О нас О нас
Услуги Услуги
Экспертные материалы Экспертные материалы
Контакты Контакты
ФБК
ФБК Legal
Оценка соответствия требованиям Положения Банка России №821‑П

Оценка соответствия требованиям Положения Банка России №821‑П

Вернуться назад
Для получения оценки стоимости и сроков реализации работ по Оценке соответствия требованиям Положения Банка России №821-П для Вашей организации, направьте нам запрос через форму обратной связи.   


  На этой странице вы найдете информацию:

  1. О чем и для кого: общая информация о Положении Банка России №821-П

  2. Требования в части оценки соответствия 821-П и отличия от №719-П

  3. Этапы работ по оценке соответствия требованиям Положения Банка России №821-П

  4. Результаты работ по №821-П и отчетность   

    5. 1. О чем и для кого: общая информация о Положении Банка России №821-П

  • Положение Банка России №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
  • Требования положения распространяется на кредитные организации, а именно на: Операторов по переводу денежных средств (далее - ОПДС), Банковских платежных агентов (субагентов) (далее - БПА), Операторов услуг информационного обмена (далее – ОУИО), Поставщиков платежных приложений (далее - ППП), Операторов платежных систем (далее - ОПС), Операторов услуг платежной инфраструктуры (далее - ОУПИ), Операторов электронных платформ (далее - ОЭП).
  • 821-П пришел на смену 719-П и продолжает / изменяет / дополняет его.

    2. Требования в части оценки соответствия 821-П и отличия от №683-П

    Требования в части оценки соответствия 821-П:  

  • Не реже 1 раза в 2 года проходить независимую оценку соответствия ГОСТ Р 57580.1-2017 при участии лицензиата ФСТЭК (Постановление Правительства № 79).
  • Ежегодно проводить Тестирование на проникновение.
  • Ежегодно проводить анализ уязвимостей прикладного программного обеспечения по оценочному уровню доверия не ниже 4-го (ОУД-4).

    Иные требования 821-П (требования приведены не дословно с уместной долей интерпретации, не искажающей суть):

  • Организация использования криптографии, в т.ч. электронной подписи.
  • Реализация уровня защиты по ГОСТ 57580.1 и периодического аудита на соответствие.
  • Проведение Тестирования на проникновение.
  • Использование ПО, прошедшего сертификацию или оценку уровня доверия (ОУД-4 или ОУД-5 в зависимости от применяемого уровня защиты информации).
  • Выполнения требований 187-ФЗ (КИИ).
  • Выполнение требовании 152-ФЗ (ПДн).
  • Информирование Банка России об обнаруженных инцидентах.
  • Реализация технологических мер защиты информации по ГОСТ 57580.1-2017.
  • Внутренняя регламентация реализованных мер и процессов защиты информации.

Теперь о ключевых изменениях, отличиях от замененного Положения 719-П:
  • Как в свое время 719-П ввело новых ответственных (операторов услуг информационного обмена и поставщиков платежных приложений), так и 821-П вводит новую категорию организаций, ответственных за реализацию требований Банка России - операторов электронных платформ, которым посвящена отдельная глава (Глава 7). Ниже приводим все пункты 7-й главы:
      • Операторы электронных платформ "осуществляющие деятельность оператора финансовой платформы... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 2 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.1. 7 главы 821-П);
      • Операторы электронных платформ "осуществляющие деятельность оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов... должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств, в соответствии с главой 3 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.2. 7 главы 821-П);
      • "Операторы электронных платформ для объектов информационной инфраструктуры должны применять меры защиты информации, реализующие уровни защиты информации, установленные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, в соответствии с подпунктами 1.4.3 и 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П" (п.7.3. 7 главы 821-П);
      • "Операторы электронных платформ должны обеспечивать защиту информации при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в рамках расчетов по сделкам, совершенным с использованием электронной платформы" (п.7.4. 7 главы 821-П);
      • "Операторы электронных платформ при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строки 11 приложения 2 к настоящему Положению (821-П)" (п.7.5. 7 главы 821-П);
      • "Операторы электронных платформ при осуществлении операций по номинальному счету, указанных в частях 4 и 5 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ, должны реализовать технологические меры по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению" (п.7.6. 7 главы 821-П).

  • В отношении операторов электронных платформ также действуют требования в части реализации мер защиты информации по ГОСТ Р 57580.1-2017, на них распространяются требования о проведении независимой оценки "в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018, а также проводить ежегодное тестирование на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, в том числе в соответствии с пунктами 3.8 и 3.9 настоящего Положения; проводить оценку соответствия уровням защиты информации (далее - оценка соответствия защиты информации)" (п.1.1. абазцы 3-4, 821-П).
  • Дополнена формулировка в п.1.5. (информирование Банка России об инцидентах защиты информации): "(информировать Банк России) о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные оператором по переводу денежных средств, оператором услуг платежной инфраструктуры или Банком России инциденты защиты информации, включенные в перечень типов инцидентов..." В сам пункт 1.5. добавлена ссылка на пункт 5 части 4 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ;
  • Добавлено требование информировать Банк России о "сайтах в сети "Интернет", которые используются операторами по переводу денежных средств, операторами услуг платежной инфраструктуры для осуществления их деятельности, принадлежащих им и (или) принадлежащих иной организации, но администрируемых в интересах операторов по переводу денежных средств, операторов услуг платежной инфраструктуры на основании договора возмездного оказания услуг".
  • Конкретизирован п.2.4 (требования в части оценки соответствия): "Операторы по переводу денежных средств должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018."
  • Уточнен п.2.5 (требования в отношении ОППДС, являющихся системно-значимыми КО): "Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложение, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76." Аналогичная правка (уточнение) была сделана в части требований к организациям, не относящимся к системно значимым: теперь, в случае принятия решения, они должны обеспечить сертификацию ПО не ниже 5 уровня доверия. Оба требования теперь ссылаются на Приказ ФСТЭК от 2 июня 2020 года N 76 (ранее ссылка была на Приказ ФСТЭК N 131).
  • Внесены правки в п.2.8 (об ограничениях параметров операций): "реализовать ограничения по параметрам операций по осуществлению переводов денежных средств на основании заявлений клиентов в отношении операций по осуществлению переводов денежных средств, в том числе в соответствии с частью 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ."
  • В п.2.10 (перчень параметров операций, подлежащих ограничению) удалено слово "могут", за счет чего формулировка принимает характер требования: При реализации ограничений по параметрам операций по осуществлению переводов денежных средств (могут) применяются ограничения на..."
  • Удален п.2.12 (о контроле показателя уровня переводов без согласия клиента), присутствовавший в 719-П: в тексте Положения 821-П больше нет требования о необходимости "обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе, не более 0,005 процента".

    3. Этапы работ по оценке соответствия требованиям Положения Банка России №821-П

  • Сбор сведений об информационной инфраструктуре Банка.
  • Сбор сведений о существующей документации в области обеспечения защиты информации. Анализ документов и получение свидетельств аудита.
  • Интервьюирование ответственного персонала.
  • Обследование объектов информационной инфраструктуры в области аудита.
  • Анализ собранной информации и проведение оценки соответствия.
  • Предварительная оценка соответствия – подсчет баллов по факту.
  • Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
  • Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
  • Расчет итоговой оценки по ГОСТ Р 57580.2-2018 по результатам всех доработок.
  • Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям Положения Банка России №821-П.

    4. Результат работ по оценке соответствия №821-П

    По результатам выполнения работ будет подготовлен Отчет о проведенной оценке соответствия в соответствии с ГОСТ Р 57580.2-2018, содержащий выводы о степени соответствия требованиям Положения Банка России №821-П. Также наши эксперты окажут помощь в подготовке отчета для Банка России по форме методических рекомендаций 3-МР от 06.03.2025.

Мы помогаем бизнесу пройти путь от оценки соответствия к повышению зрелости информационной безопасности и реальной защищенности

Наши преимущества
Команда
Наши консультанты сертифицированы на международном уровне и имеют сертификаты CISA, CISM и CISSP, что подтверждает их опыт, квалификацию и знания в области информационной безопасности, управления рисками и проектами.
Долгосрочное сотрудничество
Наша цель - построить долгосрочные взаимовыгодные отношения с клиентом, поэтому мы в первую очередь решаем задачи клиента и предлагаем стратегически эффективные решения, а уже во вторую очередь зарабатываем на этом.
Опыт и экспертиза
FBK CyberSecurity обладает богатым опытом и экспертизой в области информационной безопасности, позволяющие оперативно и качественно решать задачи любой сложности, начиная от оценки соответствия требованиям регуляторов, заканчивая проектированием систем и интеграции ПО
Также Вы можете оставить свое сообщение по любому вопросу, заполнив форму обратной связи:
Форма обратной связи
Delivery Club
Банк Халынов
Альфа Банк
Home Credit Bank
YAMAHA
@Mail.ru
Центр Внедрения ПРОТЕК
Ростелеком Контакт-центр
FREEDOM finance Банк
Банк Санкт-Петербург
Банк Солидарность
Еврофинанс Моснарбанк
ИКБАНК
Эlmedica
Металлинвестбанк
Roland
Pay p.s.
СДМ банк
Политика в отношении обработки персональных данных
© ООО «ЭфБиКей Сайберсекьюрити» 2025
Настоящий веб-сайт использует файлы cookie, чтобы обеспечить удобную работу пользователей с ним и функциональные возможности сайта. Нажимая кнопку «Я принимаю», вы соглашаетесь с условиями использования файлов cookie в соответствии с «Политикой в отношении обработки персональных данных». Вы можете в любое время отключить файлы cookie в настройках своего браузера.
Я принимаю
Форма обратной связи
Подписка на рассылку новостей
Подпишитесь на наши
новости прямо сейчас!