+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Обеспечение соответствия 719-П

Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Зарегистрировано в Минюсте 23 сентября 2020 года. Пришло на замену Положения 382-П ЦБ РФ. Содержит повышенные требования к защите информации при переводах денежных средств.

Обеспечение соответствия 719-П

Эксперты по обеспечению соответствия 719-П

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Описание

Скачать положение ЦБ РФ 719-П

Скачать последнюю редакцию Положения 719-П можно здесь (.pdf).

Обзор 719-П

Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П).

719-П также как и 382-П устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом 719-П существенно отличается по структуре и описываемому подходу к защите информации от 382-П, таким образом, 719-П нельзя назвать новой редакцией старого положения, это самостоятельный документ, который пришел на смену 382-П (пункт 8.2 отменяет 382-П и все изменения в него с 1 января 2022 года).

Сроки 719-П

719-П вступает в силу с 1 января 2022 года. Отдельные сроки установлены в отношении отдельных положений пункта 5.5, который распространяется на операторов значимых платежных систем. В частности более поздние сроки установлены для требований в отношении применяемых в значимых платежных системах СКЗИ.

В отношении всех остальных требований 719-П установлен единый срок – 1 января 2022 года.

Структура 719-П

Требования 719-П распространяется на следующие роли в платежных системах:

  • Оператор по переводу денежных средств (в общем случае — банки)
  • Банковский платежный агент
  • Оператор услуг информационного обмена
  • Поставщики платежных приложений
  • Оператор платежных систем
  • Оператор услуг платежной инфраструктуры

Отдельно выделяются:

  • Банковский платежный агент, осуществляющий операции платежного агрегатора
  • Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ

Положение содержит 8 глав и 2 приложения:

  • Глава 1. Общие положения
  • Глава 2. Требования к обеспечению операторами по переводу денежных средств, поставщиками платежных приложений (при их привлечении операторами по переводу денежных средств) защиты информации при осуществлении переводов денежных средств
  • Глава 3. Требования к обеспечению банковскими платежными агентами (субагентами) (при их привлечении в целях осуществления переводов денежных средств) защиты информации при осуществлении переводов денежных средств
  • Глава 4. Требования к обеспечению операторами услуг информационного обмена (при оказании услуг информационного обмена) защиты информации при осуществлении переводов денежных средств
  • Глава 5. Требования к обеспечению операторами платежных систем защиты информации при осуществлении переводов денежных средств
  • Глава 6. Требования к обеспечению операторами услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра) защиты информации при осуществлении переводов денежных средств
  • Глава 7. Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
  • Глава 8. Заключительные положения
  • Приложение 1. Технологические меры по обеспечению защиты информации при осуществлении переводов денежных средств
  • Приложение 2. Таблица технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках

Ключевые требования 719-П для банков

  • Обязательство выполнять требования 683-П
  • Обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.1-2017.
  • Проведение оценки соответствия по ГОСТ 57580.2-2018 каждые 2 года.
  • Оценка соответствия проводится лицензиатом ФСТЭК России (проверяющей организацией).
  • Обеспечить сертификацию прикладного ПО не ниже 5-го уровня доверия по Приказу №131 ФСТЭК России. Системно значимые банки – не ниже 4-го уровня доверия. Данная процедура, согласно п.1.1. является альтернативой оценки соответствия ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
  • Повышенный контроль за банковскими платежными агентами, на которые возложены обязанности по проведению тестирования на проникновение и анализу уязвимостей, сертификации (оценки соответствия по ОУД4).
  • Повышенный контроль за поставщиками платежных приложений, на которые возложены обязанности по сертификации (оценки соответствия по ОУД4).

Требования содержательной части 719-П для оператора по переводу денежных средств повторяют требования 382-П, которые не нашли отражения в ГОСТ 57580.1-2017.

Ключевые требования 719-П для банковских платежных агентов

Все банковские платежные агенты должны:

  • Проводить тестирование на проникновение и анализ уязвимостей (пентест)
  • Проводить оценку соответствия защиты информации
  • Сертификацию или оценку соответствия прикладного ПО (самостоятельно или с привлечением проверяющей организации)
  • Обеспечивать реализацию минимального уровня защиты (ранее не применявшегося) по ГОСТ 57580.1-2017

При этом пентест, оценка соответствия защиты информации, сертификация и оценка соответствия прикладного ПО — проводятся на основе критериев определяемых операторами по переводу денежных средств.

Дополнительные требования выставлены для банковских платежных агентов, осуществляющих операции платежного агрегатора. Помимо указанного выше, такие лица должны проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

Ключевые требования для оператора услуг информационного обмена

Операторы услуг информационного обмена должны:

  • Обеспечивать реализацию стандартного уровня защиты по ГОСТ 57580.1-2017
  • Проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

Ключевые требования для оператора платежной системы

В соответствии с 161-ФЗ в обязанности оператора платежной системы входит определение правил платежной системы и организация системы управления рисками. Соответственно 719-П предписывает операторам платежной системы построить систему управления рисками информационной безопасности, а также определяет механизмы и обязательные технологии. Большинство требований повторяет аналогичные положения 382-П.

Отдельно выделяются требования к операторам значимых платежных систем, которые обязаны выполнять новые требования по работе с СКЗИ. Это единственный раздел 719-П, который содержит отсрочки вступления в силу отдельных положений (вплоть до 2031 года). Требования достаточно жесткие – применять только сертифицированную криптографию, включая иностранную. В связи с этим и вступление данного пункта в силу отложено.

Ключевые требования для оператора услуг платежной инфраструктуры

  • 719-П разделяет требования к операторам услуг платежной инфраструктуры в зависимости от факта оказания услуг в рамках значимых платежных систем.
  • Операторы услуг платёжной инфраструктуры значимых платежных систем обеспечивают усиленный уровень защиты информации, все остальные – стандартный уровень.
  • Все операторы услуг платежной инфраструктуры должны обеспечивать уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.
  • Если оператор услуг платежной инфраструктуры реализует стандартный уровень защиты информации, то он самостоятельно определяет проводить сертификацию (не ниже 5 уровня по 131 приказу ФСТЭК России) или оценку соответствия по ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
  • Если оператор услуг платежной инфраструктуры реализует усиленный уровень защиты информации, то он обязан обеспечить сертификацию не ниже 4-го уровня доверия по 131 приказу ФСТЭК России.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

Итог

Подводя итог можно сказать, что всем видам участников платежной системы необходимо с 01.01.2022 года соответствовать ГОСТ 57580 не ниже четвертого уровня. Подтвердить соответствие  можно оценкой у лицензиата ФСТЭК. Также необходимо применять платежное ПО имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 у проверяющей организации.

Исполнение технологических требований не обязывает привлекать стороннюю организацию. Однако, для их реализации могут потребоваться консультации специалистов высокого уровня, которыми банк, а тем более платежный агент не всегда обладает.

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать обеспечение соответствия 719-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 197-64-95
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать





Видео по обеспечению соответствия 719-П

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Цены на услуги по обеспечению соответствия 719-П

Наименование услуги Стоимость

Консультация

бесплатно

FAQ: Часто задаваемые вопросы

До 1.01.2022 необходимо соблюдать требования и 382-П и 719-П?

До 01.01.2022 необходимо соблюдать требования 382-П. С 01.01.2022 вступает в силу 719-П и организации, принимающие участие в осуществлении переводов денежных средств, должны соответствовать требованиям данного документа. В соответствии с п.8.2. 719-П, 382-П признаётся утратившим силу.

Наши отзывы по обеспечению соответствия 719-П

Услуги для вас

НАМ ДОВЕРЯЮТ