Различия 382-п и 719-п
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияКратко
719-П более строгий и обширный документ, чем 382-П. Это достигается не только большим количеством отсылочных требований (ГОСТ 57580, ПКЗ-2005 и т.д.), но и подробной проработкой прямых требований, касающихся, например, применения сертифицированных СКЗИ и способов контроля со стороны Банка России.
Общая информация
Положение Банка России 719-П приходит на смену 382-П. Подробное сравнение требований предоставлено в Таблице № 1 в конце статьи. Положение 719-П является усовершенствованной версией 382-П.
Некоторые группы требований, которые содержит 382-П имеются и в 719-П, а именно:
- Область применения данных положений распространяется на обеспечение безопасности информации при осуществлении переводов денежных средств (защищаемая информация);
- 719-П имеет больше конкретных требований по применению, чем 382-П однако основные организации (операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем и банковские платежные агенты и субагенты) одни и те же.
- Требования к проведению оценки соответствия сторонней организацией, имеющей соответствующие лицензии (различаются только областью применения документа);
- Требования по ежегодному тестированию на проникновение и анализу уязвимостей информационной безопасности (различаются только областью применения документа);
- Требования по безопасности прикладного программного обеспечения;
- Требования по регистрации событий ЗИ, действий работников и клиентов организации (различаются только областью применения документа);
- Требования к применению СКЗИ (различаются только областью применения документа);
- Требования к применению электронной подписи (в обоих случаях применение ЭП в соответствии с 63 ФЗ);
Различия 382-п и 719-п
Однако, имеются и некоторые отличия от отменяемого с 1-го января 2022-го года 382-П:
- Расширен перечень организаций, на которых распространяется действие 719-П (в 382-П их меньше). Добавлены операторы услуг информационного обмена и поставщики платежных приложений, для которых указаны требования по защите информации.
- Требования по защите информации указаны в ГОСТ 57580.1, а не в самом Положении как раньше (однако, часть требований остались в самом Положении (общие для всех и частные для некоторых).
- Оценка соответствия проводится по ГОСТ 57580.2.
- Операторы по переводу денежных средств должны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций – не ниже 4-го уровня.
- Добавили жесткие требования к банковским платежных агентам и субагентам.
- Добавили необходимость вычисления значения показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе.
- Добавили обязанность подтверждать принадлежность клиентам e-mail, на которые отправляются выписки и подтверждения перевода денежных средств.
- Расширены требования по применению технологий обработки защищаемой информации;
- Введены требования к защите персональных данных;
- Требования к применению электронной подписи существенно расширены;
Расширена область применения документа, теперь под регулирование попадают:
Оператор услуг информационного обмена (ОУИО) — организации, оказывающие российским кредитным организациям услуги обмена информацией при переводе средств с помощью электронных средств платежа между кредитной организацией и ее клиентами или между кредитной организацией и иностранным поставщиком платежных услуг.
Поставщик платежных приложений (ППП) — организации-разработчики, предоставляющие клиентам российских банков-партнеров программное обеспечение для осуществления переводов с помощью платежных карт.
Платежный агрегатор (ПА) — это платформа для приема денег на сайте. Она отвечает за перевод средств со счета покупателя на счет продавца. В основе сервиса лежит платежный шлюз.
Сравнение требований 719-П и 382-П
Таблица № 1
| 382-П | 719-П |
| Ежегодное тестирование на проникновение и анализ уязвимостей | Ежегодное тестирование на проникновение и анализ уязвимостей |
| Проведение оценки соответствия | Проведение оценки соответствия уровням защиты информации в соответствии с ГОСТ |
| Требования к проверяющей организации | Требования к проверяющей организации |
| Требований к сроку хранения отчета о результатах оценки соответствия не установлены (п. 2.15.3.) | Требования к хранению отчета о результатах оценки соответствия установлены не менее 5 лет начиная с даты выдачи проверяющей организацией (п.1.1.) |
| П. 2.5.5.1 – Требования по использованию сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 | Требования к сертификации в отношении прикладного программного обеспечения прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия (Далее – УД) не ниже чем УД 4. |
| П 2.8.4. – Требования к целостности только ПО. | Требования к целостности и достоверности защищаемой информации. |
| П. 2.11.3 – контроль (мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств возлагается на СИБ. | Требования к регламентации, реализации, контролю (мониторингу) технологии обработки защищаемой информации |
| П 2.6.3 – Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации | Требования по регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации. |
| П. 2.13.1. – Требования по информированию ОПС о выявленных инцидентах. | Требования по информированию Банка России об инцидентах (событиях) |
| П. 2.9.1. – Требования к обеспечению защиты ПДн с помощью СКЗИ в соответствии с приказом ФСБ № 378 | Требования к защите ПДн в соответствии с 152 – ФЗ, Приказ ФСТЭК № 21. Обеспечение защиты ПДН с помощью СКЗИ в соответствии с приказом ФСБ № 378. |
| П. 2.9.1 – Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ “Об электронной подписи”, Положение ПКЗ-2005, |
Аналогичные 382-П Требования к обеспечению защиты информации при осуществлении переводов ДС с помощью СКЗИ |
| Требований по использованию ЭП при взаимодействии нет. | Взаимодействие ОПДС, БПА, ОУИО, ОУПИ должно обеспечиваться подписанием электронных сообщений усиленной ЭП. |
| П. 2.10.3. Распоряжение клиента, распоряжение участника платежной системы и распоряжение платежного клирингового центра в электронном виде может быть удостоверено электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить составление распоряжения уполномоченным на это лицом. | Признание электронных сообщений, подписанных ЭП, равнозначными документами на бумажном носителе, подписанным собственноручной подписью. |
| Не распространяется на отношения регулируемые ФЗ № 187-ФЗ. Однако: Настоящее положение применяется наряду с требованиями ФЗ № 187-ФЗ при обеспечении безопасности АС, ПО, СВТ, телекоммуникационного оборудования, эксплуатация которых обеспечивается при осуществлении передов денежных средств, операторами услуг платежной инфраструктуры, являющихся объектами КИИ. | |
| Требования к обеспечению выполнения требований 683-П при осуществлении банковской деятельности. | |
| П. 2.1. – Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации: …. | Требования к обеспечению защиты информации при осуществлении переводов денежных средств в отношении защищаемой информации аналогичные 382-П, однако содержат всего три пункта: Об остатках ДС на банковских счетах клиентов; об остатках электронных денежных средств клиентов операторов по переводу денежных средств; о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а так же о конфигурации, определяющей параметры работы технических средств защиты информации. |
| Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года | Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года |
| Должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 | |
| ОПДС являющиеся системно значимыми кредитными организациями, признанные значимыми на рынке платежных услуг, должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 4 уровня доверия. Остальные ОПДС должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 5 уровня доверия. | |
| В 382-П не определен порядок информирования ОПДС об инцидентах БПА (субагентов). Имеется только требование о регистрации инцидентов. Но сроки и порядок не определены. | Требования к ОПДС по установке порядка их информирования привлекаемыми ими БПА (субагентами), операторами услуг информационного обмена о выявленных инцидентах. |
| П. 2.10.5. -Требования к обеспечению реализации технологических мер по использованию раздельных технологий и (или) реализации ограничений по параметрам операций клиентов. | Требования к обеспечению реализации технологических мер и (или) реализации ограничений по параметрам операций клиентов. |
| П. 2.10.6 – Требования к содержанию технологических мер | Требования к содержанию технологических мер аналогичные 382-П |
| Отражен перечень ограничений по параметрам операции по осуществлению переводов денежных средств | |
| Обязанности по информированию банковскими платежными агентами оператора платежной системы – не установлено. | Сведения об инцидентах возникших у привлекаемых БПА, направляет в ЦБ ОПДС |
| П. 2.8.3. – Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга. | Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием сети «Интернет». |
| П. 2.10 состав Технологических мер | П. 2.9 отражено требование, какую реализацию должны обеспечивать технологические меры |
| П. 2.8.3 – ограничения по параметрам операций не имеют конкретики | П. 2.10. Состав ограничений по параметрам операций |
| П.1.2. – Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств. |
П.2.11 контроль за соблюдением БПА требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется ОПДС. ОПДС должны на основе управления системы рисками определить критерии необходимости проведения тестирования на проникновение и анализ уязвимостей информационной инфраструктуры, проведения оценки соответствия защиты информации, сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений. |
| Конкретных требований к БПА (субагентам) нет. | Требования к обеспечению банковскими платежными агентами (субагентами) защиты информации при осуществлении переводов денежных средств. |
| Определена область защиты информации для БПА (перечень операций, информация о которых подлежит защите) | |
| БПА должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1.-2017. Оценка не реже одного раза в два года. Должны обеспечить уровень соответствия не ниже четвертого. | |
| В случае принятия решения о необходимости проведения сертификации прикладного ПО АС и приложений БПА должны обеспечить сертификацию не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131 (проводится самостоятельно или с привлечением проверяющей организации). | |
| Определены требования к обеспечению защиты информации для операторов услуг информационного обмена при осуществлении переводов денежных средств. (ГОСТ стандартный уровень, обеспечить проведение оценки не реже одного раза в два года, иметь 4 уровень, УД не ниже 5 уровня). | |
| Определены требования к обеспечению защиты информации для операторов платежных систем. ОПС должен определить требования к защите информации в платежной системе в отношении мероприятий: риск -менеджмента в платежной системе, реализация механизмов направленных на соблюдение требований к обеспечению защиты информации, контроль их соблюдения участниками, реализация процесса выявления, анализа и идентификации рисков, реализация процессов реагирования на инциденты, реализация операторами платежных систем ограничений по параметрам операций участников в случае превышения значений показателей уровня риска и снятия таких ограничений. Обязанность социального значимого оператора платежной системы по уведомлению федерального органа исполнительной власти, уполномоченного в области безопасности в части применения СКЗИ. | |
| Требования по защите информации к ОУПИ. Должны обеспечить реализацию уровней защиты информации в соответствии с ГОСТ 57580: усиленный для ОУПИ оказывающих услуги в рамках системно значимых платежных систем; все остальные ОУПИ – стандартный. Определен срок по реализации перехода от стандартного к усиленному не более 18 месяцев. Обеспечить проведение оценки соответствия не реже одного раза в два года. Уровень не ниже 4. Требования о необходимости сертификации или проведение оценки соответствия по ОУД, не ниже, чем ОУД4 в отношении прикладного ПО АС и приложений. В случае принятия решения о проведении сертификации ПО АС и приложений для «усиленного» УЗ должны обеспечить сертификацию не ниже 4 уровня доверия в соответствии с приказом ФСТЭК № 131, для «стандартного» не ниже 5 уровня доверия. | |
| Определен порядок контроля Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. |
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
