификата ФСТЭК на используемое ПО, регулярное проведение анализа уязвимостей ОУД4 по ГОСТ Р 15408, внедрение процесса безопасной разработки программного обеспечения. И если изначально требования Банка России предполагали первые два варианта, то сейчас внедрение БРПО стало решением для многих организаций.
По сути, большинство организаций выбирают между проведением анализа уязвимости и внедрением БРПО. Оба варианта имеют свои сильные и слабые стороны, а решение, какой путь выбрать, во многом зависит от выстроенных в организации процессов, в том числе от наличия собственной разработки. В любом случае все упирается в экономическое обоснование и корреляцию с бизнес-целями. В случае с анализом уязвимости требуются меньшие, но постоянные вложения, при этом безопасность оценивается на конкретный момент времени и при обнаружении уязвимостей запускается дорогостоящий цикл разработки для их устранения. В случае БРПО необходимо больше ресурсов в процессе реализации проекта по внедрению, но в дальнейшем, при поддержании процесса, затраты минимальны.
Если говорить о тенденциях, то, безусловно, внедрение безопасного жизненного цикла разработки (SSDLC) — это более современный и дальновидный подход, так как он носит комплексный характер решения проблемы и работает на опережение. При этом он помогает сократить стоимость самой разработки и стоимость реализации требований информационной безопасности.
Внедрение нового процесса или реструктуризация имеющегося в любой организации процесса происходит при внутреннем сопротивлении, и это нормально. В случае с БРПО препятствиями могут стать слабое обоснование для принятия решения, нехватка внутренних компетенций, завышенная оценка риска влияния на существующие процессы и т.д. Для положительного решения относительно внедрения процесса БРПО и его успешного внедрения необходимо соблюсти два основных требования: правильно конфигурировать проект внедрения и разработать целевое состояние БРПО.
Конфигурация проекта подразумевает обязательное выделение руководителя и команды проекта, куда должны войти представители всех подразделений, участвующих в новом процессе. Помимо этого необходимо описать этапы проекта:
Отдельное внимание необходимо уделить конфигурации целевого состояния процесса БРПО на втором этапе. И здесь опять же нужно обратиться к целям проекта, так как от них напрямую зависит, какую методологию организации БРПО выбрать. В случае комплаенс-целей можно ориентироваться, например, на Приказ ФСТЭК России № 239, где описаны основные мероприятия по проверке безопасности. В общем виде все основные процессы БРПО описаны в ГОСТ Р 56939, но их необходимо дополнить процессами менеджмента БРПО по ГОСТ Р ИСО/МЭК 27034хх. Можно выделить три большие группы подпроцессов:
При соблюдении проектного подхода к внедрению БРПО и корректном формировании целевого состояния с учетом имеющихся процессов и бизнес-целей безопасная разработка не только не утяжелит операционную деятельность, но и оптимизирует ее.
В марте 2024 года законодатель разрешил использовать цифровые финансовые активы (ЦФА) в качестве средства платежа по внешнеторговым контрактам. Это уникальный случай: ЦФА теперь выполняют одну из функций денежных средств — погашают денежные обязательства. Для российского бизнеса это открыло новые горизонты в условиях ограничений на трансграничные денежные расчеты