8 800 201-20-70Звонок бесплатный
Контакты Поиск
_
Перейти
RTM Group » Услуги » Информационная безопасность » 672‑П: Приведение в соответствие и оценка соответствия

672‑П: Приведение в соответствие и оценка соответствия

Важно:

Положение 672-П отменено. Вместо него действует положение № 802-П

672‑П: Приведение в соответствие и оценка соответствия - услуги RTM Group
672‑П: Приведение в соответствие и оценка соответствия - от RTM Group

Расчет сроков по приведению в соответствие требованиям 672-П (802-П)

Размер компании:
Будет ли с вашей стороны выделен руководитель проекта?
Время на согласование отчета (не дольше):
Время на согласование результата выполненных работ (не дольше):


Расчетное время составляет:
Указано ориентировочное время и может значительно отличатся в зависимости от требований проекта.
Узнать стоимость?
Перейти

Эксперты по приведению в соответствие требованиям 672-П (802-П)

Эксперт по приведению в соответствие требованиям 672-П (802-П) Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П (802-П) Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П (802-П) Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 672-П (802-П) Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Положение 672-П устанавливает требования к защите информации в платежной системе Банка России.

Полное название документа:

Положение Банка России от 09.01.2019 N 672-П “О требованиях к защите информации в платежной системе Банка России” (вместе с “Правилами материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ”) (Зарегистрировано в Минюсте России 21.03.2019 N 54109)

Скачать последнюю редакцию Положения 672-П можно по ссылке (( doc, pdf).

3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 672-П, и новый документ признаёт предыдущий утратившим силу.

Суть 672-П

Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» устанавливает требования к защите информации в платежной системе Банка России. На территории РФ, в финансовом секторе, имеется сегмент платежной системы Банка России, соответственно требования по защите информации, которые содержатся в 672-П, распространяются на коммерческие банки, а также на другие организации, являющиеся участниками платежной системы Банка России, у которых имеется договор об обмене электронными сообщениями с ЦБ. Фактически участок платежной системы Банка России имеется в любом российском банке (Положение Банка России от 06.07.2017 N 595-П).

672-П содержит требования по защите информации. Структуру документа можно условно разделить на 2 части:

  • Собственные требования 672-П
  • Отсылочные положения 672-П

Собственные требования 672-П включают в себя специальные требования к документированию, техническому обеспечению и организации работы сегмента ПС БР. Отсылочные требования представляют собой ссылки на иные нормативные акты, выполнение которых является обязательным (т.к. 672-П имеет статус ведомственного документа ЦБ, зарегистрированного в Министерстве юстиций РФ).

В частности 672-П содержит ссылки на:

  • 382-П
  • 2831-У
  • ГОСТ Р 57580.1-2017
  • ГОСТ Р 57580.2-2018

Таким образом, 672-П встроен в общую систему регулирования тематики информационной безопасности со стороны ЦБ РФ, выполнение требований 672-П обязательно для всех банков.

ГОСТ Р 57580 как часть 672-П

Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 являются ключевыми отсылочными требованиями 672-П.

Применительно к объектам информационной инфраструктуры (в терминах 382-П) банки должны применять меры защиты информации, определенные в ГОСТ Р 57580.1-2017. В зависимости от сегмента, необходимо выполнять меры, соответствующие 2 (стандартному) уровню защиты или 1 (усиленному) уровню защиты.

Что нужно сделать для выполнения 672-П?

Для выполнения 672-П требуется определить, какие мероприятия необходимо выполнить в первую очередь. Определить объем, полноту и качество реализации организационных и технических мер защиты информации объектов информационной инфраструктуры требованиям ГОСТ Р 57580.1-2017.

Единственным объективным, актуальным и рациональным способом определения, является проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017

В ходе аудита (оценки соответствия) складывается актуальная картина текущего состояния системы менеджмента информационной безопасности объектов информационной инфраструктуры задействованных в выделенном сегменте используемого при осуществлении переводов денежных средств.

    Нужна консультация?
    Задать вопрос

    Какие документы необходимо разработать для соответствия 672-П?

    В обязательном порядке необходимо документировать состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.

    Фактически необходимо документировать все процессы ГОСТ Р 57580.1-2017

    А именно:
    Документирование процессов ГОСТ Р 57580.1-2017

    • обеспечение защиты информации при управлении доступом;
    • обеспечение защиты вычислительных сетей;
    • контроль целостности и защищенности информационной инфраструктуры;
    • защита от вредоносного кода;
    • предотвращение утечек информации;
    • управление инцидентами защиты информации;
    • защита среды виртуализации;
    • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.Документирование направлений процессов ГОСТ Р 57580.1-2017

    А также направления этих процессов:

    • Планирование;
    • Реализация;
    • Контроль;
    • Совершенствование.

     

     

    И требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

    Также документированию подлежит направление криптографической защиты информации.

    Документы должны содержать информацию, определяющую:
    Информация, содержащаяся в документах

    • технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
    • состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее – СКЗИ) и управления ключевой информацией СКЗИ;
    • план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
    • лиц, допущенных к работе со СКЗИ;
    • лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
    • лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

    Сроки приведения в соответствие 672-П и ГОСТ 57580

    В соответствии с пунктом 4 Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.

    Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)

    Согласно требованиям ГОСТ Р 57580.2-2018 проверяющая организация должна быть независима от проверяемой организации.

    Кроме того,

    проверяющая организация не должна оказывать проверяемой организации услуги в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018)

    Таким образом, оценка соответствия, проводимая по 672-П должна проводиться внешними аудиторами.

    Обязанность проведения оценки соответствия (не реже одного раза в два года, а также по требованию Банка России) по 672-П возникает у банков с 1 июля 2021 года.

    Требования по документированию также должны выполняться с 1 июля 2021 года.

    Обеспечить уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 банки должны с 1 января 2023 года.

    Как оценить выполнение 672-П и ГОСТ?

    Проведения оценки выполнения требований 672-П условно можно разделить на 3 этапа.

    Этапы выполнения требований 672-П

    Предварительный этап.

    На данном этапе необходимо выяснить, сколько в организации имеется выделенных сегментов объектов информационной инфраструктуры, используемых для переводов денежных средств. Вместе с этим необходимо уяснить оператором каких платежных систем является организация, а также в каких платежных системах организация является участником (оператором по переводу денежных средств). Провести категорирование сервисов переводов денежных средств (Сервис срочного перевода и сервис несрочного перевода – ССНП, сервис быстрых платежей – СБП).

    1 Этап – Обследование.

    В ходе исполнения первого этапа проводятся следующие мероприятия:

    • Инвентаризация выделенного сегмента. Проводится инвентаризация объектов информационной инфраструктуры в выделенном сегменте, используемых для переводов денежных средств. Определение: количества автоматизированных рабочих мест; установленного системного и прикладного программного обеспечения; используемых технических средств защиты информации, в том числе СКЗИ; используемого сетевого оборудования; каналов связи; систем видеонаблюдения; систем контроля и управления доступом;
    • Определение границ выделенного сегмента;
    • Составление схемы взаимодействия информационных потоков в выделенном сегменте;
    • Определение уровней защиты по виду и деятельности организации, а также по функциональному предназначению объектов информационной инфраструктуры в выделенном сегменте.

    2 Этап – Проведение оценки.

    На данном этапе оценивается реализация организационных и технических мер по защите информации на соответствие требованиям
    ГОСТ Р 57580.1-2017. По результатам выполненных работ выставляется предварительная оценка, которая может корректироваться в зависимости от полноты и качества предоставления недостающих документов и свидетельств.

    3 Этап – Завершение.

    На данном этапе происходит оформление результатов проведения согласованной оценки соответствия; подготовка и подача предложений и рекомендаций по приведению организационных мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (в т.ч. разработка внутренних нормативных документов); подготовка и подача предложений и рекомендаций по приведению технических мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (совершенствование средств защиты информации объектов информационной инфраструктуры, ввод в эксплуатацию новых средств защиты информации,  повышение уровня защищенности путем дополнительных настроек имеющихся средств защиты информации).

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности, проведение пентестов
    • Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать оценку соответствия по 672-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru




    Оглавление:

    Суть 672-П ГОСТ Р 57580 как часть 672-П Мероприятия для выполнения 672-П Список документов для соответствия 672-П? Сроки приведения в соответствие 672-П и ГОСТ 57580 Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П) Этапы проведения оценки выполнения 672-П и ГОСТ? Почему RTM Group? Заказать аудит по 672-П


    Видео по приведению в соответствие требованиям 672-П (802-П)

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по приведению в соответствие требованиям 672-П (802-П)

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит соответствия общим требованиям 802-П (747-П)

    Срок — от 4 недель

    Подробное описание
     

    Опросный лист (анкета)

    от 200 000 руб.

    Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 802-П (747-П)

    Срок — от 8 недель

    от 300 000 руб.

    Оценка соответствия по ГОСТ Р 57580

    Срок – от 8 недель

    от 350 000 руб.

    Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

    Срок – от 10 недель

    от 450 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту . На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    Наши преимущества

    719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    3 лицензии

    ФСТЭК России и ФСБ России

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Наши отзывы по приведению в соответствие требованиям 672-П (802-П)

    Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)
    11.12.2019
    «Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов
    Благодарность от АО «НК Банк»
    15.06.2020
    АО «НК Банк» выражает благодарность специалистам компании ООО «РТМ ТЕХНОЛОГИИ» за профессиональный подход к проведению работ по проведению оценок соответствия требованиям информационной безопасности, установленным Положениями Банка России от 09.06.2012 г. № 382-П, от 09.01.2019 № 672-П, а также приказом Минкомсвязи от 25.06.2018 г. № 321 Заместитель Председателя Правления В.Г. Демченко
    Благодарность от КБ «Байкалкредобанк» (ПАО)
    28.10.2019
    Настоящим подтверждаем, что компания ООО «РТМ ТЕХНОЛОГИИ» выполнила в КБ «Байкалкредобанк» (ПАО) проект по проведению аудита информационной безопасности. В рамках аудита был проведен тест на проникновение, а также оценка уровня защищенности Интернет-портала Банка. Банк получил исчерпывающую информацию о состоянии защищенности своих информационных активов в результате аудита информационной безопасности с моделированием внешних атак потенциальных злоумышленников, а также анализа уязвимостей в клиентских приложениях, сетях Wi-Fi и серверном ПО. Сотрудники ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как квалифицированные специалисты, хорошо осведомленные о современных информационных технологиях. Мы характеризуем результаты проделанной работы как положительные и хотим отметить высокую квалификацию специалистов компании, профессиональный подход к делу, оперативность в исполнении рабочих задач и строгое следование условиям заключенного договора. Начальник ОА и ИС КБ «Байкалкредобанк» (ПАО) Г.И. Зарубин
    Благодарность от ООО «Банк 131»
    13.03.2020
    От себя лично и от лица Банка ООО «Банк 131» хочу выразить благодарность специалистам ООО «РТМ ТЕХНОЛОГИИ» за их профессионализм и комплексный подход к проведению аудита № 382-П. Совместно с аудитом экспертами «РТМ ТЕХНОЛОГИИ» был проведен пентест, который дал объективную оценку о состоянии информационной безопасности Банка. Банк ООО «Банк 131» желает ООО «РТМ ТЕХНОЛОГИИ» профессиональных успехов и рекомендует к сотрудничеству. Руководитель СИБ ООО «Банк 131» Филиппов Д.Г.

    Услуги для вас

    Услуга 802-П (747-П): Приведение в соответствие и оценка соответствия

    802-П (747-П): Приведение в соответствие и оценка соответствия

    — На кого распространяются требования
    — Какая информация должна защищаться
    — Важные требования
    — Оценка по ГОСТ 57580.2 для банков
    — Когда 747-П вступает в силу?
    — Когда 802-П вступает в силу?
    — Дополнительные услуги
    Услуга 683‑П: Приведение в соответствие и оценка для банка

    683‑П: Приведение в соответствие и оценка для банка

    - Суть 683-П
    - Какая информация должна защищаться?
    - На кого распространяются требования 683-П?
    - Важные требования 683-П для банков
    - Оценка по ГОСТ 57580.2 для банков
    - Когда 683-П вступает в силу?
    - Дополнительные услуги по 683-П
    Услуга Пентест — услуги тестирования на проникновение и анализа уязвимостей

    Пентест — услуги тестирования на проникновение и анализа уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 683-П, 719-П, 757-П
    - Почему RTM Group?
    - Цена проведения пентеста
    Услуга ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия)?
    - Как оформляется отчет по результатам оценки?
    - Оценка по Приказу №930 Минкомсвязи (Биометрия)
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    Услуга 382‑П: Оценка соответствия

    382‑П: Оценка соответствия

    - Скачать актуальную редакцию 382-П
    - Что необходимо для проведения оценки соответствия по 382-П?
    - Как проводится оценка соответствия по 382-П?
    - Что включает в себя отчет по 382-П?
    - Дополнительные услуги по 382-П
    Услуга Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

    Помощь в проведении самооценки по ГОСТ Р 57580 (757-П и 683-П)

    - Основные понятия
    - Помощь в самооценке
    - Заказать помощь в проведении самооценки по ГОСТ Р 57580

    Продукты и решения для вас

    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Нам доверяют

    Полезные статьи

    Статья Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    Статья Значимые изменения в регулировании ИБ Банком России 2020

    Значимые изменения в регулировании ИБ Банком России 2020

    Какие изменения произошли в 2019 году в регулировании процессов обеспечения информационной безопасности со стороны Центрального Банка. Положения для банков и НФО.
    Статья Что такое пентест (pentest) и кто такой пентестер?

    Что такое пентест (pentest) и кто такой пентестер?

    - Что входит в тестирование на проникновение?
    - Примеры пентестинга
    - Что является результатом пентеста?
    - Заключение
    Статья Различия между 672-П и 747-П

    Различия между 672-П и 747-П

    В чём различия между новым Положением и тем, чем мы руководствовались раньше?

    FAQ: Часто задаваемые вопросы

    Что грозит банку за невыполнение требований 672-П?

    Непредставление или нарушение порядка либо сроков представления в Банк России отчетов, уведомлений и иной информации, предусмотренной законодательством и (или) необходимой для осуществления этим органом (должностным лицом) его законной деятельности, либо представление информации не в полном объеме и (или) недостоверной информации, за исключением случаев, если в соответствии со страховым законодательством, законодательством Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах Банком России дается предписание об устранении нарушения страхового законодательства, законодательства Российской Федерации о кредитной кооперации, о микрофинансовой деятельности и микрофинансовых организациях и о ломбардах, если эти действия (бездействие) не содержат уголовно наказуемого деяния, –

    (в ред. Федерального закона от 21.12.2013 N 375-ФЗ (см. текст в предыдущей редакции))

    влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц – от двадцати тысяч до тридцати тысяч рублей или дисквалификацию на срок до одного года; на юридических лиц – от пятисот тысяч до семисот тысяч рублей.

    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).

    Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ – 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ – 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

    Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

    Добрый день, скажите, какая связь между ГОСТ 57580 и 672-П?

    Здравствуйте!

    672-П требует для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей применять меры защиты информации, определенные национальным стандартом Российской Федерации ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (п.3, 4, 5 Положения 672-П).

    Здравствуйте!
    Подскажите, какие принципиальные отличия 672-П от 382-П?

    Здравствуйте!

    Ниже приведу основные отличия 672-П от 382-П

    1. В методах проведения оценки соответствия.
      Оценка 382-П проводится в соответствии с Приложением № 1 к Положению 382-П «Порядок проведения оценки соответствия и документирование ее результатов».
      Оценка 672-П проводится по методике оценки соответствия ГОСТ 575850.2-2017.
    2. По распространению действия.
      382-П распространяется на: операторов платежных систем, операторов платежной инфраструктуры, банковских платежных агентов (субагентов), операторов платежных систем.
      672-П распространяется на: участников платежной системы Банка России, являющихся кредитными организациями (их филиалами), имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, а так же  операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.
    3. 672-П разделяет понятия денежных переводов (Сервис срочного перевода и сервис несрочного перевода – ССНП; Сервис быстрых платежей – СБП). В 382-П таких требований нет.
    4. По требованиям к размещению объектов информационной инфраструктуры, используемых при осуществлении переводов денежных средств.
      В 672-П указано, что участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной структуры, используемые при осуществлении переводов денежных средств с использованием ССНП, в выделенных сегментах (группах сегментов) вычислительных сетей.
      Аналогичные требования к размещению и сегментации объектов информационной структуры при использовании сервиса быстрых платежей СБП.
    5. В 382-П отсутствуют требования к защите информации среды виртуализации.
    6. В 672-П определены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ. (Требования к созданию контура формирования электронных сообщений и контура контроля реквизитов).

    Как часто нужно делать оценку соответствия по ГОСТ 57580.1-2018, 672-П, 683-П?

    Какие из должны выполняться только с привлечением внешней организации и с какой периодичностью?

    Согласно абзацу первому подпункта 9.2 Положения №683-П необходимо обеспечить проведение оценки соответствия уровню не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 до 1 января 2021 года. Согласно пункту 9 Положения №683-П необходимо обеспечить проведение оценки не реже одного раза в два года, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение данных работ.

    В соответствии с пунктом 4 (вступает в силу с 01.07.2021 г.) Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017. Таким образом, необходимо обеспечить проведение оценки соответствия (согласно пункту 20 Положения №672-П – не реже одного раза в два года, а также по требованию Банка России) по 672-П до 1 июля 2021 г.

    Какова же стоимость такого тройного отчета может быть? И какой срок проведения?

    “Тройного отчета” нет.
    Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
    Для примера, если мы проводим работы по 719-П, то “тройной отчет” стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П – область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.

    Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

    Да, про 683-П, 672-П ЦБ ответил “да”, про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

    А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

    Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

    Какие сроки по 672-П?

    Крайних сроков в этом году нет, надо только начать.
    Примечание: Положение 672-П заменено на 747-П.

    Для работ по 672-П требуется привлечение внешних организаций с лицензией на ТЗКИ?

    Да, требуется привлечение внешнего лицензиата.