Положение 672-П устанавливает требования к защите информации в платежной системе Банка России.
Полное название документа:
Скачать последнюю редакцию Положения 672-П можно по ссылке (( doc, pdf).
3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 672-П, и новый документ признаёт предыдущий утратившим силу.
Кобец Дмитрий Андреевич
Музалевский Фёдор Александрович
Гончаров Андрей Михайлович
Царев Евгений Олегович
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все эксперты
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все эксперты
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все эксперты
Эксперт по информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Все экспертыПоложение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» устанавливает требования к защите информации в платежной системе Банка России. На территории РФ, в финансовом секторе, имеется сегмент платежной системы Банка России, соответственно требования по защите информации, которые содержатся в 672-П, распространяются на коммерческие банки, а также на другие организации, являющиеся участниками платежной системы Банка России, у которых имеется договор об обмене электронными сообщениями с ЦБ. Фактически участок платежной системы Банка России имеется в любом российском банке (Положение Банка России от 06.07.2017 N 595-П).
672-П содержит требования по защите информации.
Структуру документа можно условно разделить на 2 части
Собственные требования 672-П
Отсылочные положения 672-П
Собственные требования 672-П включают в себя специальные требования к документированию, техническому обеспечению и организации работы сегмента ПС БР. Отсылочные требования представляют собой ссылки на иные нормативные акты, выполнение которых является обязательным (т.к. 672-П имеет статус ведомственного документа ЦБ, зарегистрированного в Министерстве юстиций РФ).
В частности 672-П содержит ссылки на
382-П
2831-У
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.2-2018
Таким образом, 672-П встроен в общую систему регулирования тематики информационной безопасности со стороны ЦБ РФ, выполнение требований 672-П обязательно для всех банков.
Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 являются ключевыми отсылочными требованиями 672-П.
Применительно к объектам информационной инфраструктуры (в терминах 382-П) банки должны применять меры защиты информации, определенные в ГОСТ Р 57580.1-2017. В зависимости от сегмента, необходимо выполнять меры, соответствующие 2 (стандартному) уровню защиты или 1 (усиленному) уровню защиты.
Для выполнения 672-П требуется определить, какие мероприятия необходимо выполнить в первую очередь. Определить объем, полноту и качество реализации организационных и технических мер защиты информации объектов информационной инфраструктуры требованиям ГОСТ Р 57580.1-2017.
Единственным объективным, актуальным и рациональным способом определения, является проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017
В ходе аудита (оценки соответствия) складывается актуальная картина текущего состояния системы менеджмента информационной безопасности объектов информационной инфраструктуры задействованных в выделенном сегменте используемого при осуществлении переводов денежных средств.
В обязательном порядке необходимо документировать состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.
Фактически необходимо документировать все процессы ГОСТ Р 57580.1-2017
А именно:
А также направления этих процессов:
И требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Также документированию подлежит направление криптографической защиты информации.
Документы должны содержать информацию, определяющую:
В соответствии с пунктом 4 Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.
Согласно требованиям ГОСТ Р 57580.2-2018 проверяющая организация должна быть независима от проверяемой организации.
Кроме того,
проверяющая организация не должна оказывать проверяемой организации услуги в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018)
Таким образом, оценка соответствия, проводимая по 672-П должна проводиться внешними аудиторами.
Обязанность проведения оценки соответствия (не реже одного раза в два года, а также по требованию Банка России) по 672-П возникает у банков с 1 июля 2021 года.
Требования по документированию также должны выполняться с 1 июля 2021 года.
Обеспечить уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 банки должны с 1 января 2023 года.
Проведения оценки выполнения требований 672-П условно можно разделить на 3 этапа.
На данном этапе необходимо выяснить, сколько в организации имеется выделенных сегментов объектов информационной инфраструктуры, используемых для переводов денежных средств. Вместе с этим необходимо уяснить оператором каких платежных систем является организация, а также в каких платежных системах организация является участником (оператором по переводу денежных средств). Провести категорирование сервисов переводов денежных средств (Сервис срочного перевода и сервис несрочного перевода – ССНП, сервис быстрых платежей – СБП).
В ходе исполнения первого этапа проводятся следующие мероприятия:
На данном этапе оценивается реализация организационных и технических мер по защите информации на соответствие требованиям
ГОСТ Р 57580.1-2017. По результатам выполненных работ выставляется предварительная оценка, которая может корректироваться в зависимости от полноты и качества предоставления недостающих документов и свидетельств.
На данном этапе происходит оформление результатов проведения согласованной оценки соответствия; подготовка и подача предложений и рекомендаций по приведению организационных мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (в т.ч. разработка внутренних нормативных документов); подготовка и подача предложений и рекомендаций по приведению технических мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (совершенствование средств защиты информации объектов информационной инфраструктуры, ввод в эксплуатацию новых средств защиты информации, повышение уровня защищенности путем дополнительных настроек имеющихся средств защиты информации).
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru
| Наименование услуги | Стоимость |
|---|---|
|
Консультация |
бесплатно |
|
Аудит соответствия общим требованиям 672-П Срок — от 4 недель |
от 200 000 руб. |
|
Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 672-П Срок — от 8 недель |
от 300 000 руб. |
|
Оценка соответствия по ГОСТ Р 57580 Срок — от 8 недель |
от 350 000 руб. |
|
Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 Срок — от 10 недель |
от 450 000 руб. |
|
Полный аудит соответствия по 672-П и ГОСТ Р 57580 Срок — от 10 недель |
от 500 000 руб. |
|
Разработка организационно-распорядительной документации (ОРД) для 672-П Срок — от 2 недель |
от 100 000 руб. |
Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.
Что грозит банку за невыполнение требований 672-П?
Анатолий
Непредставление или нарушение порядка либо сроков представления в Банк России отчетов, уведомлений и иной информации, предусмотренной законодательством и (или) необходимой для осуществления этим органом (должностным лицом) его законной деятельности, либо представление информации не в полном объеме и (или) недостоверной информации, за исключением случаев, если в соответствии со страховым законодательством, законодательством Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах Банком России дается предписание об устранении нарушения страхового законодательства, законодательства Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах, если эти действия (бездействие) не содержат уголовно наказуемого деяния, —
(в ред. Федерального закона от 21.12.2013 N 375-ФЗ (см. текст в предыдущей редакции))
влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от двадцати тысяч до тридцати тысяч рублей или дисквалификацию на срок до одного года; на юридических лиц — от пятисот тысяч до семисот тысяч рублей.
Кобец Дмитрий Андреевич
Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)
Олег
Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).
Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».
Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации
Гончаров Андрей Михайлович
Добрый день, скажите, какая связь между ГОСТ 57580 и 672-П?
Анатолий
Здравствуйте!
672-П требует для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей применять меры защиты информации, определенные национальным стандартом Российской Федерации ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (п.3, 4, 5 Положения 672-П).
Кобец Дмитрий Андреевич
Здравствуйте!
Подскажите, какие принципиальные отличия 672-П от 382-П?
Михаил
Здравствуйте!
Ниже приведу основные отличия 672-П от 382-П
- В методах проведения оценки соответствия.
Оценка 382-П проводится в соответствии с Приложением № 1 к Положению 382-П «Порядок проведения оценки соответствия и документирование ее результатов».
Оценка 672-П проводится по методике оценки соответствия ГОСТ 575850.2-2017.- По распространению действия.
382-П распространяется на: операторов платежных систем, операторов платежной инфраструктуры, банковских платежных агентов (субагентов), операторов платежных систем.
672-П распространяется на: участников платежной системы Банка России, являющихся кредитными организациями (их филиалами), имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, а так же операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.- 672-П разделяет понятия денежных переводов (Сервис срочного перевода и сервис несрочного перевода — ССНП; Сервис быстрых платежей – СБП). В 382-П таких требований нет.
- По требованиям к размещению объектов информационной инфраструктуры, используемых при осуществлении переводов денежных средств.
В 672-П указано, что участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной структуры, используемые при осуществлении переводов денежных средств с использованием ССНП, в выделенных сегментах (группах сегментов) вычислительных сетей.
Аналогичные требования к размещению и сегментации объектов информационной структуры при использовании сервиса быстрых платежей СБП.- В 382-П отсутствуют требования к защите информации среды виртуализации.
- В 672-П определены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ. (Требования к созданию контура формирования электронных сообщений и контура контроля реквизитов).
Кобец Дмитрий Андреевич
Как часто нужно делать оценку соответствия по ГОСТ 57580.1-2018, 672-П, 683-П?
Какие из должны выполняться только с привлечением внешней организации и с какой периодичностью?
Василий
Согласно абзацу первому подпункта 9.2 Положения №683-П необходимо обеспечить проведение оценки соответствия уровню не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 до 1 января 2021 года. Согласно пункту 9 Положения №683-П необходимо обеспечить проведение оценки не реже одного раза в два года, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение данных работ.
В соответствии с пунктом 4 (вступает в силу с 01.07.2021 г.) Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017. Таким образом, необходимо обеспечить проведение оценки соответствия (согласно пункту 20 Положения №672-П — не реже одного раза в два года, а также по требованию Банка России) по 672-П до 1 июля 2021 г.
Бурдастых Екатерина Сергеевна
Какова же стоимость такого тройного отчета может быть? И какой срок проведения?
Natalia
«Тройного отчета» нет.
Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
Для примера, если мы проводим работы по 719-П, то «тройной отчет» стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П — область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.
Кобец Дмитрий Андреевич
Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?
Антон
Да, про 683-П, 672-П ЦБ ответил «да», про 719-П разумно предположить что тоже да, т.к. суть одна и таже.
Музалевский Фёдор Александрович
А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?
Антон
Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.
Музалевский Фёдор Александрович
Какие сроки по 672-П?
Александр
Крайних сроков в этом году нет, надо только начать.
Примечание: Положение 672-П заменено на 747-П.
Музалевский Фёдор Александрович
Для работ по 672-П требуется привлечение внешних организаций с лицензией на ТЗКИ?
Антон
Да, требуется привлечение внешнего лицензиата.
Музалевский Фёдор Александрович
