logo
 

Оценка соответствия требованиям Положения Банка России №821-П


С 1 апреля 2024 года вступаютс в силу требования Положения Банка России №821-П. Данное Положение полностью заменяет Положение 719-П
Оценка соответствия требованиям 821-П проводится лицензиатами ФСТЭК и может проводиться в комплексе оценки по другим регуляторным требованиям
Оценка соответствия в рамках требований 821-П включает оценку по актуальной части требований ГОСТ Р 57580.1, тест на проникновение и оценку ПО по ОУД4
Положение 821-П устанавливает к обеспечению защиты информации при переводе денежных средств и требует подтверждение соответствия
  • С 1 апреля 2024 года вступаютс в силу требования Положения Банка России №821-П. Данное Положение полностью заменяет Положение 719-П
  • Оценка соответствия требованиям 821-П проводится лицензиатами ФСТЭК и может проводиться в комплексе оценки по другим регуляторным требованиям
  • Оценка соответствия в рамках требований 821-П включает оценку по актуальной части требований ГОСТ Р 57580.1, тест на проникновение и оценку ПО по ОУД4
  • Положение 821-П устанавливает к обеспечению защиты информации при переводе денежных средств и требует подтверждение соответствия
Эксперты FBK CyberSecurity проводят независимую оценку соответствия требованиям Положения Банка России №821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Ежегодно мы реализуем более 20 проектов по оценке соответствия финансовых организаций требованиям Банка России в области информационной безопасности включая оценку по ГОСТ Р 57580.1 и Положениям Центрального Банка России.
О чем Положение Банка России №821-П
  • ТРЕБОВАНИЯ (КРАТКО)
    1. Организация законного использования криптографии, в т.ч. электронной подписи
    2. Реализация уровня защиты по ГОСТ 57580.1, периодического аудита по ГОСТ 57580.2
    3. Тестирование на проникновение
    4. Использование ПО, прошедшего сертификацию или оценку уровня доверия (ОУД-4 или ОУД-5 в зависимости от применяемого уровня защиты информации)
    5. Выполнения требований 187-ФЗ
    6. Выполнение требовании 152-ФЗ
    7. Информирование Банка России об обнаруженных инцидентов
    8. Реализация технологических мер защиты
    9. Внутренняя регламентация реализованных мер и процессов защиты
  • НА КОГО РАСПРОСТРАНЯЮТСЯ
    1. Операторы по переводу денежных средств (далее - ОПДС)
    2. Банковские платежные агенты (субагенты) (далее - БПА)
    3. Операторы услуг информационного обмена (далее - ОУИО)
    4. Поставщики платежных приложений (далее - ППП)
    5. Операторы платежных систем (далее - ОПС)
    6. Операторы услуг платежной инфраструктуры (далее - ОУПИ)
    7. Операторы электронных платформ (далее - ОЭП)
  • КАК ОЦЕНИВАЕТСЯ
    1. Не реже 1 раза в 2 года проходить независимую оценку соответствия ГОСТ Р 57580.1-2017 при участии лицензиата ФСТЭК (Постановление Правительства № 79).
    2. Ежегодно проводить тестирование на проникновение.
    3. Ежегодно проводить анализ уязвимостей ПО по ОУД.4 (требования к уровням доверия для разных видо КО отличаются)
от 719-П к 821-П – изменения
Положение Банка России №821-П в свою очередь вносит ряд небольших корректив и уточнений:

  • Как в свое время 719-П ввело новых ответственных (операторов услуг информационного обмена и поставщиков платежных приложений), так и 821-П вводит новую категорию организаций, ответственных за реализацию требований Банка России - операторов электронных платформ, которым посвящена отдельная глава (Глава 7). Ниже приводим все пункты 7-й главы:
    • Операторы электронных платформ "осуществляющие деятельность оператора финансовой платформы... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 2 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.1. 7 главы 821-П);
    • Операторы электронных платформ "осуществляющие деятельность оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 3 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.2. 7 главы 821-П);
    • "Операторы электронных платформ для объектов информационной инфраструктуры должны применять меры защиты информации, реализующие уровни защиты информации, установленные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, в соответствии с подпунктами 1.4.3 и 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.3. 7 главы 821-П);
    • "Операторы электронных платформ должны обеспечивать защиту информации при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в рамках расчетов по сделкам, совершенным с использованием электронной платформы" (п.7.4. 7 главы 821-П);
    • "Операторы электронных платформ при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строки 11 приложения 2 к настоящему Положению (821-П)" (п.7.5. 7 главы 821-П);
    • "Операторы электронных платформ при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, должны реализовать технологические меры по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению" (п.7.6. 7 главы 821-П).
  • В отношении операторов электронных платформ также действуют требования в части реализации мер защиты информации по ГОСТ Р 57580.1-2017, на них распространяются требования о проведении независимой оценки "в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018, а также проводить ежегодное тестирование на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, в том числе в соответствии с пунктами 3.8 и 3.9 настоящего Положения; проводить оценку соответствия уровням защиты информации (далее - оценка соответствия защиты информации)" (п.1.1. абазцы 3-4, 821-П).
  • Дополнена формулировка в п.1.5. (информирование Банка России об инцидентах защиты информации): "(информировать Банк России) о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные оператором по переводу денежных средств, оператором услуг платежной инфраструктуры или Банком России инциденты защиты информации, включенные в перечень типов инцидентов..." В сам пункт 1.5. добавлена ссылка на пункт 5 части 4 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ;
  • Добавлено требование информировать Банк России о "сайтах в сети "Интернет", которые используются операторами по переводу денежных средств, операторами услуг платежной инфраструктуры для осуществления их деятельности, принадлежащих им и (или) принадлежащих иной организации, но администрируемых в интересах операторов по переводу денежных средств, операторов услуг платежной инфраструктуры на основании договора возмездного оказания услуг".
  • Конкретизирован п.2.4 (требования в части оценки соответствия): "Операторы по переводу денежных средств должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018."
  • Уточнен п.2.5 (требования в отношении ОППДС, являющихся системно-значимыми КО): "Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложение, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76." Аналогичная правка (уточнение) была сделана в части требований к организациям, не относящимся к системно значимым: теперь, в случае принятия решения, они должны обеспечить сертификацию ПО не ниже 5 уровня доверия. Оба требования теперь ссылаются на Приказ ФСТЭК от 2 июня 2020 года N 76 (ранее ссылка была на Приказ ФСТЭК N 131).
  • Внесены правки в п.2.8 (об ограничениях параметров операций): "реализовать ограничения по параметрам операций по осуществлению переводов денежных средств на основании заявлений клиентов в отношении операций по осуществлению переводов денежных средств, в том числе в соответствии с частью 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ."
  • В п.2.10 (перчень параметров операций, подлежащих ограничению) удалено слово "могут", за счет чего формулировка принимает характер требования: При реализации ограничений по параметрам операций по осуществлению переводов денежных средств (могут) применяются ограничения на..."
  • Удален п.2.12 (о контроле показателя уровня переводов без согласия клиента), присутствовавший в 719-П: в тексте Положения 821-П больше нет требования о необходимости "обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе, не более 0,005 процента".
Ссылки на другие нормативно-правовые акты

Положение Банка России №821-П связано с рядом ключевых нормативно-правовых актов в области информационной безопасности, на которые оно ссылается в части требований, относящихся к регулируемым ими областям.
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.1-2018 национальный банковский стандарт в области защиты информации финансовых организаций.
Федеральный закон от 26 июля 2017 г. № 187-ФЗ — «О безопасности критической информационной инфраструктуры Российской Федерации»
Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" определяет требования к обеспечению безопасности персональных данных
Требования к оценке соответствия

Положение Банка России №821-П обязывает кредитные финансовые организации (и операторов электронных платформ, относящихся к некредитным финансовым организациям) регулярно проходить независимую оценку соответствия с привлечением неазвисимого эксперта, лицензиата ФСТЭК. Ниже мы конкретизировали требования в части оценочных мероприятий и технических тестирований используемых систем. Обратите внимание, что для всех ответственных организаций частота проведения контрольных мероприятий одинаковая: оценка соответствия по ГОСТ Р 57580.1-2017 - 1 раз в 2 года, тестирование на проникновение и/или оценка применяемого программного обеспечения по ОУД-4 или ОУД-5 (в завимости от применяемого уровня защиты информации) - ежегодно.
Тест на проникновение
"Проводить ежегодное тестирование на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры..." (п. 1.1., 821-П).
Оценка по ГОСТ Р 57580.1-2017
"Проводить оценку соответствия уровням защиты информации (далее - оценка соответствия защиты информации) в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018" (п. 1.1., 821-П).
Тест на проникновение

"Обеспечивать ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры" (п. 1.1., 821-П).
Методология оценки соответствия

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны проводить оценку в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
Анализ внутренних документов (ВНД) организации
Интервьюирование сотрудников и предварительная оценка
Этапы оказания услуг
Разработка / доработка необходимой внутренней нормативной документации
Проверка свидетельств для подтверждения выполнения технических мер
Итоговая оценка, подготовка и подписание отчета
Оценка соответствия требованиям Национального стандарта ИБ РФ для финансовых организаций
802-П
Оценка соответствия требованиям Банка России в области обеспечения ЗИ в платежной системе Банка России
683-П
Оценки соответствия требованиям Банка России в области противодействия осуществлению переводов денежных средств без согласия клиента
757-П
Оценка соответствия требованиям в области обеспечения ЗИ для некредитных финансовых организаций (НФО)
Приказ Минцифры №435 и требования ЕБС
Оценка соответствия требованиям при интеграции с Единой биометрической системой (ЕБС)
В комплекс также могут входить следующие услуги
Тестирование на проникновение
Техническая оценка защищенности
в рамках требований положений Центрального Банка России или по инициативе организации
Повышение осведомленности
в области ИБ
Обучение в области информационной безопасности для рядовых сотрудников
152-ФЗ
Оценка соответствия требованиям в области защиты персональных данных
ГОСТ Р 57580
Почему FBK CyberSecurity?
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Свяжитесь с нами для уточнения деталей и стоимости
Нажимая на кнопку "Отправить" вы соглашаетесь
с Политикой конфиденциальности FBK CyberSecurity