logo
 

Оценка соответствия требованиям Положения Банка России № 802-П


Положение Банка России №802-П устанавливает требования к участникам платежной системы участники платежной системы Банка России и операторам, использующим сервис быстрых платежей
802-П вступает в силу с 10.12.2022 г. и отменяет более ранний аналог, положение 747-П от 23 декабря 2020 г. «О требованиях к защите информации в платежной системе Банка России»
802-П обязует не реже 1 раза в 2 года проходить оценку соотвествия по требованиям самого положения, а также
ГОСТ Р 57580.1
В качестве методологии проведения оценки соответствия требованиям 802-П применяется стандарт ГОСТ Р 57580.1
  • Положение Банка России №802-П устанавливает требования к участникам платежной системы участники платежной системы Банка России и операторам, использующим сервис быстрых платежей
  • 802-П вступает в силу с 10.12.2022 г. и отменяет более ранний аналог, положение 747-П от 23 декабря 2020 г. «О требованиях к защите информации в платежной системе Банка России»
  • 802-П обязует 1 раз 2 года проходить оценку соотвествия по требованиям самого положения, а также ГОСТ Р 57580.1
  • В качестве методологии проведения оценки соответствия требованиям 802-П применяется стандарт ГОСТ Р 57580.1
Эксперты FBK CyberSecurity проводят оценку соответствия финансовой организации требованиям Положения Банка России от 25.07.2022 № 802-П «О требованиях к защите информации в платежной системе Банка России», включая проведение работ по оценке в рамках требований национального стандарта в области информационной безопасности для финансовых организаций ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
О чем говорится в Положении Банка России №802-П
  • Для участников СБП
    802-П распространяется на участников обмена и кредитные организации (их филиалы) или международные финансовые организации, а также операционные центры, платежный клиринговый центр другой ПС при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием СБП, операторов услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием СБП.
  • Методология оценки соответствия
    802-П в качестве методологии проведения оценки соответствия ссылается на ГОСТ Р 57580.1, в соответствие с требованиями которого некредитная финансовая организация обязана определить для себя требуемый уровень защиты информации (далее: уровни ЗИ), который и определяет перечень необходимых мер защиты информации (далее: меры ЗИ) для отдельных видов НФО.
  • Определение уровня ЗИ и оценка соответствия
    Определение уровня защиты информации должно осуществляться всеми НФО ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации (п. 1.4.1. 757-П).

    НФО реализующие стандартный
    и усиленный уровень ЗИ обязаны проходить оценку соответствия определенного ими уровня защиты информации с привлечением компании-лицензиата ФСТЭК (п. 1.5. и 1.5.1. 757-П): 1 раз в год для усиленного уровня ЗИ и 1 раз в 3 года для стандартного уровня ЗИ.
Основные отличия 802-П и 747-П
  1. 747-П ссылался в своих требованиях по обеспечению защитных мер на Положение 382-П (отменено). 802-П в свою очередь отсылает к положению №719 (актуальная замена 382-П).
  2. Нормативной база Положения 802-П актуализирована.
  3. Учтены разъяснения Банка России, данные к утратившему силу положению 747-П.
  4. Актуализирован перечень угроз и рисков информационной безопасности.
Ключевые требования Положения 802-П
Оценка по требованиям 802-П и ГОСТ Р 57580.1

Для оценки участниками ССНП, участниками СБП, ОПКЦ СБП и ОУИО СБП выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - оценка соответствия) устанавливаются следующие требования:

  1. "Оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3 - 6 настоящего Положения" (п. 20 Положения 802-П);
  2. "Оценка соответствия должна проводиться в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018" (п. 20 Положения 802-П);
  3. "Оценка соответствия должна проводиться не реже одного раза в два года" (п. 20 Положения 802-П);
  4. "... должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-6 настоящего Положения, уровень соответствия не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018" (п. 20 Положения 802-П).
  5. "Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России осуществляет в отношении участников обмена и ОПКЦ СБП в соответствии с главой 7 Положения Банка России N 719-П" (п. 21 Положения 802-П).



Требования по созданию выделенного сегмента инфраструктуры и применение защитных мер

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей должны применяться меры защиты информации в соответствии с указанными ниже уровнями защиты информации (предусмотренные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017):

Участники СБП - стандартный уровень (2) ЗИ.
ОУИО СБП - стандартного уровня (2) ЗИ.
ОПКЦ СБП - усиленный уровень (1) ЗИ.
ССНП - стандартного уровня (2) ЗИ.
Требования к ВНД

Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП во внутренних документах должны определить состав и порядок применения организационных мер защиты информации, состав и порядок использования технических СЗИ.

Полный перечень документов, разработка которых необходима в соответствие с требованиями 802-П Вы можете запросить через форму обратной связи.

Полный перечень требований в Исходном тексте Положения Банка России №802
Этапы оказания услуг
Анализ внутренних документов организации
Интервьюирование сотрудников и предварительная оценка
Проверка свидетельств для подтверждения выполнения технических мер
Итоговая оценка, подготовка и подписание отчета
Разработка / доработка необходимой внутренней нормативной документации
В комплекс также могут входить следующие услуги
719-П
Оценка соответствия требованиям
в области обеспечения ЗИ при осуществлении переводов
денежных средств
ГОСТ Р 57580
Оценка соответствия требованиям Национального стандарта ИБ РФ для финансовых организаций
683-П
Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
716-П
Оценка соответствия требованиям к системе управления операционнымм риском (вкл. риски ИБ) для кредитных организаций
435 приказ Минцифры
Оценка соответствия требованиям при интеграции с Единой биометрической системой
152-ФЗ
Оценка соответствия требованиям в области защиты персональных данных
Тестирование на проникновение
Техническая оценка защищенности
в рамках требований положений Центрального Банка России или по инициативе организации
Повышение осведомленности
в области ИБ
Обучение в области информационной безопасности для рядовых сотрудников
Почему FBK CyberSecurity?
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты
в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
Почему FBK CyberSecurity?
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Свяжитесь с нами для уточнения деталей и стоимости
Нажимая на кнопку "Отправить" вы соглашаетесь
с Политикой конфиденциальности FBK CyberSecurity