Различия 382-п и 719-п
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияКратко
719-П более строгий и обширный документ, чем 382-П. Это достигается не только большим количеством отсылочных требований (ГОСТ 57580, ПКЗ-2005 и т.д.), но и подробной проработкой прямых требований, касающихся, например, применения сертифицированных СКЗИ и способов контроля со стороны Банка России.
Общая информация
Положение Банка России 719-П приходит на смену 382-П. Подробное сравнение требований предоставлено в Таблице № 1 в конце статьи. Положение 719-П является усовершенствованной версией 382-П.
Некоторые группы требований, которые содержит 382-П имеются и в 719-П, а именно:
- Область применения данных положений распространяется на обеспечение безопасности информации при осуществлении переводов денежных средств (защищаемая информация);
- 719-П имеет больше конкретных требований по применению, чем 382-П однако основные организации (операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем и банковские платежные агенты и субагенты) одни и те же.
- Требования к проведению оценки соответствия сторонней организацией, имеющей соответствующие лицензии (различаются только областью применения документа);
- Требования по ежегодному тестированию на проникновение и анализу уязвимостей информационной безопасности (различаются только областью применения документа);
- Требования по безопасности прикладного программного обеспечения;
- Требования по регистрации событий ЗИ, действий работников и клиентов организации (различаются только областью применения документа);
- Требования к применению СКЗИ (различаются только областью применения документа);
- Требования к применению электронной подписи (в обоих случаях применение ЭП в соответствии с 63 ФЗ);
Различия 382-п и 719-п
Однако, имеются и некоторые отличия от отменяемого с 1-го января 2022-го года 382-П:
- Расширен перечень организаций, на которых распространяется действие 719-П (в 382-П их меньше). Добавлены операторы услуг информационного обмена и поставщики платежных приложений, для которых указаны требования по защите информации.
- Требования по защите информации указаны в ГОСТ 57580.1, а не в самом Положении как раньше (однако, часть требований остались в самом Положении (общие для всех и частные для некоторых).
- Оценка соответствия проводится по ГОСТ 57580.2.
- Операторы по переводу денежных средств должны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций — не ниже 4-го уровня.
- Добавили жесткие требования к банковским платежных агентам и субагентам.
- Добавили необходимость вычисления значения показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе.
- Добавили обязанность подтверждать принадлежность клиентам e-mail, на которые отправляются выписки и подтверждения перевода денежных средств.
- Расширены требования по применению технологий обработки защищаемой информации;
- Введены требования к защите персональных данных;
- Требования к применению электронной подписи существенно расширены;
Расширена область применения документа, теперь под регулирование попадают:
Оператор услуг информационного обмена (ОУИО) — организации, оказывающие российским кредитным организациям услуги обмена информацией при переводе средств с помощью электронных средств платежа между кредитной организацией и ее клиентами или между кредитной организацией и иностранным поставщиком платежных услуг.
Поставщик платежных приложений (ППП) — организации-разработчики, предоставляющие клиентам российских банков-партнеров программное обеспечение для осуществления переводов с помощью платежных карт.
Платежный агрегатор (ПА) — это платформа для приема денег на сайте. Она отвечает за перевод средств со счета покупателя на счет продавца. В основе сервиса лежит платежный шлюз.
Сравнение требований 719-П и 382-П
Таблица № 1
382-П | 719-П |
Ежегодное тестирование на проникновение и анализ уязвимостей | Ежегодное тестирование на проникновение и анализ уязвимостей |
Проведение оценки соответствия | Проведение оценки соответствия уровням защиты информации в соответствии с ГОСТ |
Требования к проверяющей организации | Требования к проверяющей организации |
Требований к сроку хранения отчета о результатах оценки соответствия не установлены (п. 2.15.3.) | Требования к хранению отчета о результатах оценки соответствия установлены не менее 5 лет начиная с даты выдачи проверяющей организацией (п.1.1.) |
П. 2.5.5.1 – Требования по использованию сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 | Требования к сертификации в отношении прикладного программного обеспечения прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия (Далее – УД) не ниже чем УД 4. |
П 2.8.4. — Требования к целостности только ПО. | Требования к целостности и достоверности защищаемой информации. |
П. 2.11.3 – контроль (мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств возлагается на СИБ. | Требования к регламентации, реализации, контролю (мониторингу) технологии обработки защищаемой информации |
П 2.6.3 — Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации | Требования по регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации. |
П. 2.13.1. – Требования по информированию ОПС о выявленных инцидентах. | Требования по информированию Банка России об инцидентах (событиях) |
П. 2.9.1. — Требования к обеспечению защиты ПДн с помощью СКЗИ в соответствии с приказом ФСБ № 378 | Требования к защите ПДн в соответствии с 152 – ФЗ, Приказ ФСТЭК № 21. Обеспечение защиты ПДН с помощью СКЗИ в соответствии с приказом ФСБ № 378. |
П. 2.9.1 — Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи», Положение ПКЗ-2005, |
Аналогичные 382-П Требования к обеспечению защиты информации при осуществлении переводов ДС с помощью СКЗИ |
Требований по использованию ЭП при взаимодействии нет. | Взаимодействие ОПДС, БПА, ОУИО, ОУПИ должно обеспечиваться подписанием электронных сообщений усиленной ЭП. |
П. 2.10.3. Распоряжение клиента, распоряжение участника платежной системы и распоряжение платежного клирингового центра в электронном виде может быть удостоверено электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить составление распоряжения уполномоченным на это лицом. | Признание электронных сообщений, подписанных ЭП, равнозначными документами на бумажном носителе, подписанным собственноручной подписью. |
Не распространяется на отношения регулируемые ФЗ № 187-ФЗ. Однако: Настоящее положение применяется наряду с требованиями ФЗ № 187-ФЗ при обеспечении безопасности АС, ПО, СВТ, телекоммуникационного оборудования, эксплуатация которых обеспечивается при осуществлении передов денежных средств, операторами услуг платежной инфраструктуры, являющихся объектами КИИ. | |
Требования к обеспечению выполнения требований 683-П при осуществлении банковской деятельности. | |
П. 2.1. – Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации: …. | Требования к обеспечению защиты информации при осуществлении переводов денежных средств в отношении защищаемой информации аналогичные 382-П, однако содержат всего три пункта: Об остатках ДС на банковских счетах клиентов; об остатках электронных денежных средств клиентов операторов по переводу денежных средств; о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а так же о конфигурации, определяющей параметры работы технических средств защиты информации. |
Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года | Должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года |
Должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 | |
ОПДС являющиеся системно значимыми кредитными организациями, признанные значимыми на рынке платежных услуг, должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 4 уровня доверия. Остальные ОПДС должны обеспечить сертификацию прикладного ПО АС и приложений не ниже 5 уровня доверия. | |
В 382-П не определен порядок информирования ОПДС об инцидентах БПА (субагентов). Имеется только требование о регистрации инцидентов. Но сроки и порядок не определены. | Требования к ОПДС по установке порядка их информирования привлекаемыми ими БПА (субагентами), операторами услуг информационного обмена о выявленных инцидентах. |
П. 2.10.5. -Требования к обеспечению реализации технологических мер по использованию раздельных технологий и (или) реализации ограничений по параметрам операций клиентов. | Требования к обеспечению реализации технологических мер и (или) реализации ограничений по параметрам операций клиентов. |
П. 2.10.6 — Требования к содержанию технологических мер | Требования к содержанию технологических мер аналогичные 382-П |
Отражен перечень ограничений по параметрам операции по осуществлению переводов денежных средств | |
Обязанности по информированию банковскими платежными агентами оператора платежной системы — не установлено. | Сведения об инцидентах возникших у привлекаемых БПА, направляет в ЦБ ОПДС |
П. 2.8.3. — Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга. | Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием сети «Интернет». |
П. 2.10 состав Технологических мер | П. 2.9 отражено требование, какую реализацию должны обеспечивать технологические меры |
П. 2.8.3 – ограничения по параметрам операций не имеют конкретики | П. 2.10. Состав ограничений по параметрам операций |
П.1.2. — Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств. |
П.2.11 контроль за соблюдением БПА требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется ОПДС. ОПДС должны на основе управления системы рисками определить критерии необходимости проведения тестирования на проникновение и анализ уязвимостей информационной инфраструктуры, проведения оценки соответствия защиты информации, сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений. |
Конкретных требований к БПА (субагентам) нет. | Требования к обеспечению банковскими платежными агентами (субагентами) защиты информации при осуществлении переводов денежных средств. |
Определена область защиты информации для БПА (перечень операций, информация о которых подлежит защите) | |
БПА должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1.-2017. Оценка не реже одного раза в два года. Должны обеспечить уровень соответствия не ниже четвертого. | |
В случае принятия решения о необходимости проведения сертификации прикладного ПО АС и приложений БПА должны обеспечить сертификацию не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131 (проводится самостоятельно или с привлечением проверяющей организации). | |
Определены требования к обеспечению защиты информации для операторов услуг информационного обмена при осуществлении переводов денежных средств. (ГОСТ стандартный уровень, обеспечить проведение оценки не реже одного раза в два года, иметь 4 уровень, УД не ниже 5 уровня). | |
Определены требования к обеспечению защиты информации для операторов платежных систем. ОПС должен определить требования к защите информации в платежной системе в отношении мероприятий: риск -менеджмента в платежной системе, реализация механизмов направленных на соблюдение требований к обеспечению защиты информации, контроль их соблюдения участниками, реализация процесса выявления, анализа и идентификации рисков, реализация процессов реагирования на инциденты, реализация операторами платежных систем ограничений по параметрам операций участников в случае превышения значений показателей уровня риска и снятия таких ограничений. Обязанность социального значимого оператора платежной системы по уведомлению федерального органа исполнительной власти, уполномоченного в области безопасности в части применения СКЗИ. | |
Требования по защите информации к ОУПИ. Должны обеспечить реализацию уровней защиты информации в соответствии с ГОСТ 57580: усиленный для ОУПИ оказывающих услуги в рамках системно значимых платежных систем; все остальные ОУПИ – стандартный. Определен срок по реализации перехода от стандартного к усиленному не более 18 месяцев. Обеспечить проведение оценки соответствия не реже одного раза в два года. Уровень не ниже 4. Требования о необходимости сертификации или проведение оценки соответствия по ОУД, не ниже, чем ОУД4 в отношении прикладного ПО АС и приложений. В случае принятия решения о проведении сертификации ПО АС и приложений для «усиленного» УЗ должны обеспечить сертификацию не ниже 4 уровня доверия в соответствии с приказом ФСТЭК № 131, для «стандартного» не ниже 5 уровня доверия. | |
Определен порядок контроля Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. |
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram