8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
info@rtmtech.ru Контакты Поиск
RTM Group » Услуги » Информационная безопасность » 672‑П: Приведение в соответствие и оценка соответствия

672‑П: Приведение в соответствие и оценка соответствия

672-П регламентирует работу с платежной системой Банка России, к которой Центробанк проявляет особое внимание в ходе проверок. Мы предлагаем:
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018;
  • Подготовка организационно-распорядительной документации для соответствия 672-П и ГОСТ Р 57580.1-2017.
Важно: Данное положение отменено. Вместо него действует положение № 747-П"
672‑П: Приведение в соответствие и оценка соответствия - изображение услуги
Узнать стоимость?
Перейти

Эксперты по приведению в соответствие требованиям 672-П

Эксперт по приведению в соответствие требованиям 672-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО "ВГУИТ" Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года Профиль >>

Все эксперты

Положение 672-П устанавливает требования к защите информации в платежной системе Банка России.

Полное название документа:

Положение Банка России от 09.01.2019 N 672-П «О требованиях к защите информации в платежной системе Банка России» (вместе с «Правилами материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ») (Зарегистрировано в Минюсте России 21.03.2019 N 54109)

Скачать последнюю редакцию Положения 672-П можно по ссылке (( doc, pdf).

3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 672-П, и новый документ признаёт предыдущий утратившим силу.

Суть 672-П

Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» устанавливает требования к защите информации в платежной системе Банка России. На территории РФ, в финансовом секторе, имеется сегмент платежной системы Банка России, соответственно требования по защите информации, которые содержатся в 672-П, распространяются на коммерческие банки, а также на другие организации, являющиеся участниками платежной системы Банка России, у которых имеется договор об обмене электронными сообщениями с ЦБ. Фактически участок платежной системы Банка России имеется в любом российском банке (Положение Банка России от 06.07.2017 N 595-П).

672-П содержит требования по защите информации. Структуру документа можно условно разделить на 2 части:

  • Собственные требования 672-П
  • Отсылочные положения 672-П

Собственные требования 672-П включают в себя специальные требования к документированию, техническому обеспечению и организации работы сегмента ПС БР. Отсылочные требования представляют собой ссылки на иные нормативные акты, выполнение которых является обязательным (т.к. 672-П имеет статус ведомственного документа ЦБ, зарегистрированного в Министерстве юстиций РФ).

В частности 672-П содержит ссылки на:

  • 382-П
  • 2831-У
  • ГОСТ Р 57580.1-2017
  • ГОСТ Р 57580.2-2018

Таким образом, 672-П встроен в общую систему регулирования тематики информационной безопасности со стороны ЦБ РФ, выполнение требований 672-П обязательно для всех банков.

ГОСТ Р 57580 как часть 672-П

Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 являются ключевыми отсылочными требованиями 672-П.

Применительно к объектам информационной инфраструктуры (в терминах 382-П) банки должны применять меры защиты информации, определенные в ГОСТ Р 57580.1-2017. В зависимости от сегмента, необходимо выполнять меры, соответствующие 2 (стандартному) уровню защиты или 1 (усиленному) уровню защиты.

Что нужно сделать для выполнения 672-П?

Для выполнения 672-П требуется определить, какие мероприятия необходимо выполнить в первую очередь. Определить объем, полноту и качество реализации организационных и технических мер защиты информации объектов информационной инфраструктуры требованиям ГОСТ Р 57580.1-2017.

Единственным объективным, актуальным и рациональным способом определения, является проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017

В ходе аудита (оценки соответствия) складывается актуальная картина текущего состояния системы менеджмента информационной безопасности объектов информационной инфраструктуры задействованных в выделенном сегменте используемого при осуществлении переводов денежных средств.

    Нужна консультация?
    Задать вопрос

    Какие документы необходимо разработать для соответствия 672-П?

    В обязательном порядке необходимо документировать состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.

    Фактически необходимо документировать все процессы ГОСТ Р 57580.1-2017

    А именно:
    Документирование процессов ГОСТ Р 57580.1-2017

    • обеспечение защиты информации при управлении доступом;
    • обеспечение защиты вычислительных сетей;
    • контроль целостности и защищенности информационной инфраструктуры;
    • защита от вредоносного кода;
    • предотвращение утечек информации;
    • управление инцидентами защиты информации;
    • защита среды виртуализации;
    • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.Документирование направлений процессов ГОСТ Р 57580.1-2017

    А также направления этих процессов:

    • Планирование;
    • Реализация;
    • Контроль;
    • Совершенствование.

     

     

    И требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

    Также документированию подлежит направление криптографической защиты информации.

    Документы должны содержать информацию, определяющую:
    Информация, содержащаяся в документах

    • технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
    • состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее — СКЗИ) и управления ключевой информацией СКЗИ;
    • план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
    • лиц, допущенных к работе со СКЗИ;
    • лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
    • лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

    Сроки приведения в соответствие 672-П и ГОСТ 57580

    В соответствии с пунктом 4 Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.

    Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)

    Согласно требованиям ГОСТ Р 57580.2-2018 проверяющая организация должна быть независима от проверяемой организации.

    Кроме того,

    проверяющая организация не должна оказывать проверяемой организации услуги в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018)

    Таким образом, оценка соответствия, проводимая по 672-П должна проводиться внешними аудиторами.

    Обязанность проведения оценки соответствия (не реже одного раза в два года, а также по требованию Банка России) по 672-П возникает у банков с 1 июля 2021 года.

    Требования по документированию также должны выполняться с 1 июля 2021 года.

    Обеспечить уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 банки должны с 1 января 2023 года.

    Как оценить выполнение 672-П и ГОСТ?

    Проведения оценки выполнения требований 672-П условно можно разделить на 3 этапа.

    Этапы выполнения требований 672-П

    Предварительный этап.

    На данном этапе необходимо выяснить, сколько в организации имеется выделенных сегментов объектов информационной инфраструктуры, используемых для переводов денежных средств. Вместе с этим необходимо уяснить оператором каких платежных систем является организация, а также в каких платежных системах организация является участником (оператором по переводу денежных средств). Провести категорирование сервисов переводов денежных средств (Сервис срочного перевода и сервис несрочного перевода – ССНП, сервис быстрых платежей – СБП).

    1 Этап – Обследование.

    В ходе исполнения первого этапа проводятся следующие мероприятия:

    • Инвентаризация выделенного сегмента. Проводится инвентаризация объектов информационной инфраструктуры в выделенном сегменте, используемых для переводов денежных средств. Определение: количества автоматизированных рабочих мест; установленного системного и прикладного программного обеспечения; используемых технических средств защиты информации, в том числе СКЗИ; используемого сетевого оборудования; каналов связи; систем видеонаблюдения; систем контроля и управления доступом;
    • Определение границ выделенного сегмента;
    • Составление схемы взаимодействия информационных потоков в выделенном сегменте;
    • Определение уровней защиты по виду и деятельности организации, а также по функциональному предназначению объектов информационной инфраструктуры в выделенном сегменте.

    2 Этап – Проведение оценки.

    На данном этапе оценивается реализация организационных и технических мер по защите информации на соответствие требованиям
    ГОСТ Р 57580.1-2017. По результатам выполненных работ выставляется предварительная оценка, которая может корректироваться в зависимости от полноты и качества предоставления недостающих документов и свидетельств.

    3 Этап – Завершение.

    На данном этапе происходит оформление результатов проведения согласованной оценки соответствия; подготовка и подача предложений и рекомендаций по приведению организационных мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (в т.ч. разработка внутренних нормативных документов); подготовка и подача предложений и рекомендаций по приведению технических мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (совершенствование средств защиты информации объектов информационной инфраструктуры, ввод в эксплуатацию новых средств защиты информации,  повышение уровня защищенности путем дополнительных настроек имеющихся средств защиты информации).

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать оценку соответствия по 672-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru




    Оглавление:

    Суть 672-П ГОСТ Р 57580 как часть 672-П Мероприятия для выполнения 672-П Список документов для соответствия 672-П? Сроки приведения в соответствие 672-П и ГОСТ 57580 Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П) Этапы проведения оценки выполнения 672-П и ГОСТ? Почему RTM Group? Заказать аудит по 672-П


    Видео по приведению в соответствие требованиям 672-П

    Почему RTM Group

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в пятерку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по приведению в соответствие требованиям 672-П

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит соответствия общим требованиям 672-П

    Срок - от 4 недель

    Опросный лист (анкета)

    от 200 000 руб.

    Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 672-П

    Срок - от 8 недель

    от 300 000 руб.

    Оценка соответствия по ГОСТ Р 57580

    Срок - от 8 недель

    от 350 000 руб.

    Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

    Срок - от 10 недель

    от 450 000 руб.

    Полный аудит соответствия по 672-П и ГОСТ Р 57580

    Срок - от 10 недель

    от 500 000 руб.

    Разработка организационно-распорядительной документации (ОРД) для 672-П

    Срок - от 2 недель

    от 100 000 руб.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    Наши преимущества

    719-П, 683-П, 757-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    3 лицензии

    ФСТЭК России и ФСБ России

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Наши отзывы по приведению в соответствие требованиям 672-П

    Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)

    2019-12-11

    «Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов
    Благодарность от АО «НК Банк»

    2020-06-15

    АО «НК Банк» выражает благодарность специалистам компании ООО «РТМ ТЕХНОЛОГИИ» за профессиональный подход к проведению работ по проведению оценок соответствия требованиям информационной безопасности, установленным Положениями Банка России от 09.06.2012 г. № 382-П, от 09.01.2019 № 672-П, а также приказом Минкомсвязи от 25.06.2018 г. № 321 Заместитель Председателя Правления В.Г. Демченко
    Благодарность от КБ «Байкалкредобанк» (ПАО)

    2019-10-28

    Настоящим подтверждаем, что компания ООО «РТМ ТЕХНОЛОГИИ» выполнила в КБ «Байкалкредобанк» (ПАО) проект по проведению аудита информационной безопасности. В рамках аудита был проведен тест на проникновение, а также оценка уровня защищенности Интернет-портала Банка. Банк получил исчерпывающую информацию о состоянии защищенности своих информационных активов в результате аудита информационной безопасности с моделированием внешних атак потенциальных злоумышленников, а также анализа уязвимостей в клиентских приложениях, сетях Wi-Fi и серверном ПО. Сотрудники ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как квалифицированные специалисты, хорошо осведомленные о современных информационных технологиях. Мы характеризуем результаты проделанной работы как положительные и хотим отметить высокую квалификацию специалистов компании, профессиональный подход к делу, оперативность в исполнении рабочих задач и строгое следование условиям заключенного договора. Начальник ОА и ИС КБ «Байкалкредобанк» (ПАО) Г.И. Зарубин
    Благодарность от ООО «Банк 131»

    2020-03-13

    От себя лично и от лица Банка ООО «Банк 131» хочу выразить благодарность специалистам ООО «РТМ ТЕХНОЛОГИИ» за их профессионализм и комплексный подход к проведению аудита № 382-П. Совместно с аудитом экспертами «РТМ ТЕХНОЛОГИИ» был проведен пентест, который дал объективную оценку о состоянии информационной безопасности Банка. Банк ООО «Банк 131» желает ООО «РТМ ТЕХНОЛОГИИ» профессиональных успехов и рекомендует к сотрудничеству. Руководитель СИБ ООО «Банк 131» Филиппов Д.Г.

    Услуги для вас

    Услуга 747-П: Приведение в соответствие и оценка соответствия

    747-П: Приведение в соответствие и оценка соответствия

    — На кого распространяются требования
    — Какая информация должна защищаться
    — Важные требования
    — Оценка по ГОСТ 57580.2 для банков
    — Когда 747-П вступает в силу?
    — Дополнительные услуги
    Услуга 683‑П: Приведение в соответствие и оценка для банка

    683‑П: Приведение в соответствие и оценка для банка

    - Суть 683-П
    - Какая информация должна защищаться по 683-П?
    - На кого распространяются требования 683-П?
    - Важные требования 683-П для банков
    - Оценка по ГОСТ 57580.2 для банков
    - Когда 683-П вступает в силу?
    - Дополнительные услуги по 683-П
    - Почему RTM Group?
    - Цена работ по 683-П для банков
    - Заказать работы по 683-П
    Услуга Тест на проникновение (пентест) и анализ уязвимостей

    Тест на проникновение (пентест) и анализ уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 683-П, 719-П, 757-П
    - Почему RTM Group?
    - Цена проведения пентеста
    Услуга ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
    - Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
    - Оценка по Приказу №930 Минкомсвязи (Биометрия)
    - Почему RTM Group?
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости по 683-П?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    - Дополнительные услуги по анализу уязвимостей
    - Почему RTM Group?
    - Цена работ по анализу уязвимостей программного обеспечения
    - Заказать работы по анализу уязвимостей программного обеспечения
    Услуга 382‑П: Оценка соответствия

    382‑П: Оценка соответствия

    - Скачать актуальную редакцию 382-П
    - Что необходимо для проведения оценки соответствия по 382-П?
    - Как проводится оценка соответствия по 382-П?
    - Что включает в себя отчет по 382-П?
    - Дополнительные услуги по 382-П
    - Почему RTM Group?
    - Цены
    - Заказать аудит по 382-П
    Услуга Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

    Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

    - Основные понятия
    - Помощь в самооценке
    - Заказать помощь в проведении самооценки по ГОСТ Р 57580

    НАМ ДОВЕРЯЮТ

    Полезные статьи

    Статья Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    Статья Значимые изменения в регулировании ИБ Банком России 2020

    Значимые изменения в регулировании ИБ Банком России 2020

    Какие изменения произошли в 2019 году в регулировании процессов обеспечения информационной безопасности со стороны Центрального Банка. Положения для банков и НФО.
    Статья Что такое пентест (pentest)?

    Что такое пентест (pentest)?

    - Что входит в тестирование на проникновение?
    - Примеры пентестинга
    - Что является результатом пентеста?
    - Заключение
    Статья Различия между 672-П и 747-П

    Различия между 672-П и 747-П

    В чём различия между новым Положением и тем, чем мы руководствовались раньше?

    FAQ: Часто задаваемые вопросы

    Что грозит банку за невыполнение требований 672-П?
    Непредставление или нарушение порядка либо сроков представления в Банк России отчетов, уведомлений и иной информации, предусмотренной законодательством и (или) необходимой для осуществления этим органом (должностным лицом) его законной деятельности, либо представление информации не в полном объеме и (или) недостоверной информации, за исключением случаев, если в соответствии со страховым законодательством, законодательством Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах Банком России дается предписание об устранении нарушения страхового законодательства, законодательства Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах, если эти действия (бездействие) не содержат уголовно наказуемого деяния, - (в ред. Федерального закона от 21.12.2013 N 375-ФЗ (см. текст в предыдущей редакции)) влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц - от двадцати тысяч до тридцати тысяч рублей или дисквалификацию на срок до одного года; на юридических лиц - от пятисот тысяч до семисот тысяч рублей.
    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)
    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - информация конфиденциального характера). Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ - 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ - 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность». Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации
    Добрый день, скажите, какая связь между ГОСТ 57580 и 672-П?
    Здравствуйте! 672-П требует для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей применять меры защиты информации, определенные национальным стандартом Российской Федерации ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (п.3, 4, 5 Положения 672-П).
    Здравствуйте! Подскажите, какие принципиальные отличия 672-П от 382-П?
    Здравствуйте! Ниже приведу основные отличия 672-П от 382-П
    1. В методах проведения оценки соответствия. Оценка 382-П проводится в соответствии с Приложением № 1 к Положению 382-П «Порядок проведения оценки соответствия и документирование ее результатов». Оценка 672-П проводится по методике оценки соответствия ГОСТ 575850.2-2017.
    2. По распространению действия. 382-П распространяется на: операторов платежных систем, операторов платежной инфраструктуры, банковских платежных агентов (субагентов), операторов платежных систем. 672-П распространяется на: участников платежной системы Банка России, являющихся кредитными организациями (их филиалами), имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, а так же  операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.
    3. 672-П разделяет понятия денежных переводов (Сервис срочного перевода и сервис несрочного перевода - ССНП; Сервис быстрых платежей – СБП). В 382-П таких требований нет.
    4. По требованиям к размещению объектов информационной инфраструктуры, используемых при осуществлении переводов денежных средств. В 672-П указано, что участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной структуры, используемые при осуществлении переводов денежных средств с использованием ССНП, в выделенных сегментах (группах сегментов) вычислительных сетей. Аналогичные требования к размещению и сегментации объектов информационной структуры при использовании сервиса быстрых платежей СБП.
    5. В 382-П отсутствуют требования к защите информации среды виртуализации.
    6. В 672-П определены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ. (Требования к созданию контура формирования электронных сообщений и контура контроля реквизитов).
    Как часто нужно делать оценку соответствия по ГОСТ 57580.1-2018, 672-П, 683-П? Какие из должны выполняться только с привлечением внешней организации и с какой периодичностью?
    Согласно абзацу первому подпункта 9.2 Положения №683-П необходимо обеспечить проведение оценки соответствия уровню не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 до 1 января 2021 года. Согласно пункту 9 Положения №683-П необходимо обеспечить проведение оценки не реже одного раза в два года, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение данных работ. В соответствии с пунктом 4 (вступает в силу с 01.07.2021 г.) Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017. Таким образом, необходимо обеспечить проведение оценки соответствия (согласно пункту 20 Положения №672-П - не реже одного раза в два года, а также по требованию Банка России) по 672-П до 1 июля 2021 г.
    Какова же стоимость такого тройного отчета может быть? И какой срок проведения?
    "Тройного отчета" нет. Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке. Для примера, если мы проводим работы по 719-П, то "тройной отчет" стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П - область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.
    Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?
    Да, про 683-П, 672-П ЦБ ответил "да", про 719-П разумно предположить что тоже да, т.к. суть одна и таже.
    А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?
    Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.
    Какие сроки по 672-П?
    Крайних сроков в этом году нет, надо только начать. Примечание: Положение 672-П заменено на 747-П.
    Для работ по 672-П требуется привлечение внешних организаций с лицензией на ТЗКИ?
    Да, требуется привлечение внешнего лицензиата.

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.