Запросить стоимость на услуги по обеспечению соответствия 719-П
С 1 апреля 2024 года Положение 719-П утратило силу в связи с выходом Положения Банка России от 17.08.2023 г. N 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Задать вопрос эксперту: Перминов Геннадий ВадимовичВсе эксперты
Аудит соответствия общим требованиям 719-П
Цель проведения работ: Аудит соответствия системы защиты информации в соответствии с требованиями положения 719-П, проводится с целью определения качества и степени выполнения настоящего положения.
Требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
Требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;
Требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);
Доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;
Требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;
Требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.
В ходе аудита проводятся следующие работы:
Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации;
Проводится интервью с сотрудниками проверяемой организации;
Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
Оценивается соответствие проверяемой организации пунктам требований руководящих документов.
Проводится проверка устранения обнаруженных несоответствий;
Повторно проводится аудит соответствия требований Положения 719-П к системе обеспечения информационной безопасности;
Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности.
Оформляется финальный отчет.
Результат и отчетная документация:
Отчет о проведенных работах по общим требованиям 719-П (без учета ОУД4).
Обоснование и рекомендации по повышению (если требуются).
Оценка соответствия по ГОСТ Р 57580
Цель проведения работ: соответствие ГОСТ Р 57580.1-2017 в рамках 719-П
Формат проведения работ: Работы по обследованию проводятся дистанционно на основании документации и интервью.
В ходе оценки проводятся следующие работы:
Определяется область оценки (перечень ИС, объектов доступа, персонала);
Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения;
Проводится визуальное наблюдение на объектах Банка (в случае необходимости);
Проводится интервью сотрудников проверяемой организации;
Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017;
Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями).
Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;
Согласовывается полученный результат.
Результат и отчетная документация:
Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ
Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
Зарегистрировано в Минюсте 23 сентября 2020 года. Пришло на замену Положения 382-П ЦБ РФ. Содержит повышенные требования к защите информации при переводах денежных средств.
Скачать последнюю редакцию Положения 719-П можно здесь (.pdf).
Обзор 719-П
Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П).
719-П также как и 382-П устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом 719-П существенно отличается по структуре и описываемому подходу к защите информации от 382-П, таким образом, 719-П нельзя назвать новой редакцией старого положения, это самостоятельный документ, который пришел на смену 382-П (пункт 8.2 отменяет 382-П и все изменения в него с 1 января 2022 года).
Сроки 719-П
719-П вступает в силу с 1 января 2022 года. Отдельные сроки установлены в отношении отдельных положений пункта 5.5, который распространяется на операторов значимых платежных систем. В частности более поздние сроки установлены для требований в отношении применяемых в значимых платежных системах СКЗИ.
В отношении всех остальных требований 719-П установлен единый срок – 1 января 2022 года.
Структура 719-П
Требования 719-П распространяется на следующие роли в платежных системах:
Оператор по переводу денежных средств (в общем случае — банки)
Банковский платежный агент
Оператор услуг информационного обмена
Поставщики платежных приложений
Оператор платежных систем
Оператор услуг платежной инфраструктуры
Отдельно выделяются:
Банковский платежный агент, осуществляющий операции платежного агрегатора
Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ
Положение содержит 8 глав и 2 приложения:
Глава 1. Общие положения
Глава 2. Требования к обеспечению операторами по переводу денежных средств, поставщиками платежных приложений (при их привлечении операторами по переводу денежных средств) защиты информации при осуществлении переводов денежных средств
Глава 3. Требования к обеспечению банковскими платежными агентами (субагентами) (при их привлечении в целях осуществления переводов денежных средств) защиты информации при осуществлении переводов денежных средств
Глава 4. Требования к обеспечению операторами услуг информационного обмена (при оказании услуг информационного обмена) защиты информации при осуществлении переводов денежных средств
Глава 5. Требования к обеспечению операторами платежных систем защиты информации при осуществлении переводов денежных средств
Глава 6. Требования к обеспечению операторами услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра) защиты информации при осуществлении переводов денежных средств
Глава 7. Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
Глава 8. Заключительные положения
Приложение 1. Технологические меры по обеспечению защиты информации при осуществлении переводов денежных средств
Приложение 2. Таблица технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках
Оценка соответствия проводится лицензиатом ФСТЭК России (проверяющей организацией).
Обеспечить сертификацию прикладного ПО не ниже 5-го уровня доверия по Приказу №131 ФСТЭК России. Системно значимые банки – не ниже 4-го уровня доверия. Данная процедура, согласно п.1.1. является альтернативой оценки соответствия ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
Повышенный контроль за банковскими платежными агентами, на которые возложены обязанности по проведению тестирования на проникновение и анализу уязвимостей, сертификации (оценки соответствия по ОУД4).
Повышенный контроль за поставщиками платежных приложений, на которые возложены обязанности по сертификации (оценки соответствия по ОУД4).
Требования содержательной части 719-П для оператора по переводу денежных средств повторяют требования 382-П, которые не нашли отражения в ГОСТ 57580.1-2017.
Ключевые требования 719-П для банковских платежных агентов
Сертификацию или оценку соответствия прикладного ПО (самостоятельно или с привлечением проверяющей организации)
Обеспечивать реализацию минимального уровня защиты (ранее не применявшегося) по ГОСТ 57580.1-2017
При этом пентест, оценка соответствия защиты информации, сертификация и оценка соответствия прикладного ПО — проводятся на основе критериев определяемых операторами по переводу денежных средств.
Дополнительные требования выставлены для банковских платежных агентов, осуществляющих операции платежного агрегатора. Помимо указанного выше, такие лица должны проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.
Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.
Ключевые требования для оператора услуг информационного обмена
Операторы услуг информационного обмена должны:
Обеспечивать реализацию стандартного уровня защиты по ГОСТ 57580.1-2017
Проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.
Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.
Ключевые требования для оператора платежной системы
В соответствии с 161-ФЗ в обязанности оператора платежной системы входит определение правил платежной системы и организация системы управления рисками. Соответственно 719-П предписывает операторам платежной системы построить систему управления рисками информационной безопасности, а также определяет механизмы и обязательные технологии. Большинство требований повторяет аналогичные положения 382-П.
Отдельно выделяются требования к операторам значимых платежных систем, которые обязаны выполнять новые требования по работе с СКЗИ. Это единственный раздел 719-П, который содержит отсрочки вступления в силу отдельных положений (вплоть до 2031 года). Требования достаточно жесткие – применять только сертифицированную криптографию, включая иностранную. В связи с этим и вступление данного пункта в силу отложено.
Ключевые требования для оператора услуг платежной инфраструктуры
719-П разделяет требования к операторам услуг платежной инфраструктуры в зависимости от факта оказания услуг в рамках значимых платежных систем.
Операторы услуг платёжной инфраструктуры значимых платежных систем обеспечивают усиленный уровень защиты информации, все остальные – стандартный уровень.
Все операторы услуг платежной инфраструктуры должны обеспечивать уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.
Если оператор услуг платежной инфраструктуры реализует стандартный уровень защиты информации, то он самостоятельно определяет проводить сертификацию (не ниже 5 уровня по 131 приказу ФСТЭК России) или оценку соответствия по ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
Если оператор услуг платежной инфраструктуры реализует усиленный уровень защиты информации, то он обязан обеспечить сертификацию не ниже 4-го уровня доверия по 131 приказу ФСТЭК России.
Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.
Итог
Подводя итог можно сказать, что всем видам участников платежной системы необходимо с 01.01.2022 года соответствовать ГОСТ 57580 не ниже четвертого уровня. Подтвердить соответствие можно оценкой у лицензиата ФСТЭК. Также необходимо применять платежное ПО имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 у проверяющей организации.
Исполнение технологических требований не обязывает привлекать стороннюю организацию. Однако, для их реализации могут потребоваться консультации специалистов высокого уровня, которыми банк, а тем более платежный агент не всегда обладает.
Почему RTM Group?
Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
Мы обладаем лицензиями:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать услуги по обеспечению соответствия 719-П
Для уточнения стоимости и сроков звоните или пишите нам:
RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций
В списке SWIFT Directory of CSP assessment providers
В реестре надежных партнеров торгово-промышленной палаты Российской Федерации
Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)
Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика
Сайт RTM Group входит в тройку лучших юридических сайтов России
В составе ТК №122
Цены на услуги по обеспечению соответствия 719-П
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги
Стоимость
Консультация
Бесплатно
Для ОПС, ОПДС: Аудит соответствия общим требованиям 719-П (без ОУД4)
Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П.
Срок — от 10 недель
Для Платежных агентов: Аудит соответствия общим требованиям 719-П (без ОУД4)
Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П.
Срок — от 10 недель
До 1.01.2022 необходимо соблюдать требования и 382-П и 719-П?
Мария
До 01.01.2022 необходимо соблюдать требования 382-П. С 01.01.2022 вступает в силу 719-П и организации, принимающие участие в осуществлении переводов денежных средств, должны соответствовать требованиям данного документа. В соответствии с п.8.2. 719-П, 382-П признаётся утратившим силу.
Гончаров Андрей Михайлович
20.10.2020
Как заставить разработчика считать себя поставщиком платежных приложений, кто присваивает статус поставщика платежных приложений?
Дмитрий
Все зависит от договорённостей с поставщиком платёжных приложений. Так, в первую очередь, нужно смотреть договор. Дело в том, что поставщик платёжного приложения может быть Вашим заказчиком или подрядчиком по разработке этого приложения, а никак не поставщиком. В данном случае поставщиком будет являться сам банк, поскольку он поставляет клиентам платежное приложение. Вопрос «Как кого заставить?» достаточно сложный, нужно смотреть договор с разработчиком.
Музалевский Федор Александрович
04.12.2020
Нужно ли проводить внешнюю оценку по ГОСТ 57580 в 2021 году и подтверждать 0,85, если в 2020 году будет внешняя оценка с подтверждением 0,7?
Иван
Вопрос про сроки исполнения ГОСТ относится к положению 719-П, которое вступает в силу с 1 января 2021 года. С этой даты требуется соответствие четвёртому уровню соответствия. Следовательно, первого января 2021 года надо получить 0.85. Возникает вопрос: как подтверждать уровень соответствия? Есть мнение, что ИБшник банка стукнет кулаком по столу и скажет: «У меня 0.85, я соответствую». Как к такому заявлению отнесется ЦБ, все прекрасно понимают. Соответственно, к первому января 2022 г. нужно получить отчет, в котором подтверждён 0.85. Я думаю, позиция банка России по 683-П уже была прокомментирована, вряд ли она будет отличаться в вопросе по 719-П.
Музалевский Федор Александрович
04.12.2020
Логи АБС — это Логи именно входа, или выполнения операций в АБС с ЗИ?
Дмитрий
В логах АБС содержится информация о платёжных операциях, поэтому логи АБС надо хранить как зеницу ока в течение пяти лет. Что касается даты, с которой пойдёт отсчёт необходимости хранения логов – скорее всего, она пойдёт с даты вступления в силу положения 719-П.
Музалевский Федор Александрович
04.12.2020
Добрый день! Подскажите, пожалуйста, если Банк приходит с запросом выполнить работы по 382-П и в 2020 году у него не планируется проверка, есть ли смысл предлагать 382-П или можно сразу предложить 719-П?
Яна
В течение 2020 и 2021 гг. действует 382-П. Соответственно, проверки надо проходить в соответствии с графиком: как и положено – раз в два года. 719-П требует определённого уровня соответствия ГОСТ 57580 с 1 января 2022 года. К этому моменту соответствие необходимо каким-либо образом подтвердить.
Хотелось бы сразу отметить, что работы по 382-П и работы по 719-П — это не совсем корректное сравнение. По 382-П требуется внешний аудит, а по 719-П требуется внешний аудит по ГОСТ 57580. Может быть, кто-то по ГОСТ уже прошел оценку и получил заветные 0.85. Такие организации могут спать спокойно, особенно если область оценки была определена полно и корректно.
Ещё раз, в 2020 и 2021 гг. действует 382-П, а значит, работы проводить надо, соответствовать надо. А с 1 января 2022 года надо соответствовать 719-П.
Музалевский Федор Александрович
04.12.2020
ППП — это только процессинг? А как же разработчики различных Интернет-Банков и прочего?
Константин
Если разработчик интернет-банка передал Вам приложение, которое Вы у себя поставили, то на этом моменте он и перестал быть поставщиком. Теперь поставщик – Вы. Если разработчик и его приложение является облаком, через которые проходят платежи, тогда он является поставщиком платёжного приложения. В режиме «здесь и сейчас». Те разработчики, которые только разрабатывают и передают дистрибутив, под регулирование не попадают.
Музалевский Федор Александрович
04.12.2020
Прошу уточнить, с какой даты надо соответствовать уровню 0.85?
Владимир
Самому 719-П надо соответствовать с 1 января 2022 г., соответственно, получить 0.85 надо с 1 января 2022 г.
Музалевский Федор Александрович
04.12.2020
Верно ли утверждение, что ОПДС в вакууме не может больше делать ОУД4 для своих систем, а только сертификация на 5 уровень?
Максим
Что касается анализа уязвимости и сертификации, то здесь логика в документе была разбита. То есть в разных документах содержится разная информация. Если коротко, анализ уязвимости по-прежнему остается альтернативой сертификации — это следует из пункта 1.2 719-П.
Так что сертификация может быть заменена на анализ уязвимости. Но если имеет место масштабирование решения, то включается другой фактор. Если эксплуатантов много, то делать оценку соответствия каждому значительно дороже, чем сделать сертификацию.
Музалевский Федор Александрович
04.12.2020
ЦБ как-то будет контролировать выполнение ППП 719-П? Или будет требовать с ОПДС каких-то доказательств?
Дмитрий
Да, точно так же, как контролировали операторов услуг платёжной инфраструктуры. И здесь речь идёт не о разработчиках, а именно поставщиках, которые здесь и сейчас дают возможность проводить через себя платежи. Как будет контролировать ЦБ – не ясно, поживём – увидим.
Но можно предположить, что никак. Существует целый ряд ролей, например, роль банковского платёжного агента или поставщика платёжных приложений. ЦБ не обладает правами надзора над ними, но задавать «вопросы» эксплуатанту будет. Эксплуатантом и будет являться банк. Если банк использует какое-то приложение, которое кого-то не устраивает, то претензии будут к банку, потому что он использует систему, которая, в данном случае, не прошла сертификацию. Вот такая логика. Еще раз, поставщику платёжных приложений ничего не будет. И контролировать его не будут. Будут контролировать банк.
Музалевский Федор Александрович
04.12.2020
Если разработчик ПО еще и по договору осуществляет ТП данного приложения, какова его ответственность?
Константин
Кто осуществляет техподдержку данного приложения, всем без разницы. Важно, с кем заключен договор на использование платёжного приложения. Если клиент заключил с вами договор на использование ДБО, то поставщик платёжного приложения Вы. Если Вы заключили договор с другим банком на использование его процессинга, то тот, другой банк и является поставщиком платёжного приложения. Разработчики здесь не важны.
Музалевский Федор Александрович
04.12.2020
В рамках ЦФТ и Фактуры, Фактуры — не ППП ?
Дмитрий
В рамках ЦФТ облачные решения АБС вполне могут быть признаны поставщиками платёжных приложений.
Музалевский Федор Александрович
04.12.2020
Какой сценарий оказания услуг с Вашей стороны в контексте 719-П?
Арслан
В контексте 719-П, в первую очередь, мы можем провести анализ, аудит по ГОСТ 57580, можем провести ОУД4 и можем провести анализ выполнения технологических мер, поскольку они фактически идентичны с 382-П. Если первые две услуги, то есть аудит по ГОСТ и оценка соответствия ОУД4, требуют привлечения лицензиата ФСТЭК, т.е. нас, то технологические меры мы предлагаем проверить с нашим участием на добровольной основе. Просто потому, что уровень экспертизы по данному направлению у RTM Group очень высок.
Музалевский Федор Александрович
04.12.2020
Так всё же, ОУД4 для средств защиты или программного обеспечения, выполняющего переводы?
Александр
ОУД4 для автоматизированных систем, проще говоря, для всего «приклада», а не для средств защиты информации. Здесь возникает вопрос: как его сертифицировать, если его не сертифицируют по ОУД4? Ответим честно – на данный момент мы не знаем. Сами варианты сертификации предусмотрены, но ФСТЭК эту сертификацию не делает, и о том, что будет делать – не объявлял.
Музалевский Федор Александрович
04.12.2020
В 2021 году нужно будет иметь внешнее заключение по соответствию 382-П, и запланировать внешний аудит на соответствие 719-П на 2022 год? И будет ли ЦБ запрашивать результаты оценки 719-П с банков в формате предоставления отдельного отчета (как это делалось по 382-П)?
Иван
Хотелось бы ещё раз отметить, что нет понятия «соответствие 719-П», нет и такого отчёта. Соответственно, по 719-П будет запрашиваться соответствие ГОСТ 57580 — это принципиальное отличие. По 382-П в 2021 году – да, надо будет иметь внешнее заключение, но только тем, кто предыдущее заключение делал в 2019 году. Тем, кто делал в этом году, соответственно, ничего делать по 382-П с точки зрения внешнего аудита уже не надо. Только пентест провести, но его с нас и 683-П и 719-П требуют. Поэтому будет ли ЦБ запрашивать какой-то внешний отчёт по 719-П — определённо нет, просто потому что нет такого отчёта.
Музалевский Федор Александрович
04.12.2020
Как думаете, почему так много сейчас «П»? Один нормальный документ был бы понятнее для банков и проще в реализации.
Геннадий
Это очень сложный момент, но я думаю, что здесь есть определённая логика. 719-П пришел на смену морально устаревшему 382-П с его кучей частных технических требований. А множество «П» сейчас – ну какое, собственно говоря, множество? Есть 672-П, который имеет узкую область применения. Есть 683-П и 719-П. С точки зрения ИБ — это основные «П», которые требуется выполнять. Они друг другу не противоречат и даже неплохо дополняют друг друга. Поскольку эти документы вынесли много маленьких требований в ГОСТ, то они вполне себе обозримы, по сравнению с тем же 382-П, который можно было читать — не перечитать и не понять, что же там происходит. Теперь все более-менее понятно. Кроме того, я оптимист и верю, что ЦБ всё-таки смотрит на реакцию сообщества. И выпуская новое положение, он смотрит на то, как исполняются требования и какова возможность их исполнения. Можно много ругать ЦБ, но не думаю, что какой-то другой регулятор дал бы полтора года отсрочки по ОУД4, как сделал ЦБ. Поэтому вот я всё-таки считаю, что 719-П — это позитивная тенденция.
Опять же, множество «П» — это логика работы бюрократической системы. Принимается новый нормативный акт (такая же картина и в ФНС, да и в любом крупном ведомстве или организации). То есть, выпускают какой-то новый документ — предыдущий ещё не отменяется, потому что он частично его перекрывает.
Например, речь шла такая: 683-П появился, а значит, нужно отменить 382-П, а нет – нельзя. Потому что 683-П не распространялся на отдельных участников платёжных систем, соответственно, его надо оставить. Вот и получалось, что если мы говорим про одну из ролей в виде банка, то банк должен выполнять и 382-П, и 683-П. В одной части и свидетельства пересекаются, и часть вопросов пересекаются, но тем не менее это разные вещи. Выходит, что все время будет накапливаться какая-то избыточность, и в дальнейшем избыточность будет частично отменяться. Логика работы бюрократической системы — нельзя или не всегда возможно внести какие-то изменения в старый документ, и не всегда возможно новый документ принять.
Музалевский Федор Александрович
04.12.2020
Может ли ОПС, в рамках требований 719-П, выставить требования к ОПДС о необходимости проведения именно оценки по ОУД4, чтобы избежать обязательной сертификации?
Дария
719-П здесь ни при чём. Оператор платёжной системы может выставить какие угодно требования оператору перевода денежных средств. И если оператор по переводу денежных средств не будет их выполнять, он будет отключён от платёжной системы. Вот и всё. Оператор платёжной системы может сказать: «Да, делайте ОУД4, а не сертификацию». Другое дело, что за таким требованиям он рискнёт потерять своих клиентов — операторов по переводу денежных средств. Хотя требования он может выставить, абсолютно не беспокоясь о том, есть 719-П или его нет.
Музалевский Федор Александрович
04.12.2020
ППП что-то нужно делать в 2020? Банк пока ничего не запрашивает.
Владимир
Если банк с Вас ничего не запрашивает, то можно ничего, в принципе, и не делать. Просто в тот момент, когда банк с вас запросит что-то (являетесь ли вы поставщиком платёжных приложений и банковским платёжным агентов), может быть уже поздно. Потому что тот же ОУД4 делается полгода, соответствие по ГОСТ 57580 делается минимум два месяца — это в самом оптимистичном варианте. Если в декабре банк вспомнит о том, что нужно использовать сертифицированное ПО, его никто не успеет сертифицировать. Сертификация длится минимум полгода, а может растянуться и на несколько лет.
Музалевский Федор Александрович
04.12.2020
Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?
Андрей
Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.
Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование — это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.
Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.
Царев Евгений Олегович
04.12.2020
По ОУД4 нужно ДБО или еще и АБС?
Дмитрий
Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 — ДБО точно, АБС возможно, в зависимости от архитектуры.
Музалевский Федор Александрович
19.02.2021
Какова же стоимость такого тройного отчета может быть? И какой срок проведения?
Natalia
«Тройного отчета» нет.
Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
Для примера, если мы проводим работы по 719-П, то «тройной отчет» стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П — область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.
Кобец Дмитрий Андреевич
19.02.2021
Банком приобретается новое мобильное приложение, когда надо проводить пентест?
Ольга
Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.
Музалевский Федор Александрович
19.02.2021
Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?
Антон
Да, про 683-П, 672-П ЦБ ответил «да», про 719-П разумно предположить что тоже да, т.к. суть одна и таже.
Музалевский Федор Александрович
19.02.2021
А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?
Антон
Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.
Музалевский Федор Александрович
19.02.2021
Надо ли делать оценку по 382-П в этом году?
Максим
Оценку по 382-П надо делать тем, у кого предыдущая оценка была в 2019 г. На эту тему есть комментарии представителей ЦБ, и из календаря понятно, что 382-П достаточно полноценно действует до 31 декабря данного года. Соответственно, те, у кого отчет был отправлен в 2019 г. как раз должны в 2021 г. отправить его еще раз.
Музалевский Федор Александрович
19.02.2021
Оценивались по 382-П в конце 2019, отчитывались в январе 2020, как быть?
Владимир
Необходимо смотреть дату отчета, поскольку по 382-П есть 30 календарных дней на отправку, то надо смотреть дату отчета, которая фиксирует дату окончания аудита. Если у вас аудит был закончен в конце 2019 г., то и очередной аудит надо закончить в конце 2021 г., а отправлять уже в 2022 г. В 382-П четко сказано «обеспечивает проведение оценки не реже 1 раза в 2 года», поэтому если в этом году не выполнять 382-П — это будет нарушение. При этом многое зависит от лояльности проверяющего инспектора ЦБ. Но не стоит давать им лишний повод усомниться в чем-либо.
Кобец Дмитрий Андреевич
19.02.2021
Примут ли отчет в 22-м? по 382-П :)
Владимир
Гарантируем, что примут.
Принять — примут, что скажут в ответ — не знаем, но примут точно.
Музалевский Федор Александрович
19.02.2021
п.2.5 719-П «Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.» однозначно оуд не появляется. считается ли, что Банки теперь ОУД не смогут делать, а только сертификацию?
Алексей
В пункте 2.5 написано, что операторы по переводу денежных средств — только сертификация, но в первом разделе 719-П сказано, что оператор по переводу денежных средств обеспечивает использование ПО, в отношении которого проведена оценка соответствия ОУД4. Таким образом, если рассматривать 2.5 как конкретизацию требований, то ОУД4 банки делать не смогут, только сертификацию. Если речь идет о технической ошибке либо опечатке, то сертификация является альтернативой оценке соответствия по ОУД4 (что вполне логично и ожидаемо). Комментариев Банка России по этому поводу на данный момент нет.
Музалевский Федор Александрович
19.02.2021
Пункт 6.9 719-П разрешает самостоятельно решить о необходимости проведения работ по ОУД (сертификации) или предполагает самостоятельный выбор между ОУД и сертификацией?
Сергей
Дословное прочтение данного пункта допускает двоякую трактовку. Комментариев Банка России по данной неоднозначности пока не было.
Мы рекомендуем придерживаться мнения о том, что пункт 6.9 должен применяться наряду с пунктом 1.2, в котором явно требуется проводить сертификацию или ОУД для операторов услуг платежной инфраструктуры. После этого пункт 6.9 достаточно явно читается как дающий право выбора между сертификацией и ОУД, но не право выбора по применению данного требования вообще.
По аналогии, пункт 2.5, напротив, не дает возможности выбора между сертификацией и ОУД для операторов по переводу денежных средств.
Музалевский Федор Александрович
10.11.2021
Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.
Станислав
С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
Более подробно мы рассматривали на вебинаре «Внесение изменений в 4927 У: Новые формы отчётности 2022». Доступен по ссылке https://youtu.be/P6i-Vi3IckY