Различия между 672-П и 747-П

Автор статьи:

Общая информация

Сравнение требований 672-П и 747-ППосле опубликования в начале февраля 2021 года Центральным Банком Российской Федерации Положения «О требованиях к защите информации в платежной системе Банка России» № 747-П у участников обмена информацией о платежах с Банком России возникло множество вопросов, главный из которых «В чём различия между новым Положением и тем, чем мы руководствовались раньше?». Прежде чем приступить к ответу, раскроем смысл нескольких аббревиатур:

СБП – Система быстрых платежей.

ОПКЦ – Операционный платежный клиринговый центр. Сервис, который дает распоряжение списать деньги со счета отправителя и зачислить их на счет получателя. В Российской Федерации им является Национальная система платежных карт.

Нужен аудит по 747-П?

Что же нового?

Зона покрытия технических средств осталась той же – оба Положения оперируют термином «объекты информационной инфраструктуры», подразумевая под ним АРМы, серверы, сетевое оборудование, программное обеспечение, объекты виртуальной инфраструктуры и информационные системы в целом.

Примечательно, что Положения не выделяют термин «средство защиты информации», что допускает двоякое толкование понятия объекта. Так, например, криптошлюз обрабатывает защищаемую информацию и потому является объектом информационной инфраструктуры. С другой стороны, антивирусное средство не работает с защищаемой информацией напрямую и, следовательно, не является объектом информационной инфраструктуры.

Требования по уровню защиты также не изменились – подконтрольные организации за исключением ОПКЦ реализуют стандартный уровень, определенный ГОСТ Р 57580.1-2017. ОПКЦ обязан выполнять требования усиленного уровня защиты. И конечно, требования должны выполняться для выделенных сегментов – Положения не обязывают обеспечивать защиту всей инфраструктуры Банка или иной организации, связанной с СБП.

В новом Положении никуда не делась и связь с ГОСТ Р 57580. Данный стандарт удачно раскладывает всю совокупность организационных и технических мер в стройно организованный спектр. В обоих Положениях приводится перечень процессов защиты информации в порядке цитирования ГОСТа, что можно в некоторой степени использовать для описания руководящим кадрам, в каких направлениях необходимо усовершенствовать систему безопасности.

Разумеется, стандарт не покрывает полностью требования безопасности Положений. Поэтому приводятся дополнительные требования касательно обработки электронных сообщений и работы с электронными подписями. Каких-либо усовершенствований 747-П также не привело.

Даты, к которым было нужно провести оценку соответствия, не изменились. Был убран пункт о том, что оценка соответствия может проводиться по требованию Банка России. Тем не менее требование о проведении оценки соответствия не реже раза в два года сохранилось.

    Нужна консультация?

    Сравнение требований 672-П и 747-П

    Таблица № 1

    Критерий 672-П 747-П
    Кто должен выполнять требования Положения? Банки-участники ПС БР

    ОПКЦ

    Оператор услуг информационного обмена с использованием СБП

    Банки-участники ПС БР

    ОПКЦ

    Кто реализует стандартный уровень защиты информации по ГОСТ 57580.1-2017? Банки-участники ПС БР

     

    Оператор услуг информационного обмена с использованием СБП

    Банки-участники ПС БР

     

    Кто реализует усиленный уровень защиты информации по ГОСТ 57580.1-2017? ОПКЦ ОПКЦ
    К какой дате необходимо обеспечить 3 уровень ГОСТа 57580.2-2018? 1 июля 2021 1 июля 2021
    К какой дате необходимо обеспечить 4 уровень ГОСТа 57580.2-2018? 1 января 2023 1 января 2023

     

    Резюмируя вышесказанное, ответ на вопрос о различии в Положениях может звучать следующим образом.

    Если вы ранее руководствовались Положением 672-П, то глобально ничего не изменилось. Если же ваша организация каким-либо образом помогает Банкам осуществлять переводы с использованием СБП (например, вы являетесь процессинговым центром, агрегирующим онлайн-платежи), то теперь вы должны выполнять требования Положения 747-П.

     

    Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

    Телеграм канал ИТ Право Безопасность

    Задать вопрос эксперту

      Связанные услуги