Приведение в соответствие и оценка соответствия по 672-П
Положение 672-П устанавливает требования к защите информации в платежной системе Банка России.
Полное название документа:
Скачать последнюю редакцию Положения 672-П можно по ссылке (( doc, pdf).
Суть 672-П
Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» устанавливает требования к защите информации в платежной системе Банка России. На территории РФ, в финансовом секторе, имеется сегмент платежной системы Банка России, соответственно требования по защите информации, которые содержатся в 672-П, распространяются на коммерческие банки, а также на другие организации, являющиеся участниками платежной системы Банка России, у которых имеется договор об обмене электронными сообщениями с ЦБ. Фактически участок платежной системы Банка России имеется в любом российском банке (Положение Банка России от 06.07.2017 N 595-П).
672-П содержит требования по защите информации.
Структуру документа можно условно разделить на 2 части
Собственные требования 672-П
Отсылочные положения 672-П
Собственные требования 672-П включают в себя специальные требования к документированию, техническому обеспечению и организации работы сегмента ПС БР. Отсылочные требования представляют собой ссылки на иные нормативные акты, выполнение которых является обязательным (т.к. 672-П имеет статус ведомственного документа ЦБ, зарегистрированного в Министерстве юстиций РФ).
В частности 672-П содержит ссылки на
382-П
2831-У
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.2-2018
Таким образом, 672-П встроен в общую систему регулирования тематики информационной безопасности со стороны ЦБ РФ, выполнение требований 672-П обязательно для всех банков.
ГОСТ Р 57580 как часть 672-П
Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 являются ключевыми отсылочными требованиями 672-П.
Применительно к объектам информационной инфраструктуры (в терминах 382-П) банки должны применять меры защиты информации, определенные в ГОСТ Р 57580.1-2017. В зависимости от сегмента, необходимо выполнять меры, соответствующие 2 (стандартному) уровню защиты или 1 (усиленному) уровню защиты.
Что нужно сделать для выполнения 672-П?
Для выполнения 672-П требуется определить, какие мероприятия необходимо выполнить в первую очередь. Определить объем, полноту и качество реализации организационных и технических мер защиты информации объектов информационной инфраструктуры требованиям ГОСТ Р 57580.1-2017.
Единственным объективным, актуальным и рациональным способом определения, является проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017
В ходе аудита (оценки соответствия) складывается актуальная картина текущего состояния системы менеджмента информационной безопасности объектов информационной инфраструктуры задействованных в выделенном сегменте используемого при осуществлении переводов денежных средств.
Какие документы необходимо разработать для соответствия 672-П?
В обязательном порядке необходимо документировать состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.
Фактически необходимо документировать все процессы ГОСТ Р 57580.1-2017
А именно:
- обеспечение защиты информации при управлении доступом;
- обеспечение защиты вычислительных сетей;
- контроль целостности и защищенности информационной инфраструктуры;
- защита от вредоносного кода;
- предотвращение утечек информации;
- управление инцидентами защиты информации;
- защита среды виртуализации;
- защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
А также направления этих процессов:
- Планирование;
- Реализация;
- Контроль;
- Совершенствование.
И требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.
Также документированию подлежит направление криптографической защиты информации.
Документы должны содержать информацию, определяющую:
- технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
- состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее — СКЗИ) и управления ключевой информацией СКЗИ;
- план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
- лиц, допущенных к работе со СКЗИ;
- лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
- лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.
Сроки приведения в соответствие 672-П и ГОСТ 57580
В соответствии с пунктом 4 Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.
Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)
Согласно требованиям ГОСТ Р 57580.2-2018 проверяющая организация должна быть независима от проверяемой организации.
Кроме того,
проверяющая организация не должна оказывать проверяемой организации услуги в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018)
Таким образом, оценка соответствия, проводимая по 672-П должна проводиться внешними аудиторами.
Обязанность проведения оценки соответствия (не реже одного раза в два года, а также по требованию Банка России) по 672-П возникает у банков с 1 июля 2021 года.
Требования по документированию также должны выполняться с 1 июля 2021 года.
Обеспечить уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 банки должны с 1 января 2023 года.
Как оценить выполнение 672-П и ГОСТ?
Проведения оценки выполнения требований 672-П условно можно разделить на 4 этапа.
Предварительный.
На данном этапе необходимо выяснить, сколько в организации имеется выделенных сегментов объектов информационной инфраструктуры, используемых для переводов денежных средств. Вместе с этим необходимо уяснить оператором каких платежных систем является организация, а также в каких платежных системах организация является участником (оператором по переводу денежных средств). Провести категорирование сервисов переводов денежных средств (Сервис срочного перевода и сервис несрочного перевода – ССНП, сервис быстрых платежей – СБП).
1 Этап – Обследование.
В ходе исполнения первого этапа проводятся следующие мероприятия:
- Инвентаризация выделенного сегмента. Проводится инвентаризация объектов информационной инфраструктуры в выделенном сегменте, используемых для переводов денежных средств. Определение: количества автоматизированных рабочих мест; установленного системного и прикладного программного обеспечения; используемых технических средств защиты информации в том числе СКЗИ; используемого сетевого оборудования; каналов связи; систем видеонаблюдения; систем контроля и управления доступом;
- Определение границ выделенного сегмента;
- Составление схемы взаимодействия информационных потоков в выделенном сегменте;
- Определение уровней защиты по виду и деятельности организации, а также по функциональному предназначению объектов информационной инфраструктуры в выделенном сегменте.
2 Этап – Проведение оценки.
На данном этапе оценивается реализация организационных и технических мер по защите информации на соответствие требованиям
ГОСТ Р 57580.1-2017. По результатам выполненных работ выставляется предварительная оценка, которая может корректироваться в зависимости от полноты и качества предоставления недостающих документов и свидетельств.
3 Этап – Завершение.
На данном этапе происходит оформление результатов проведения согласованной оценки соответствия; подготовка и подача предложений и рекомендаций по приведению организационных мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (в т.ч. разработка внутренних нормативных документов); подготовка и подача предложений и рекомендаций по приведению технических мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (совершенствование средств защиты информации объектов информационной инфраструктуры, ввод в эксплуатацию новых средств защиты информации, повышение уровня защищенности путем дополнительных настроек имеющихся средств защиты информации).
Почему RTM Group?
- Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
- Аудит проводятся экспертами обладающих большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
- Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
- Мы обладаем лицензиями:
- Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
- Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
- Лицензия ФСБ России на работу со средствами криптозащиты
Наши эксперты по проведению аудита 672-П
Цена оценки соответствия по 672-П
| Наименование экспертизы | Стоимость |
|
Оценка соответствия по 672-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации) |
от 250 000 рублей |
|
Полное или частичное приведение в соответствие требованиям 672-П |
от 100 000 рублей |
Заказать оценку соответствия по 672-П
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru
Вопрос-ответ
Бесплатная онлайн юридическая консультация по оценке соответствия по 672-П
Задайте вопрос бесплатно и получите ответ эксперта
Связанные статьи
Что такое ГОСТ 57580?
- Понятие ГОСТ 57580
- Краткий обзор ГОСТ 57580
- Применение ГОСТа
- Заключение