8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

719‑П: Обеспечение соответствия

Работы в рамках 719-П:

  • Аудит и помощь в приведении в соответствие по ГОСТ 57580
  • ОУД 4 — оценка соответствия
  • Анализ выполнения технологических мер
  • Пентест — тестирование на проникновение

Почему мы:

Наш опыт работы по ГОСТ 57580 составляет более 20 проектов, в т.ч. по усиленному уровню защиты.

Важно:

Аудит по ГОСТ необходимо проводить раз в два года, по ОУД 4 и технологическим мерам необходимо постоянное соответствие.

719‑П: Обеспечение соответствия
Нужна консультация?

Эксперты по обеспечению соответствия 719-П

Эксперт по обеспечению соответствия 719-П Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 719-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 719-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Скачать положение ЦБ РФ 719-П

Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Зарегистрировано в Минюсте 23 сентября 2020 года. Пришло на замену Положения 382-П ЦБ РФ. Содержит повышенные требования к защите информации при переводах денежных средств.

Скачать последнюю редакцию Положения 719-П можно здесь (.pdf).

Обзор 719-П

Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П).

719-П также как и 382-П устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом 719-П существенно отличается по структуре и описываемому подходу к защите информации от 382-П, таким образом, 719-П нельзя назвать новой редакцией старого положения, это самостоятельный документ, который пришел на смену 382-П (пункт 8.2 отменяет 382-П и все изменения в него с 1 января 2022 года).

 

Сроки 719-П

719-П вступает в силу с 1 января 2022 года. Отдельные сроки установлены в отношении отдельных положений пункта 5.5, который распространяется на операторов значимых платежных систем. В частности более поздние сроки установлены для требований в отношении применяемых в значимых платежных системах СКЗИ.

В отношении всех остальных требований 719-П установлен единый срок – 1 января 2022 года.

 

Структура 719-П

Требования 719-П распространяется на следующие роли в платежных системах:

  • Оператор по переводу денежных средств (в общем случае — банки)
  • Банковский платежный агент
  • Оператор услуг информационного обмена
  • Поставщики платежных приложений
  • Оператор платежных систем
  • Оператор услуг платежной инфраструктуры

Отдельно выделяются:

  • Банковский платежный агент, осуществляющий операции платежного агрегатора
  • Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ

Положение содержит 8 глав и 2 приложения:

  • Глава 1. Общие положения
  • Глава 2. Требования к обеспечению операторами по переводу денежных средств, поставщиками платежных приложений (при их привлечении операторами по переводу денежных средств) защиты информации при осуществлении переводов денежных средств
  • Глава 3. Требования к обеспечению банковскими платежными агентами (субагентами) (при их привлечении в целях осуществления переводов денежных средств) защиты информации при осуществлении переводов денежных средств
  • Глава 4. Требования к обеспечению операторами услуг информационного обмена (при оказании услуг информационного обмена) защиты информации при осуществлении переводов денежных средств
  • Глава 5. Требования к обеспечению операторами платежных систем защиты информации при осуществлении переводов денежных средств
  • Глава 6. Требования к обеспечению операторами услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра) защиты информации при осуществлении переводов денежных средств
  • Глава 7. Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
  • Глава 8. Заключительные положения
  • Приложение 1. Технологические меры по обеспечению защиты информации при осуществлении переводов денежных средств
  • Приложение 2. Таблица технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках

 

Ключевые требования 719-П для банков

  • Обязательство выполнять требования 683-П
  • Обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.1-2017.
  • Проведение оценки соответствия по ГОСТ 57580.2-2018 каждые 2 года.
  • Оценка соответствия проводится лицензиатом ФСТЭК России (проверяющей организацией).
  • Обеспечить сертификацию прикладного ПО не ниже 5-го уровня доверия по Приказу №131 ФСТЭК России. Системно значимые банки – не ниже 4-го уровня доверия. Данная процедура, согласно п.1.1. является альтернативой оценки соответствия ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
  • Повышенный контроль за банковскими платежными агентами, на которые возложены обязанности по проведению тестирования на проникновение и анализу уязвимостей, сертификации (оценки соответствия по ОУД4).
  • Повышенный контроль за поставщиками платежных приложений, на которые возложены обязанности по сертификации (оценки соответствия по ОУД4).

Требования содержательной части 719-П для оператора по переводу денежных средств повторяют требования 382-П, которые не нашли отражения в ГОСТ 57580.1-2017.

 

Ключевые требования 719-П для банковских платежных агентов

Все банковские платежные агенты должны:

  • Проводить тестирование на проникновение и анализ уязвимостей (пентест)
  • Проводить оценку соответствия защиты информации
  • Сертификацию или оценку соответствия прикладного ПО (самостоятельно или с привлечением проверяющей организации)
  • Обеспечивать реализацию минимального уровня защиты (ранее не применявшегося) по ГОСТ 57580.1-2017

При этом пентест, оценка соответствия защиты информации, сертификация и оценка соответствия прикладного ПО — проводятся на основе критериев определяемых операторами по переводу денежных средств.

Дополнительные требования выставлены для банковских платежных агентов, осуществляющих операции платежного агрегатора. Помимо указанного выше, такие лица должны проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

 

Ключевые требования для оператора услуг информационного обмена

Операторы услуг информационного обмена должны:

  • Обеспечивать реализацию стандартного уровня защиты по ГОСТ 57580.1-2017
  • Проводить оценку соответствия 1 раз в 2 года и обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

 

Ключевые требования для оператора платежной системы

В соответствии с 161-ФЗ в обязанности оператора платежной системы входит определение правил платежной системы и организация системы управления рисками. Соответственно 719-П предписывает операторам платежной системы построить систему управления рисками информационной безопасности, а также определяет механизмы и обязательные технологии. Большинство требований повторяет аналогичные положения 382-П.

Отдельно выделяются требования к операторам значимых платежных систем, которые обязаны выполнять новые требования по работе с СКЗИ. Это единственный раздел 719-П, который содержит отсрочки вступления в силу отдельных положений (вплоть до 2031 года). Требования достаточно жесткие – применять только сертифицированную криптографию, включая иностранную. В связи с этим и вступление данного пункта в силу отложено.

 

Ключевые требования для оператора услуг платежной инфраструктуры

  • 719-П разделяет требования к операторам услуг платежной инфраструктуры в зависимости от факта оказания услуг в рамках значимых платежных систем.
  • Операторы услуг платёжной инфраструктуры значимых платежных систем обеспечивают усиленный уровень защиты информации, все остальные – стандартный уровень.
  • Все операторы услуг платежной инфраструктуры должны обеспечивать уровень соответствия не ниже 4-го по ГОСТ 57580.2-2018.
  • Если оператор услуг платежной инфраструктуры реализует стандартный уровень защиты информации, то он самостоятельно определяет проводить сертификацию (не ниже 5 уровня по 131 приказу ФСТЭК России) или оценку соответствия по ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013).
  • Если оператор услуг платежной инфраструктуры реализует усиленный уровень защиты информации, то он обязан обеспечить сертификацию не ниже 4-го уровня доверия по 131 приказу ФСТЭК России.

Защищаемая информация определена в Приложении 2, там же отмечены технологические меры, которые должны применяться.

 

Итог

Подводя итог можно сказать, что всем видам участников платежной системы необходимо с 01.01.2022 года соответствовать ГОСТ 57580 не ниже четвертого уровня. Подтвердить соответствие  можно оценкой у лицензиата ФСТЭК. Также необходимо применять платежное ПО имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 у проверяющей организации.

Исполнение технологических требований не обязывает привлекать стороннюю организацию. Однако, для их реализации могут потребоваться консультации специалистов высокого уровня, которыми банк, а тем более платежный агент не всегда обладает.

 

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по обеспечению соответствия 719-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru






Видео по обеспечению соответствия 719-П

Почему RTM Group

Сайт RTM Group входит в пятерку лучших юридических сайтов России

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

В составе ТК №122

Партнер «Академии Информационных Систем»

Цены на услуги по обеспечению соответствия 719-П

Наименование услуги Стоимость

Консультация

бесплатно

Для ОПС, ОПДС:

-

Для ОПС, ОПДС: Аудит соответствия общим требованиям 719-П (без ОУД4)

Срок — от 6 недель

Опросный лист (анкета)

от 300 000 руб.

Для ОПС, ОПДС: Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П (без ОУД4)

Срок — от 10 недель

от 600 000 руб.

Для ОПС, ОПДС: Оценка соответствия по ГОСТ Р 57580

Срок — от 10 недель

от 600 000 руб.

Для ОПС, ОПДС: Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

Срок — от 12 недель

от 850 000 руб.

Для Платежных агентов:

-

Для Платежных агентов: Аудит соответствия общим требованиям 719-П (без ОУД4)

Срок — от 6 недель

от 300 000 руб.

Для Платежных агентов: Оценка соответствия по ГОСТ Р 57580

Срок — от 10 недель

от 350 000 руб.

Для Платежных агентов: Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

Срок — от 12 недель

от 550 000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

382-П, 683-П, 757-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

FAQ: Часто задаваемые вопросы

До 1.01.2022 необходимо соблюдать требования и 382-П и 719-П?

До 01.01.2022 необходимо соблюдать требования 382-П. С 01.01.2022 вступает в силу 719-П и организации, принимающие участие в осуществлении переводов денежных средств, должны соответствовать требованиям данного документа. В соответствии с п.8.2. 719-П, 382-П признаётся утратившим силу.

Как заставить разработчика считать себя поставщиком платежных приложений, кто присваивает статус поставщика платежных приложений?

Все зависит от договорённостей с поставщиком платёжных приложений. Так, в первую очередь, нужно смотреть договор. Дело в том, что поставщик платёжного приложения может быть Вашим заказчиком или подрядчиком по разработке этого приложения, а никак не поставщиком. В данном случае поставщиком будет являться сам банк, поскольку он поставляет клиентам платежное приложение. Вопрос «Как кого заставить?» достаточно сложный, нужно смотреть договор с разработчиком.

Нужно ли проводить внешнюю оценку по ГОСТ 57580 в 2021 году и подтверждать 0,85, если в 2020 году будет внешняя оценка с подтверждением 0,7?

Вопрос про сроки исполнения ГОСТ относится к положению 719-П, которое вступает в силу с 1 января 2021 года. С этой даты требуется соответствие четвёртому уровню соответствия. Следовательно, первого января 2021 года надо получить 0.85. Возникает вопрос: как подтверждать уровень соответствия? Есть мнение, что ИБшник банка стукнет кулаком по столу и скажет: «У меня 0.85, я соответствую». Как к такому заявлению отнесется ЦБ, все прекрасно понимают. Соответственно, к первому января 2022 г. нужно получить отчет, в котором подтверждён 0.85. Я думаю, позиция банка России по 683-П уже была прокомментирована, вряд ли она будет отличаться в вопросе по 719-П.

Логи АБС — это Логи именно входа, или выполнения операций в АБС с ЗИ?

В логах АБС содержится информация о платёжных операциях, поэтому логи АБС надо хранить как зеницу ока в течение пяти лет. Что касается даты, с которой пойдёт отсчёт необходимости хранения логов – скорее всего, она пойдёт с даты вступления в силу положения 719-П.

Добрый день! Подскажите, пожалуйста, если Банк приходит с запросом выполнить работы по 382-П и в 2020 году у него не планируется проверка, есть ли смысл предлагать 382-П или можно сразу предложить 719-П?

В течение 2020 и 2021 гг. действует 382-П. Соответственно, проверки надо проходить в соответствии с графиком: как и положено – раз в два года. 719-П требует определённого уровня соответствия ГОСТ 57580 с 1 января 2022 года. К этому моменту соответствие необходимо каким-либо образом подтвердить.

Хотелось бы сразу отметить, что работы по 382-П и работы по 719-П — это не совсем корректное сравнение. По 382-П требуется внешний аудит, а по 719-П требуется внешний аудит по ГОСТ 57580. Может быть, кто-то по ГОСТ уже прошел оценку и получил заветные 0.85. Такие организации могут спать спокойно, особенно если область оценки была определена полно и корректно.

Ещё раз, в 2020 и 2021 гг. действует 382-П, а значит, работы проводить надо, соответствовать надо. А с 1 января 2022 года надо соответствовать 719-П.

ППП — это только процессинг? А как же разработчики различных Интернет-Банков и прочего?

Если разработчик интернет-банка передал Вам приложение, которое Вы у себя поставили, то на этом моменте он и перестал быть поставщиком. Теперь поставщик – Вы. Если разработчик и его приложение является облаком, через которые проходят платежи, тогда он является поставщиком платёжного приложения. В режиме «здесь и сейчас». Те разработчики, которые только разрабатывают и передают дистрибутив, под регулирование не попадают.

Прошу уточнить, с какой даты надо соответствовать уровню 0.85?

Самому 719-П надо соответствовать с 1 января 2022 г., соответственно, получить 0.85 надо с 1 января 2022 г.

Верно ли утверждение, что ОПДС в вакууме не может больше делать ОУД4 для своих систем, а только сертификация на 5 уровень?

Что касается анализа уязвимости и сертификации, то здесь логика в документе была разбита. То есть в разных документах содержится разная информация. Если коротко, анализ уязвимости по-прежнему остается альтернативой сертификации — это следует из пункта 1.2 719-П.

Так что сертификация может быть заменена на анализ уязвимости. Но если имеет место масштабирование решения, то включается другой фактор. Если эксплуатантов много, то делать оценку соответствия каждому значительно дороже, чем сделать сертификацию.

ЦБ как-то будет контролировать выполнение ППП 719-П? Или будет требовать с ОПДС каких-то доказательств?

Да, точно так же, как контролировали операторов услуг платёжной инфраструктуры. И здесь речь идёт не о разработчиках, а именно поставщиках, которые здесь и сейчас дают возможность проводить через себя платежи. Как будет контролировать ЦБ – не ясно, поживём – увидим.

Но можно предположить, что никак. Существует целый ряд ролей, например, роль банковского платёжного агента или поставщика платёжных приложений. ЦБ не обладает правами надзора над ними, но задавать «вопросы» эксплуатанту будет. Эксплуатантом и будет являться банк. Если банк использует какое-то приложение, которое кого-то не устраивает, то претензии будут к банку, потому что он использует систему, которая, в данном случае, не прошла сертификацию. Вот такая логика. Еще раз, поставщику платёжных приложений ничего не будет. И контролировать его не будут. Будут контролировать банк.

Если разработчик ПО еще и по договору осуществляет ТП данного приложения, какова его ответственность?

Кто осуществляет техподдержку данного приложения, всем без разницы. Важно, с кем заключен договор на использование платёжного приложения. Если клиент заключил с вами договор на использование ДБО, то поставщик платёжного приложения Вы. Если Вы заключили договор с другим банком на использование его процессинга, то тот, другой банк и является поставщиком платёжного приложения. Разработчики здесь не важны.

В рамках ЦФТ и Фактуры, Фактуры — не ППП ?

В рамках ЦФТ облачные решения АБС вполне могут быть признаны поставщиками платёжных приложений.

Какой сценарий оказания услуг с Вашей стороны в контексте 719-П?

В контексте 719-П, в первую очередь, мы можем провести анализ, аудит по ГОСТ 57580, можем провести ОУД4 и можем провести анализ выполнения технологических мер, поскольку они фактически идентичны с 382-П.  Если первые две услуги, то есть аудит по ГОСТ и оценка соответствия ОУД4, требуют привлечения лицензиата ФСТЭК, т.е. нас, то технологические меры мы предлагаем проверить с нашим участием на добровольной основе. Просто потому, что уровень экспертизы по данному направлению у RTM Group очень высок.

Так всё же, ОУД4 для средств защиты или программного обеспечения, выполняющего переводы?

ОУД4 для автоматизированных систем, проще говоря, для всего «приклада», а не для средств защиты информации. Здесь возникает вопрос: как его сертифицировать, если его не сертифицируют по ОУД4? Ответим честно – на данный момент мы не знаем. Сами варианты сертификации предусмотрены, но ФСТЭК эту сертификацию не делает, и о том, что будет делать – не объявлял.

В 2021 году нужно будет иметь внешнее заключение по соответствию 382-П, и запланировать внешний аудит на соответствие 719-П на 2022 год? И будет ли ЦБ запрашивать результаты оценки 719-П с банков в формате предоставления отдельного отчета (как это делалось по 382-П)?

Хотелось бы ещё раз отметить, что нет понятия «соответствие 719-П», нет и такого отчёта.  Соответственно, по 719-П будет запрашиваться соответствие ГОСТ 57580 — это принципиальное отличие. По 382-П в 2021 году – да, надо будет иметь внешнее заключение, но только тем, кто предыдущее заключение делал в 2019 году. Тем, кто делал в этом году, соответственно, ничего делать по 382-П с точки зрения внешнего аудита уже не надо. Только пентест провести, но его с нас и 683-П и 719-П требуют. Поэтому будет ли ЦБ запрашивать какой-то внешний отчёт по 719-П — определённо нет, просто потому что нет такого отчёта.

Как думаете, почему так много сейчас «П»? Один нормальный документ был бы понятнее для банков и проще в реализации.

Это очень сложный момент, но я думаю, что здесь есть определённая логика. 719-П пришел на смену морально устаревшему 382-П с его кучей частных технических требований. А множество «П» сейчас – ну какое, собственно говоря, множество? Есть 672-П, который имеет узкую область применения. Есть 683-П и 719-П. С точки зрения ИБ — это основные «П», которые требуется выполнять. Они друг другу не противоречат и даже неплохо дополняют друг друга. Поскольку эти документы вынесли много маленьких требований в ГОСТ, то они вполне себе обозримы, по сравнению с тем же 382-П, который можно было читать — не перечитать и не понять, что же там происходит. Теперь все более-менее понятно. Кроме того, я оптимист и верю, что ЦБ всё-таки смотрит на реакцию сообщества. И выпуская новое положение, он смотрит на то, как исполняются требования и какова возможность их исполнения. Можно много ругать ЦБ, но не думаю, что какой-то другой регулятор дал бы полтора года отсрочки по ОУД4, как сделал ЦБ. Поэтому вот я всё-таки считаю, что 719-П — это позитивная тенденция.

Опять же, множество «П» — это логика работы бюрократической системы. Принимается новый нормативный акт (такая же картина и в ФНС, да и в любом крупном ведомстве или организации). То есть, выпускают какой-то новый документ — предыдущий ещё не отменяется, потому что он частично  его перекрывает.

Например, речь шла такая: 683-П появился, а значит, нужно отменить 382-П, а нет – нельзя. Потому что 683-П не распространялся на отдельных участников платёжных систем, соответственно, его надо оставить. Вот и получалось, что если мы говорим про одну из ролей в виде банка, то банк должен выполнять и 382-П, и 683-П. В одной части и свидетельства пересекаются, и часть вопросов пересекаются, но тем не менее это разные вещи. Выходит, что все время будет накапливаться какая-то избыточность, и в дальнейшем избыточность будет частично отменяться. Логика работы бюрократической системы — нельзя или не всегда возможно внести какие-то изменения в старый документ, и не всегда возможно новый документ принять.

Может ли ОПС, в рамках требований 719-П, выставить требования к ОПДС о необходимости проведения именно оценки по ОУД4, чтобы избежать обязательной сертификации?

719-П здесь ни при чём. Оператор платёжной системы может выставить какие угодно требования оператору перевода денежных средств. И если оператор по переводу денежных средств не будет их выполнять, он будет отключён от платёжной системы. Вот и всё. Оператор платёжной системы может сказать: «Да, делайте ОУД4, а не сертификацию». Другое дело, что за таким требованиям он рискнёт потерять своих клиентов — операторов по переводу денежных средств. Хотя требования он может выставить, абсолютно не беспокоясь о том, есть 719-П или его нет.

ППП что-то нужно делать в 2020? Банк пока ничего не запрашивает.

Если банк с Вас ничего не запрашивает, то можно ничего, в принципе, и не делать. Просто в тот момент, когда банк с вас запросит что-то (являетесь ли вы поставщиком платёжных приложений и банковским платёжным агентов), может быть уже поздно. Потому что тот же ОУД4 делается полгода, соответствие по ГОСТ 57580 делается минимум два месяца — это в самом оптимистичном варианте.  Если в декабре банк вспомнит о том, что нужно использовать сертифицированное ПО, его никто не успеет сертифицировать. Сертификация длится минимум полгода, а может растянуться и на несколько лет.

Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?

Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.

Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование —  это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.

Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.

По ОУД4 нужно ДБО или еще и АБС?

Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 — ДБО точно, АБС возможно, в зависимости от архитектуры.

Какова же стоимость такого тройного отчета может быть? И какой срок проведения?

«Тройного отчета» нет.
Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
Для примера, если мы проводим работы по 719-П, то «тройной отчет» стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П — область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.

Банком приобретается новое мобильное приложение, когда надо проводить пентест?

Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

Да, про 683-П, 672-П ЦБ ответил «да», про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

Надо ли делать оценку по 382-П в этом году?

Оценку по 382-П надо делать тем, у кого предыдущая оценка была в 2019 г. На эту тему есть комментарии представителей ЦБ, и из календаря понятно, что 382-П достаточно полноценно действует до 31 декабря данного года. Соответственно, те, у кого отчет был отправлен в 2019 г. как раз должны в 2021 г. отправить его еще раз.

Оценивались по 382-П в конце 2019, отчитывались в январе 2020, как быть?

Необходимо смотреть дату отчета, поскольку по 382-П есть 30 календарных дней на отправку, то надо смотреть дату отчета, которая фиксирует дату окончания аудита. Если у вас аудит был закончен в конце 2019 г., то и очередной аудит надо закончить в конце 2021 г., а отправлять уже в 2022 г. В 382-П четко сказано «обеспечивает проведение оценки не реже 1 раза в 2 года», поэтому если в этом году не выполнять 382-П — это будет нарушение. При этом многое зависит от лояльности проверяющего инспектора ЦБ. Но не стоит давать им лишний повод усомниться в чем-либо.

Примут ли отчет в 22-м? по 382-П :)

Гарантируем, что примут.

Принять — примут, что скажут в ответ — не знаем, но примут точно.

п.2.5 719-П «Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.» однозначно оуд не появляется. считается ли, что Банки теперь ОУД не смогут делать, а только сертификацию?

В пункте 2.5 написано, что операторы по переводу денежных средств — только сертификация, но в первом разделе 719-П сказано, что оператор по переводу денежных средств обеспечивает использование ПО, в отношении которого проведена оценка соответствия ОУД4. Таким образом, если рассматривать 2.5 как конкретизацию требований, то ОУД4 банки делать не смогут, только сертификацию. Если речь идет о технической ошибке либо опечатке, то сертификация является альтернативой оценке соответствия по ОУД4 (что вполне логично и ожидаемо). Комментариев Банка России по этому поводу на данный момент нет.

Наши отзывы по обеспечению соответствия 719-П

Услуги для вас

НАМ ДОВЕРЯЮТ