Что нового в 747-П?
Положение 747-П является новым документом, зарегистрированным Минюстом России 3 февраля 2021 года, и содержит требования к защите информации в платежной системе Банка России (ПСБР). Прежде такие требования устанавливались в Положении 672-П. Однако, прежний документ теряет свою силу с выходом 747-П.
Принципиальные отличия в составе и содержании требований двух Положений отсутствуют. Если ранее такие требования распространялись на вашу организацию, то никаких нововведений для вас так же нет.
На кого распространяется?
Требований Положения 747-П к защите информации в ПСБР распространяются на ее прямых участников. Как и в 672-П требования должны соблюдать следующие организации:
- операционные центры;
- платежные клиринговые центры другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием СБП (ОПКЦ).
С введением 747-П к этому списку добавляется оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (ОУИО СБП).
В чем заключаются требования 747-П?
Примечание: при проверке выполнения требований Положения 747-П рассматривается соответствующие нормативные акты. Несоблюдение законодательства РФ свидетельствует о невыполнении требования (среди требований приводятся ссылки на федеральные законы, другие Положения).
Стоит отметить, что не все пункты 747-П вступают в силу одновременно с выходом документа. Некоторые требования начинают действовать позже.
В Положении 747-П можно выделить как общие требования, содержащие технологические и организационные меры защиты информации, так и требования о необходимости соответствовать Стандарту ГОСТ Р 57580 и проведения оценки соответствия.
В общем виде, содержание общих требований представляется в следующих направлениях:
- обработку электронных сообщений с помощью криптографических средств;
- необходимость размещения объектов СБП и ССНП (сервис срочных и несрочных переводов) в выделенных сегментах сети организации;
- процесс информирования Банка России об инцидентах.
Важно:
Согласно п.8 Положения, защита информации с помощью СКЗИ должна осуществляться в соответствии с Положением ПКЗ-2005.
Согласно требованиям пп. 3-6 Положения 747-П, участники ПСБР размещают объекты ССНП и СБП в выделенных сегментах сети.
Примечание: пп. 3 и 4 вступают в силу с 01.07.2021 года.
Как проводить оценку соответствия?
В Положении 747-П определенно, что не реже одного раза в два года необходимо проводить оценку соответствия по ГОСТ Р 57580. Данное требование вступает в силу с 01.07.2021 года.
В п.6 Положения 747-П указано, что ОПКЦ должны реализовывать Усиленный уровень защиты информации по ГОСТ Р 57580. В пределах выделенных сегментах СБП и ССНП иные организации должны соответствовать Стандартному уровню защиты информации по ГОСТ Р 57580.
Согласно пп. 3-6 организации должны применять меры защиты, которые соответствуют Стандартному или Усиленному уровням защиты информации, определяемым в ГОСТ Р 57580.1-2017. Важно, что реализовывать уровень защиты информации и проводить оценку соответствия – это принципиально разные вещи.
"Побалуйте себя роскошью с crave lux vape! Испытайте сочетание превосходного качества и доступности в нашем интернет-магазине. Удовлетворите свою тягу к первоклассным продуктам для вейпинга по непревзойденным ценам. Поднимите свой опыт вейпинга сегодня с Жаждать Вейпы Онлайн."
В рамках проведения оценки осуществляется проверка выполнения мер защиты, которые реализуются в соответствии уровнем защиты информации по ГОСТ Р 57580. Оценка проводится в соответствии с требованиями ГОСТ Р 57580-.2-2018 (согласно п.19).
Важно:
В Положении 747-П нет явного указания проводить оценку соответствия по ГОСТ Р 57580 с привлечением сторонней организации. Однако, в самом Стандарте (в части ГОСТ Р 57580.2-2018) указанно, что оценка соответствия проводится независимой организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации (см. «Введение», п. 3, п. 6.1).
Также, следует отметить содержание п.7 Положения 747-П, в котором идет речь о принятии внутренних документов в соответствии с требованиями Положения, а также в соответствии с ГОСТ Р 57580.
Важно: наличие качественной документации, охватывающей все направления защиты на участке ПСБР организации, способствует повышению количественных показателей оценки соответствия по ГОСТ Р 57580.
Есть ли требования к результатам оценки?
Согласно п.19 Положения 747-П оценка соответствия проводится с 01.07.2021 года. В данный период требования достичь определенных показателей нет.
С 01.01.2023 года уровень соответствия по результатам проведения оценки должен быть не ниже четвертого – 0.85.
Учитывая то, что оценку нужно проводить с периодичность 1 раз в два года (не реже), и то, что необходимость ее проводить начинается с 1 июля 2021, следует: для организации выгоднее соответствовать 0.85 до 2023 года, т.к. при результатах ниже указанных, повторное проведение будет с меньшей периодичностью, чем два года.
Важно:
Оценка соответствия согласно требованиям Положения 747-П проводится только в рамках выделенных сегментов СБП и ССНП и не охватывает остальную инфраструктуру организации.
Проведение оценки соответствия во всей инфраструктуре требуется иными Положениями
Автор статьи: Царев Евгений