+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Внимание!

Предлагаем аудит ИБ компаний перешедших на удаленный режим работы

Подробнее...

Приведение в соответствие и оценка соответствия по 672-П

Эксперты по приведению в соответствие и оценке соответствия по 672-П

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Суть 672-П

Положение Банка России от 9 января 2019 г. № 672-П «О требованиях к защите информации в платежной системе Банка России» устанавливает требования к защите информации в платежной системе Банка России. На территории РФ, в финансовом секторе, имеется сегмент платежной системы Банка России, соответственно требования по защите информации, которые содержатся в 672-П, распространяются на коммерческие банки, а также на другие организации, являющиеся участниками платежной системы Банка России, у которых имеется договор об обмене электронными сообщениями с ЦБ. Фактически участок платежной системы Банка России имеется в любом российском банке (Положение Банка России от 06.07.2017 N 595-П).

672-П содержит требования по защите информации.

Структуру документа можно условно разделить на 2 части

Собственные требования 672-П
Отсылочные положения 672-П

Собственные требования 672-П включают в себя специальные требования к документированию, техническому обеспечению и организации работы сегмента ПС БР. Отсылочные требования представляют собой ссылки на иные нормативные акты, выполнение которых является обязательным (т.к. 672-П имеет статус ведомственного документа ЦБ, зарегистрированного в Министерстве юстиций РФ).

В частности 672-П содержит ссылки на

382-П
2831-У
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.2-2018

Таким образом, 672-П встроен в общую систему регулирования тематики информационной безопасности со стороны ЦБ РФ, выполнение требований 672-П обязательно для всех банков.

ГОСТ Р 57580 как часть 672-П

Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 являются ключевыми отсылочными требованиями 672-П.

Применительно к объектам информационной инфраструктуры (в терминах 382-П) банки должны применять меры защиты информации, определенные в ГОСТ Р 57580.1-2017. В зависимости от сегмента, необходимо выполнять меры, соответствующие 2 (стандартному) уровню защиты или 1 (усиленному) уровню защиты.

Что нужно сделать для выполнения 672-П?

Для выполнения 672-П требуется определить, какие мероприятия необходимо выполнить в первую очередь. Определить объем, полноту и качество реализации организационных и технических мер защиты информации объектов информационной инфраструктуры требованиям ГОСТ Р 57580.1-2017.

Единственным объективным, актуальным и рациональным способом определения, является проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017

В ходе аудита (оценки соответствия) складывается актуальная картина текущего состояния системы менеджмента информационной безопасности объектов информационной инфраструктуры задействованных в выделенном сегменте используемого при осуществлении переводов денежных средств.

Запрос коммерческого предложения

Какие документы необходимо разработать для соответствия 672-П?

В обязательном порядке необходимо документировать состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.

Фактически необходимо документировать все процессы ГОСТ Р 57580.1-2017

А именно:

  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

А также направления этих процессов:

  • Планирование;
  • Реализация;
  • Контроль;
  • Совершенствование.

И требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений.

Также документированию подлежит направление криптографической защиты информации.

Документы должны содержать информацию, определяющую:

  • технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
  • состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее — СКЗИ) и управления ключевой информацией СКЗИ;
  • план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
  • лиц, допущенных к работе со СКЗИ;
  • лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
  • лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

Сроки приведения в соответствие 672-П и ГОСТ 57580

В соответствии с пунктом 4 Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.

Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)

Согласно требованиям ГОСТ Р 57580.2-2018 проверяющая организация должна быть независима от проверяемой организации.

Кроме того,

проверяющая организация не должна оказывать проверяемой организации услуги в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ) (пункт 3.2 ГОСТ Р 57580.2-2018)

Таким образом, оценка соответствия, проводимая по 672-П должна проводиться внешними аудиторами.

Обязанность проведения оценки соответствия (не реже одного раза в два года, а также по требованию Банка России) по 672-П возникает у банков с 1 июля 2021 года.

Требования по документированию также должны выполняться с 1 июля 2021 года.

Обеспечить уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 банки должны с 1 января 2023 года.

Как оценить выполнение 672-П и ГОСТ?

Проведения оценки выполнения требований 672-П условно можно разделить на 4 этапа.

Предварительный.

На данном этапе необходимо выяснить, сколько в организации имеется выделенных сегментов объектов информационной инфраструктуры, используемых для переводов денежных средств. Вместе с этим необходимо уяснить оператором каких платежных систем является организация, а также в каких платежных системах организация является участником (оператором по переводу денежных средств). Провести категорирование сервисов переводов денежных средств (Сервис срочного перевода и сервис несрочного перевода – ССНП, сервис быстрых платежей – СБП).

1 Этап – Обследование.

В ходе исполнения первого этапа проводятся следующие мероприятия:

  • Инвентаризация выделенного сегмента. Проводится инвентаризация объектов информационной инфраструктуры в выделенном сегменте, используемых для переводов денежных средств. Определение: количества автоматизированных рабочих мест; установленного системного и прикладного программного обеспечения; используемых технических средств защиты информации в том числе СКЗИ; используемого сетевого оборудования; каналов связи; систем видеонаблюдения; систем контроля и управления доступом;
  • Определение границ выделенного сегмента;
  • Составление схемы взаимодействия информационных потоков в выделенном сегменте;
  • Определение уровней защиты по виду и деятельности организации, а также по функциональному предназначению объектов информационной инфраструктуры в выделенном сегменте.

2 Этап – Проведение оценки.

На данном этапе оценивается реализация организационных и технических мер по защите информации на соответствие требованиям
ГОСТ Р 57580.1-2017. По результатам выполненных работ выставляется предварительная оценка, которая может корректироваться в зависимости от полноты и качества предоставления недостающих документов и свидетельств.

3 Этап – Завершение.

На данном этапе происходит оформление результатов проведения согласованной оценки соответствия; подготовка и подача предложений и рекомендаций по приведению организационных мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (в т.ч. разработка внутренних нормативных документов); подготовка и подача предложений и рекомендаций по приведению технических мер защиты информации в соответствие требованиям ГОСТ Р 57580.1-2017 (совершенствование средств защиты информации объектов информационной инфраструктуры, ввод в эксплуатацию новых средств защиты информации,  повышение уровня защищенности путем дополнительных настроек имеющихся средств защиты информации).

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Аудит проводятся экспертами обладающих большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать оценку соответствия по 672-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

 
 
 



Видео по приведению в соответствие и оценке соответствия по 672-П

Наши преимущества

Профиль деятельности RTM Group

Проведение экспертиз по направлению ИТ и кибербезопасности

Лицензии

Мы обладаем лицензиями ФСТЭК и ФСБ России

7 лет

минимальный стаж экспертной работы

Цены на услуги по приведению в соответствие и оценке соответствия по 672-П

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 672-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации)
Опросный лист (анкета)

от 250000 руб.

Полное или частичное приведение в соответствие требованиям 672-П

от 100000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

Вопрос-Ответ

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Ответы экспертов

Какая связь между ГОСТ Р 57580.1-2017 и 672-П?

Добрый день, скажите, какая связь между ГОСТ 57580 и 672-П?

Здравствуйте!

672-П требует для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей применять меры защиты информации, определенные национальным стандартом Российской Федерации ГОСТ 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (п.3, 4, 5 Положения 672-П).

В чем отличие 672-П от 382-П?

Здравствуйте!
Подскажите, какие принципиальные отличия 672-П от 382-П?

Здравствуйте!

Ниже приведу основные отличия 672-П от 382-П

  1. В методах проведения оценки соответствия.
    Оценка 382-П проводится в соответствии с Приложением № 1 к Положению 382-П «Порядок проведения оценки соответствия и документирование ее результатов».
    Оценка 672-П проводится по методике оценки соответствия ГОСТ 575850.2-2017.
  2. По распространению действия.
    382-П распространяется на: операторов платежных систем, операторов платежной инфраструктуры, банковских платежных агентов (суб.агентов), операторов платежных систем.
    672-П распространяется на: участников платежной системы Банка России, являющихся кредитными организациями (их филиалами), имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, а так же  операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей.
  3. 672-П разделяет понятия денежных переводов (Сервис срочного перевода и сервис несрочного перевода — ССНП; Сервис быстрых платежей – СБП). В 382-П таких требований нет.
  4. По требованиям к размещению объектов информационной инфраструктуры, используемых при осуществлении переводов денежных средств.
    В 672-П указано, что участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной структуры, используемые при осуществлении переводов денежных средств с использованием ССНП, в выделенных сегментах (группах сегментов) вычислительных сетей.
    Аналогичные требования к размещению и сегментации объектов информационной структуры при использовании сервиса быстрых платежей СБП.
  5. В 382-П отсутствуют требования к защите информации среды виртуализации.
  6. В 672-П определены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ. (Требования к созданию контура формирования электронных сообщений и контура контроля реквизитов).

Наши отзывы по приведению в соответствие и оценке соответствия по 672-П

Отзыв о RTM Group от «НАЦИНВЕСТПРОМБАНК» (АО)
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

Другие услуги

НАМ ДОВЕРЯЮТ