FBK Cybersecurity
Обратная связь
 
Обратная связь

Оценка соответствия требованиям Положения Банка России №719-П

ОСТАВИТЬ ЗАЯВКУ
719-П также как и 382-П устанавливает требования к обеспечению защиты информации при переводе денежных средств и регулярному подтверждению соответствия
Оценка соответствия требованиям 719-П проводится лицензиатами ФСТЭК и может проводиться в комплексе оценки по другим регуляторным требованиям
Оценка соответствия в рамках требований 719-П включает оценку по актуальной части требований ГОСТ Р 57580.1, тест на проникновение и оценку ПО по ОУД4
Оценка соответствия 719-П проводится по методологии ГОСТ Р 57580.2-2018
  • ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
  • ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
  • ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
  • Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
    как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят независимую оценку соответствия требованиям Положения Банка России №719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Ежегодно мы реализуем ~20 проектов по оценке соответствия финансовых организаций требованиям Банка России в области информационной безопасности включая оценку по ГОСТ Р 57580.1 и Положениям ЦБ.
О чем Положение Банка России №719-П
  • Требования к кредитным организациям
    1. Создание системы ИБ.
    2. Организация системы управление рисками ИБ.
    3. Разработка и переоценка политики ИБ.
    4. Обучение персонала.
    5. Определение ответственных за обеспечение ИБ.
    6. Организация резервного копирования и восстановления данных.
    7. Уведомление об инцидентах ИБ
    8. Независимая оценка соответствия и тестирование на проникновение.
  • На кого распространяется
    1. Микрофинансовые организации.
    2. Платежные организации
      и платежные системы.
    3. Небанковские кредитные организации.
    4. Кредитные кооперативы.
    5. Банки.
  • Оценка соответствия и тестирование на проникновение
    1. Не реже 1 раза в 2 года проходить независимую оценку соответствия при участии лицензиата ФСТЭК.
    2. Ежегодно проводить тестирование на проникновение.
    3. Ежегодно проводить анализ уязвимостей ПО по ОУД.4 (требования к уровням доверия для разных видо КО отличаются)
Исходный документ Положение ЦБ РФ №719-П
От 382-П к 719-П – отличия
Положение Банка России №719-П является прямым продолжаетелем более раннего Положения №382-П, а также расширет требования к участникам процесса перевода денежных средств:

  • Расширен перечень ответственных организаций: добавлены операторы услуг информационного обмена и поставщики платежных приложений.
  • В части требований к защите информации 719-П ссылается на ГОСТ 57580.1. В самом положении также содержится часть требований. Оценка соответствия требованиям проводится по ГОСТ 57580.2.
  • Операторы по переводу денежных средств (ОППДС) должны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений по уровню доверия не ниже 5-го. Для значимых и системно значимых кредитных организаций установлен уровень не ниже 4-го.
  • Ужесточены требования к банковским платежных агентам и субагентам.
  • Добавлена необходимость ежеквартально вычислять значение показателя, характеризующего уровень переводов денежных средств без согласия клиента.
  • Добавлена обязанность подтверждать принадлежность клиентам e-mail, на которые отправляются выписки и подтверждения перевода денежных средств.
  • Расширены требования по применению технологий обработки защищаемой информации;
  • Добавлены требования к защите персональных данных;
  • Существенно расширены требования к применению электронной подписи.
Ссылки на другие нормативно-правовые акты

Помимо связи с 382-П, Положение Банка России №719-П связано с другими ключевыми нормативно-правовыми документами в области информационной безопасности кредитных организаций.
ГОСТ Р 57580.1
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.1-2018 национальный банковский стандарт в области защиты информации финансовых организаций.
ГОСТ Р 15408-3
Приказ ФСТЭК России от 18 февраля 2013 года № 21 – основополагающий документ о мерах обеспечения безопасности ПДн
№ 152-ФЗ
Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" определяет требования к обеспечению безопасности персональных данных
Требования к проведению независимой оценки соответствия

Положение Банка России №719-П обязывает кредитные организации регулярно проходить независимую оценку соответствия с привлечением аудитора, лицензиата ФСТЭК. Ниже мы конкретизировали требования в части оценочных мероприятий и технических тестирований используемых систем. Обратите внимание, что для всех ответственных организаций частота проведения контрольных мероприятий одинаковая: оценка соответствия по ГОСТ Р 57580.1-2017 - 1 раз в 2 года, тестирование на проникновение или оценка применяемого ПО по ОУД4 (в некоторых случаях организация вправе выбрать один из этих вариантов для проведения оценки соответствия) - ежегодно.
Операторы по переводу денежных средств (ОПДС), поставщики платежных приложений при их привлечении операторами по переводу денежных средств
Оценка по ГОСТ Р 57580

(пункт 2.4.) Обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
Оценка по ОУД4

(пункт 2.5.) Обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия.
Тест на проникновение

(глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Банковские платежные агенты (субагенты)
Оценка по ГОСТ Р 57580

(пункт 3.5.)
  • Минимальный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017. Может быть повышен на основе анализа рисков.
  • Не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
  • Оценка не реже одного 1 в 2 года.
    Оценка по ОУД4

    (пункт 3.10.) В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений банковские платежные агенты (субагенты) должны обеспечить сертификацию не ниже 6 уровня доверия.
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Операторы услуг информационного обмена
    Оценка по ГОСТ Р 57580

    (пункт 4.3.)
    • Стандартный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017. Может быть повышен на основе анализа рисков.
    • Не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018
    • Оценка не реже 1 раза в 2 года.
    Оценка по ОУД4

    (пункт 4.6.) В случае принятия решения о проведении сертификации прикладного программного обеспечения автоматизированных систем и приложений операторы услуг информационного обмена должны обеспечить сертификацию не ниже 5 уровня доверия
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Операторы услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра)
    Оценка по ГОСТ Р 57580

    (пункты 6.5, 6.7, 6.8)
    • Операторы услуг платежной инфраструктуры, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем должны обеспечивать усиленный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017;
    • Другие операторы услуг платежной инфраструктуры должны обеспечивать стандартный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017.
    • Уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
    • Оценка не реже 1 раза в 2 года.
    Оценка по ОУД4

    (пункт 6.9.)
    • В случае применения усиленного уровня защиты информации обеспечить сертификацию не ниже 4 уровня доверия.
    • В случае применения усиленного уровня защиты информации обеспечить сертификацию не ниже 5 уровня доверия.
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Методология оценки соответствия

    Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны проводить оценку в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

    (Глава 1, пунк 1.1 Положения Банка России №719-П)
    Анализ внутренних документов (ВНД) организации
    Интервьюирование сотрудников и предварительная оценка
    Этапы оказания услуг
    Разработка / доработка необходимой внутренней нормативной документации
    Проверка свидетельств для подтверждения выполнения технических мер
    Итоговая оценка, подготовка и подписание отчета
    Методология оценки соответствия
    В процессе и в результате проведения работ по независимой оценке соответствия требованиям Положения Банка России №719-П кредитная организация получает:

    • Рекомендации для повышения защищенности организации.
    • Заключение независимого аудитора, лицензиата ФСТЭК о соответствии требования Положения Банка России №719-П.
    • Отчетная документация по итогам проведения независимой оценки соответствия для представления в Банк России.
    Оценка соответствия требованиям Национального стандарта ИБ РФ для финансовых организаций
    802-П
    Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
    683-П
    Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
    757-П
    Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций (НФО)
    Приказ Минцифры №435 и требования ЕБС
    Оценка соответствия требованиям при интеграции с Единой биометрической системой (ЕБС)
    В комплекс также могут входить следующие услуги
    Тестирование на проникновение
    Техническая оценка защищенности
    в рамках требований положений Центрального Банка России или по инициативе организации
    Повышение осведомленности
    в области ИБ
    Обучение в области информационной безопасности для рядовых сотрудников
    152-ФЗ
    Оценка соответствия требованиям в области защиты персональных данных
    ГОСТ Р 57580
    Почему FBK CyberSecurity?
    Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
    Сертифицированные специалисты и эксперты в области кибербезопасности
    Мы оцениваем не только номинальное соответствие требованиям регулятора,
    но и практическую эффективность принятых мер
    У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
    Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
    Сертифицированные специалисты и эксперты
    в области кибербезопасности
    Мы оцениваем не только номинальное соответствие требованиям регулятора,
    но и практическую эффективность принятых мер
    Почему FBK CyberSecurity?
    У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
    Свяжитесь с нами для уточнения деталей и стоимости
    Нажимая на кнопку "Отправить" вы соглашаетесь
    с Политикой конфиденциальности FBK CyberSecurity