#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Обзор положения 747-П

Что нового в 747-П?

Положение 747-П является новым документом, зарегистрированным Минюстом России 3 февраля 2021 года, и содержит требования к защите информации в платежной системе Банка России (ПСБР). Прежде такие требования устанавливались в Положении 672-П. Однако, прежний документ теряет свою силу с выходом 747-П.

Принципиальные отличия в составе и содержании требований двух Положений отсутствуют. Если ранее такие требования распространялись на вашу организацию, то никаких нововведений для вас так же нет.

На кого распространяется?

Требований Положения 747-П к защите информации в ПСБР распространяются на ее прямых участников. Как и в 672-П требования должны соблюдать следующие организации:

  • операционные центры;
  • платежные клиринговые центры другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием СБП (ОПКЦ).

С введением 747-П к этому списку добавляется оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (ОУИО СБП).

В чем заключаются требования 747-П?

Примечание: при проверке выполнения требований Положения 747-П рассматривается соответствующие нормативные акты. Несоблюдение законодательства РФ свидетельствует о невыполнении требования (среди требований приводятся ссылки на федеральные законы, другие Положения).

Стоит отметить, что не все пункты 747-П вступают в силу одновременно с выходом документа. Некоторые требования начинают действовать позже.

В Положении 747-П можно выделить как общие требования, содержащие технологические и организационные меры защиты информации, так и требования о необходимости соответствовать Стандарту ГОСТ Р 57580 и проведения оценки соответствия.

В общем виде, содержание общих требований представляется в следующих направлениях:

  • обработку электронных сообщений с помощью криптографических средств;
  • необходимость размещения объектов СБП и ССНП (сервис срочных и несрочных переводов) в выделенных сегментах сети организации;
  • процесс информирования Банка России об инцидентах.

Важно:

Согласно п.8 Положения, защита информации с помощью СКЗИ должна осуществляться в соответствии с Положением ПКЗ-2005.
Согласно требованиям пп. 3-6 Положения 747-П, участники ПСБР размещают объекты ССНП и СБП в выделенных сегментах сети.

Примечание: пп. 3 и 4 вступают в силу с 01.07.2021 года.

 

Как проводить оценку соответствия?

В Положении 747-П определенно, что не реже одного раза в два года необходимо проводить оценку соответствия по ГОСТ Р 57580. Данное требование вступает в силу с 01.07.2021 года.

В п.6 Положения 747-П указано, что ОПКЦ должны реализовывать Усиленный уровень защиты информации по ГОСТ Р 57580. В пределах выделенных сегментах СБП и ССНП иные организации должны соответствовать Стандартному уровню защиты информации по ГОСТ Р 57580.

Согласно пп. 3-6 организации должны применять меры защиты, которые соответствуют Стандартному или Усиленному уровням защиты информации, определяемым в ГОСТ Р 57580.1-2017. Важно, что реализовывать уровень защиты информации и проводить оценку соответствия – это принципиально разные вещи.

В рамках проведения оценки осуществляется проверка выполнения мер защиты, которые реализуются в соответствии уровнем защиты информации по ГОСТ Р 57580. Оценка проводится в соответствии с требованиями ГОСТ Р 57580-.2-2018 (согласно п.19).

Важно:

В Положении 747-П нет явного указания проводить оценку соответствия по ГОСТ Р 57580 с привлечением сторонней организации. Однако, в самом Стандарте (в части ГОСТ Р 57580.2-2018) указанно, что оценка соответствия проводится независимой организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации (см. «Введение», п. 3, п. 6.1).

Также, следует отметить содержание п.7 Положения 747-П, в котором идет речь о принятии внутренних документов в соответствии с требованиями Положения, а также в соответствии с ГОСТ Р 57580.

Важно: наличие качественной документации, охватывающей все направления защиты на участке ПСБР организации, способствует повышению количественных показателей оценки соответствия по ГОСТ Р 57580.

 

Есть ли требования к результатам оценки?

Согласно п.19 Положения 747-П оценка соответствия проводится с 01.07.2021 года. В данный период требования достичь определенных показателей нет.

С 01.01.2023 года уровень соответствия по результатам проведения оценки должен быть не ниже четвертого – 0.85.

Учитывая то, что оценку нужно проводить с периодичность 1 раз в два года (не реже), и то, что необходимость ее проводить начинается с 1 июля 2021, следует: для организации выгоднее соответствовать 0.85 до 2023 года, т.к. при результатах ниже указанных, повторное проведение будет с меньшей периодичностью, чем два года.

Важно:

Оценка соответствия согласно требованиям Положения 747-П проводится только в рамках выделенных сегментов СБП и ССНП и не охватывает остальную инфраструктуру организации.

Проведение оценки соответствия во всей инфраструктуре требуется иными Положениями

 

Автор статьи: Царев Евгений

    Требуется консультация по данному вопросу?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    *

    Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.