Обзор 802-П и его отличия от предшествующего 747-П

Введение

Положение ЦБ РФ №802 (802-П) – это замена потерявшему актуальность нормативно правовому акту. Сфера регуляции документа – организация защищенного взаимодействия с системой быстрых платежей. Далее проанализируем ключевые требования данного нормативно-правового документа и определим главные нововведения положения.

Содержание документа

В утвержденном положении изложены пункты требований к организации системы защиты информации для участников платежной системы Банка России. Большая часть требований была унаследована от утратившего силу 747-П и распространяются на прямых и косвенных участников платежной системы Банка России.

Основными требованиями утвержденного положения являются указания к выделению отдельного сегмента сети организации для инфраструктуры платежной системы Банка России и соблюдение требований по реализации информационной безопасности в выделенном сегменте.

Вычленим из текста новой редакции основные пункты:

• Применение электронной подписи для подписания сообщений, передаваемых через платежную систему Банка России в платежных и информационных сообщениях.
• Реализация системы защиты электронных сообщений в СБП.
• Соблюдение требований к порядку эксплуатации СКЗИ (ПКЗ-2005)
• Соблюдение определенного порядка информирования Банка России об инцидентах информационной безопасности
• Документарное определение требований к обеспечение информационной безопасности
• Применение мер защиты информации согласно второму уровню защиты по ГОСТ 57580.1, обеспечение уровня соответствия не ниже четвертого по методике, изложенной в ГОСТ 57580.2.
• Иные пункты содержательной части

Основные изменения в сравнении с 747-П

Внесенные в новое положение изменения связаны с:

1. Актуализацией нормативной базы
2. Запросами о разъяснения изложенных в 747-П требований
3. Актуализаций отдельных групп нарушителей и связанных возможных рисков информационной безопасности
4. Актуализация ссылок на нормативные документы основана на введении положения №719 (требования по обеспечению ИБ при ПДС и порядок контроля Банка России) (актуализация утратившего силу положения 382-П)

Относительно пунктов 719-П определяются:

• Перечень защищаемой информации, к процессу обработки и защиты которой предъявляются требования (ссылки на пункты 719-П и приложения)
• Порядок контроля Банка России за осуществлением требований и порядок информирования Банка России, указанный в главе 7
• Также необходимо отметить введение нового указания БР №6060, согласно которому должно осуществляться информирование Банка России (изменение станет актуально с 01.01.23)

Изменения претерпели требования к порядку использования СКЗИ и принцип формирования ключей:

• В положении определено новое требование для операторов услуг информационного обмена системы быстрых платежей о соблюдении требований ПКЗ 2005 в рамках использования систем криптозащиты
• Криптоключи, применяемые для шифрования и подписания сообщений, пересылаемых Банком России и операционным платежным клиринговым центром СБП между собой, формируются операционным платежным клиринговым центром СБП (ранее обязанности могли перекладываться на договорной основе между Банком России и оператором внешней платежной системы)
• Криптоключи, применяемые для шифрования и подписания сообщений, пересылаемых участником СБП и операционным платежным клиринговым центром СБП между собой, формируются участником СБП (ранее обязанности могли перекладываться на договорной основе между участником СБП и операционным платежным клиринговым центром СБП)

Важно!

Помимо перечисленных выше изменений, можно выделить новую формулировку пункта, определяющего алгоритм взаимодействия участников СБП и Банка России в области реагирования на инциденты информационной безопасности и порядок блокирования/разблокирования конечных клиентов организаций, являющихся участниками СБП: с введением 802-П информирование должно осуществляться при каждом случае блокирования идентификатора клиента, с предоставлением данных о проведенных мероприятиях по обнаружению, ликвидации последствий и предотвращению повторного возникновения инцидента на стороне участника СБП или организации-клиента участника СБП.(ранее информирование производилось только в случае вынесения организацией собственного решения о проведении разблокировки идентификатора собственного клиента или клиента организации-клиента).

Заключение

Внесенные в положение изменения говорят о пересмотре подхода к организации защиты данных о платежных операциях при передаче платежных сообщений. Перечисленные преобразования содержания основополагающего положения отражают необходимость повышения уровня информационной безопасности в платежной системе Банка России.

Обозначенные нововведения и установленные ограничения направлены на стандартизацию подхода к организации взаимодействия с системой быстрых платежей, в т.ч. на усиление контроля за использованием услуг платежной системы Банка России иностранными финансовыми компаниями и клиентами и компаниями непрямыми участниками СБП.