Различия между 672-П и 747-П
Автор статьи:
Кобец Дмитрий Андреевич
Эксперт в сфере информационной безопасностиОбщая информация
После опубликования в начале февраля 2021 года Центральным Банком Российской Федерации Положения «О требованиях к защите информации в платежной системе Банка России» № 747-П у участников обмена информацией о платежах с Банком России возникло множество вопросов, главный из которых «В чём различия между новым Положением и тем, чем мы руководствовались раньше?». Прежде чем приступить к ответу, раскроем смысл нескольких аббревиатур:
СБП – Система быстрых платежей.
ОПКЦ – Операционный платежный клиринговый центр. Сервис, который дает распоряжение списать деньги со счета отправителя и зачислить их на счет получателя. В Российской Федерации им является Национальная система платежных карт.
Что же нового?
Зона покрытия технических средств осталась той же – оба Положения оперируют термином «объекты информационной инфраструктуры», подразумевая под ним АРМы, серверы, сетевое оборудование, программное обеспечение, объекты виртуальной инфраструктуры и информационные системы в целом.
Примечательно, что Положения не выделяют термин «средство защиты информации», что допускает двоякое толкование понятия объекта. Так, например, криптошлюз обрабатывает защищаемую информацию и потому является объектом информационной инфраструктуры. С другой стороны, антивирусное средство не работает с защищаемой информацией напрямую и, следовательно, не является объектом информационной инфраструктуры.
Требования по уровню защиты также не изменились – подконтрольные организации за исключением ОПКЦ реализуют стандартный уровень, определенный ГОСТ Р 57580.1-2017. ОПКЦ обязан выполнять требования усиленного уровня защиты. И конечно, требования должны выполняться для выделенных сегментов – Положения не обязывают обеспечивать защиту всей инфраструктуры Банка или иной организации, связанной с СБП.
В новом Положении никуда не делась и связь с ГОСТ Р 57580. Данный стандарт удачно раскладывает всю совокупность организационных и технических мер в стройно организованный спектр. В обоих Положениях приводится перечень процессов защиты информации в порядке цитирования ГОСТа, что можно в некоторой степени использовать для описания руководящим кадрам, в каких направлениях необходимо усовершенствовать систему безопасности.
Разумеется, стандарт не покрывает полностью требования безопасности Положений. Поэтому приводятся дополнительные требования касательно обработки электронных сообщений и работы с электронными подписями. Каких-либо усовершенствований 747-П также не привело.
Даты, к которым было нужно провести оценку соответствия, не изменились. Был убран пункт о том, что оценка соответствия может проводиться по требованию Банка России. Тем не менее требование о проведении оценки соответствия не реже раза в два года сохранилось.
Сравнение требований 672-П и 747-П
Таблица № 1
| Критерий | 672-П | 747-П |
| Кто должен выполнять требования Положения? | Банки-участники ПС БР
ОПКЦ |
Оператор услуг информационного обмена с использованием СБП
Банки-участники ПС БР ОПКЦ |
| Кто реализует стандартный уровень защиты информации по ГОСТ 57580.1-2017? | Банки-участники ПС БР
|
Оператор услуг информационного обмена с использованием СБП
Банки-участники ПС БР
|
| Кто реализует усиленный уровень защиты информации по ГОСТ 57580.1-2017? | ОПКЦ | ОПКЦ |
| К какой дате необходимо обеспечить 3 уровень ГОСТа 57580.2-2018? | 1 июля 2021 | 1 июля 2021 |
| К какой дате необходимо обеспечить 4 уровень ГОСТа 57580.2-2018? | 1 января 2023 | 1 января 2023 |
Резюмируя вышесказанное, ответ на вопрос о различии в Положениях может звучать следующим образом.
Если вы ранее руководствовались Положением 672-П, то глобально ничего не изменилось. Если же ваша организация каким-либо образом помогает Банкам осуществлять переводы с использованием СБП (например, вы являетесь процессинговым центром, агрегирующим онлайн-платежи), то теперь вы должны выполнять требования Положения 747-П.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
