FBK Cybersecurity
 

Оценка соответствия требованиям Положения Банка России №821-П

С 1 апреля 2024 года вступаютс в силу требования Положения Банка России №821-П. Данное Положение полностью заменяет Положение 719-П
Оценка соответствия требованиям 821-П проводится лицензиатами ФСТЭК и может проводиться в комплексе оценки по другим регуляторным требованиям
Оценка соответствия в рамках требований 821-П включает оценку по актуальной части требований ГОСТ Р 57580.1, тест на проникновение и оценку ПО по ОУД4
Положение 821-П устанавливает к обеспечению защиты информации при переводе денежных средств и требует подтверждение соответствия
  • С 1 апреля 2024 года вступаютс в силу требования Положения Банка России №821-П. Данное Положение полностью заменяет Положение 719-П
  • Оценка соответствия требованиям 821-П проводится лицензиатами ФСТЭК и может проводиться в комплексе оценки по другим регуляторным требованиям
  • Оценка соответствия в рамках требований 821-П включает оценку по актуальной части требований ГОСТ Р 57580.1, тест на проникновение и оценку ПО по ОУД4
  • Положение 821-П устанавливает к обеспечению защиты информации при переводе денежных средств и требует подтверждение соответствия
Эксперты FBK CyberSecurity проводят независимую оценку соответствия требованиям Положения Банка России №821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Ежегодно мы реализуем более 20 проектов по оценке соответствия финансовых организаций требованиям Банка России в области информационной безопасности включая оценку по ГОСТ Р 57580.1 и Положениям Центрального Банка России.
О чем Положение Банка России №821-П
  • ТРЕБОВАНИЯ
    1. Организация законного использования криптографии, в т.ч. электронной подписи
    2. Реализация уровня защиты по ГОСТ 57580.1, периодического аудита по ГОСТ 57580.2
    3. Тестирование на проникновение
    4. Использование ПО, прошедшего сертификацию или оценку уровня доверия (ОУД-4)
    5. Выполнения требований 187-ФЗ
    6. Выполнение требовании 152-ФЗ
    7. Информирование Банка России об обнаруженных инцидентов
    8. Реализация технологических мер защиты
    9. Внутренняя регламентация реализованных мер и процессов защиты
  • НА КОГО РАСПРОСТРАНЯЮТСЯ
    1. Операторы по переводу денежных средств (ОПДС)
    2. Банковские платежные агенты (субагенты) (БПА)
    3. Операторы услуг информационного обмена (ОУИО)
    4. Поставщики платежных приложений
    5. Операторы платежных систем (ОПС)
    6. Операторы услуг платежной инфраструктуры (ОУПИ)
    7. Операторы электронных платформ
  • КАК ОЦЕНИВАЕТСЯ
    1. Не реже 1 раза в 2 года проходить независимую оценку соответствия ГОСТ Р 57580.1-2017 при участии лицензиата ФСТЭК (Постановление Правительства № 79).
    2. Ежегодно проводить тестирование на проникновение.
    3. Ежегодно проводить анализ уязвимостей ПО по ОУД.4 (требования к уровням доверия для разных видо КО отличаются)
от 719-П к 821-П – изменения
Положение Банка России №821-П в свою очередь вносит ряд небольших корректив и уточнений:

  • Как в свое время 719-П ввело новых ответственных (операторов услуг информационного обмена и поставщиков платежных приложений), так и 821-П вводит новую категорию организаций, ответственных за реализацию требований Банка России - операторов электронных платформ, которым посвящена отдельная глава (Глава 7).
    • Операторы электронных платформ "осуществляющие деятельность оператора финансовой платформы... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 2 Положения Банка России от 20 апреля 2021 года N 757-П.";
    • Операторы электронных платформ "осуществляющие деятельность оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 3 Положения Банка России от 20 апреля 2021 года N 757-П."
    • "Операторы электронных платформ для объектов информационной инфраструктуры должны применять меры защиты информации, реализующие уровни защиты информации, установленные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, в соответствии с подпунктами 1.4.3 и 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П.
    • "Операторы электронных платформ должны обеспечивать защиту информации при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в рамках расчетов по сделкам, совершенным с использованием электронной платформы."
    • "Операторы электронных платформ при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строки 11 приложения 2 к настоящему Положению (821-П)"
  • Дополнена формулировка в п.1.5. (информирование Банка России об инцидентах защиты информации): "(информировать Банк России) о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные оператором по переводу денежных средств, оператором услуг платежной инфраструктуры или Банком России инциденты защиты информации, включенные в перечень типов инцидентов..." В сам пункт 1.5. добавлена ссылка на пункт 5 части 4 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ;
  • Добавлено требование информировать Банк России о "сайтах в сети "Интернет", которые используются операторами по переводу денежных средств, операторами услуг платежной инфраструктуры для осуществления их деятельности, принадлежащих им и (или) принадлежащих иной организации, но администрируемых в интересах операторов по переводу денежных средств, операторов услуг платежной инфраструктуры на основании договора возмездного оказания услуг".
  • Конкретизирован п.2.4 (требования в части оценки соответствия): "Операторы по переводу денежных средств должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018."
  • Уточнен п.2.5 (требования в отношении ОППДС, являющихся системно-значимыми КО): "Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложение, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76." Аналогичная правка (уточнение) была сделана в части требований к организациям, не относящимся к системно значимым: теперь, в случае принятия решения, они должны обеспечить сертификацию ПО не ниже 5 уровня доверия. Оба требования теперь ссылаются на Приказ ФСТЭК от 2 июня 2020 года N 76 (ранее ссылка была на Приказ ФСТЭК N 131).
  • Внесены правки в п.2.8 (об ограничениях параметров операций): "реализовать ограничения по параметрам операций по осуществлению переводов денежных средств на основании заявлений клиентов в отношении операций по осуществлению переводов денежных средств, в том числе в соответствии с частью 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ."
  • В п.2.10 (перчень параметров операций, подлежащих ограничению) удалено слово "могут", за счет чего формулировка принимает характер требования: При реализации ограничений по параметрам операций по осуществлению переводов денежных средств (могут) применяются ограничения на..."
  • Удален п.2.12 (о контроле показателя уровня переводов без согласия клиента), присутствовавший в 719-П: в тексте Положения 821-П больше нет требования о необходимости "обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе, не более 0,005 процента".
Ссылки на другие нормативно-правовые акты

Положение Банка России №821-П связано с рядом ключевых нормативно-правовых актов в области информационной безопасности, на которые оно ссылается в части требований, относящихся к регулируемым ими областям.
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.1-2018 национальный банковский стандарт в области защиты информации финансовых организаций.
Федеральный закон от 26 июля 2017 г. № 187-ФЗ — «О безопасности критической информационной инфраструктуры Российской Федерации»
Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" определяет требования к обеспечению безопасности персональных данных
Требования к проведению независимой оценки соответствия

Положение Банка России №719-П обязывает кредитные организации регулярно проходить независимую оценку соответствия с привлечением аудитора, лицензиата ФСТЭК. Ниже мы конкретизировали требования в части оценочных мероприятий и технических тестирований используемых систем. Обратите внимание, что для всех ответственных организаций частота проведения контрольных мероприятий одинаковая: оценка соответствия по ГОСТ Р 57580.1-2017 - 1 раз в 2 года, тестирование на проникновение или оценка применяемого ПО по ОУД4 (в некоторых случаях организация вправе выбрать один из этих вариантов для проведения оценки соответствия) - ежегодно.
Операторы по переводу денежных средств (ОПДС), поставщики платежных приложений при их привлечении операторами по переводу денежных средств
Оценка по ГОСТ Р 57580

(пункт 2.4.) Обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
Оценка по ОУД4

(пункт 2.5.) Обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия.
Тест на проникновение

(глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Банковские платежные агенты (субагенты)
Оценка по ГОСТ Р 57580

(пункт 3.5.)
  • Минимальный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017. Может быть повышен на основе анализа рисков.
  • Не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
  • Оценка не реже одного 1 в 2 года.
    Оценка по ОУД4

    (пункт 3.10.) В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений банковские платежные агенты (субагенты) должны обеспечить сертификацию не ниже 6 уровня доверия.
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Операторы услуг информационного обмена
    Оценка по ГОСТ Р 57580

    (пункт 4.3.)
    • Стандартный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017. Может быть повышен на основе анализа рисков.
    • Не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018
    • Оценка не реже 1 раза в 2 года.
    Оценка по ОУД4

    (пункт 4.6.) В случае принятия решения о проведении сертификации прикладного программного обеспечения автоматизированных систем и приложений операторы услуг информационного обмена должны обеспечить сертификацию не ниже 5 уровня доверия
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Операторы услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра)
    Оценка по ГОСТ Р 57580

    (пункты 6.5, 6.7, 6.8)
    • Операторы услуг платежной инфраструктуры, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем должны обеспечивать усиленный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017;
    • Другие операторы услуг платежной инфраструктуры должны обеспечивать стандартный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017.
    • Уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
    • Оценка не реже 1 раза в 2 года.
    Оценка по ОУД4

    (пункт 6.9.)
    • В случае применения усиленного уровня защиты информации обеспечить сертификацию не ниже 4 уровня доверия.
    • В случае применения усиленного уровня защиты информации обеспечить сертификацию не ниже 5 уровня доверия.
    Тест на проникновение

    (глава 1, пунк 1.1) Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
    Методология оценки соответствия

    Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны проводить оценку в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

    (Глава 1, пунк 1.1 Положения Банка России №719-П)
    Анализ внутренних документов (ВНД) организации
    Интервьюирование сотрудников и предварительная оценка
    Этапы оказания услуг
    Разработка / доработка необходимой внутренней нормативной документации
    Проверка свидетельств для подтверждения выполнения технических мер
    Итоговая оценка, подготовка и подписание отчета
    Методология оценки соответствия
    В процессе и в результате проведения работ по независимой оценке соответствия требованиям Положения Банка России №719-П кредитная организация получает:

    • Рекомендации для повышения защищенности организации.
    • Заключение независимого аудитора, лицензиата ФСТЭК о соответствии требования Положения Банка России №719-П.
    • Отчетная документация по итогам проведения независимой оценки соответствия для представления в Банк России.
    Оценка соответствия требованиям Национального стандарта ИБ РФ для финансовых организаций
    802-П
    Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
    683-П
    Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
    757-П
    Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций (НФО)
    Приказ Минцифры №435 и требования ЕБС
    Оценка соответствия требованиям при интеграции с Единой биометрической системой (ЕБС)
    В комплекс также могут входить следующие услуги
    Тестирование на проникновение
    Техническая оценка защищенности
    в рамках требований положений Центрального Банка России или по инициативе организации
    Повышение осведомленности
    в области ИБ
    Обучение в области информационной безопасности для рядовых сотрудников
    152-ФЗ
    Оценка соответствия требованиям в области защиты персональных данных
    ГОСТ Р 57580
    Почему FBK CyberSecurity?
    Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
    Сертифицированные специалисты и эксперты в области кибербезопасности
    Мы оцениваем не только номинальное соответствие требованиям регулятора,
    но и практическую эффективность принятых мер
    У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
    Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
    Сертифицированные специалисты и эксперты
    в области кибербезопасности
    Мы оцениваем не только номинальное соответствие требованиям регулятора,
    но и практическую эффективность принятых мер
    Почему FBK CyberSecurity?
    У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
    Свяжитесь с нами для уточнения деталей и стоимости
    Нажимая на кнопку "Отправить" вы соглашаетесь
    с Политикой конфиденциальности FBK CyberSecurity