8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

802-П (747-П): Приведение в соответствие и оценка соответствия

802-П регламентирует работу с платежной системой Банка России, к которой Центробанк проявляет особое внимание в ходе проверок.

Мы предлагаем:

  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018;
  • Подготовка организационно-распорядительной документации для соответствия 802-П и ГОСТ Р 57580.1-2017.

Важно:

В соответствии с пунктом 4 Положения №757-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.

В связи с опубликованием Центральным Банком Российской Федерации 29.11.2022 года Положения от 25 июля 2022 года № 802-П “О ТРЕБОВАНИЯХ К ЗАЩИТЕ ИНФОРМАЦИИ В ПЛАТЕЖНОЙ СИСТЕМЕ БАНКА РОССИИ”, отменяется действие Положения Банка России от 23.12.2020 № 747-П “О ТРЕБОВАНИЯХ К ЗАЩИТЕ ИНФОРМАЦИИ В ПЛАТЕЖНОЙ СИСТЕМЕ БАНКА РОССИИ”. Положение 802-П вступает в силу через 10 дней после его опубликования, а именно 10.12.2022 г.

802-П (747-П): Приведение в соответствие и оценка соответствия - изображение услуги
Оценка соответствия по 802-П (747-П)

Эксперты по приведению в соответствие и оценке соответствия по 802-П

Эксперт по приведению в соответствие и оценке соответствия по 802-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 802-П Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 802-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 802-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Отмена действия 747-П. Вступление 802-П в силу

ЦБ РФ опубликовал новое положение 802-П, которое теперь заменяет 747-П. Оно касается всех прямых участников платежной системы Банка России, а также операторов, которые используют в выполнении своей деятельности сервис быстрых платежей (СБП).

Изменения объёмные и их много, для полного описания потребуется отдельная статья. Но можно обобщённо обозначить нововведения 802-П:

  1. Четкое требование разработки документов под ГОСТ в рамках сегмента ПС БР
  2. Новые участники (ОИО СБП, ОПКЦ СБП)
  3. Требование к разработке плана ОНИВД в рамках ПС БР
  4. Требования к шифрованию по модели OSI
  5. Требование к применению модели оценки рисков операций
  6. Жесткие требования к управлению идентификаторами клиентов СБП

Напоминаем, что положение 802-П вступило в силу с 10.12.2022.

Аудит соответствия общим требованиям 802-П

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 802-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

Аудит соответствия 802-П включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

  • Требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
  • Требования к защите информации по размещению объектов в выделенных сегментах (ССНП, СБП, ОПКЦ);
  • Требования к документам участников ССНП, СБП, ОПКЦ, определяющих состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации;
  • Требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005);
  • Требования по регистрации информации, связанной с действиями клиентов участников СБП, в целях информирования Банка России;
  • Требования к формированию и подписанию электронных сообщений участника ССНП и ОПКЦ;
  • Требования к передаче и приему электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России;
  • Требования к хранению входящих и исходящих электронных сообщений;
  • Требования к электронной подписи при обмене электронными сообщениями;
  • Требования к управлению криптографическими ключами;
  • Требования к организационным мерам и (или) техническим средствам защиты при обмене электронными сообщениями;
  • Требования применения участниками СБП мер защиты информации, а также ограничений по параметрам операций при осуществлении переводов денежных средств;
  • Требования для ОПКЦ по достижению показателя доступности СБП;
  • Требования по реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента и использованием сервиса быстрых платежей для ОПКЦ;
  • Требования по информированию Банка России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • Требования по порядку действий в случае выявления инцидентов, связанных с несоблюдением требований к защите информации;
  • Требования по проведению оценки соответствия;
  • Требования по предоставлению результатов оценки соответствия согласно требованиям.

В ходе аудита проводятся следующие работы: 

  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки;
  • Проводится интервью с сотрудниками проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов;
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки;
  • Проводится интервью с сотрудниками проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается выбор мер и их реализация;
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 802-П;
  • Повторно проводится аудит соответствия требований Положения 802-П к системе обеспечения информационной безопасности;
  • Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности.

Результат и отчетная документация:

  • Отчет о проведенных работах по общим требованиям 802-П;
  • Обоснование и рекомендации по повышению уровня соответствия (если требуются).

 

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 802-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

В ходе этапа проводятся следующие работы: 

  • Определяется область оценки (перечень ИС, объектов доступа, персонала);
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения;
  • Проводится интервью сотрудников проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации;
  • Оценивается выбор мер и их реализация;
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании 747-П (в случае необходимости);
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;
  • Согласовывается полученный результат.

Результат и отчетная документация:

  • Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018;
  • Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия;
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ;
  • Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

    Узнать стоимость

    Положение 802-П: На кого распространяются требования

    25 июля 2021 года Минюст России зарегистрировал новое Положение Банка России №802-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 747-П, и новый документ признаёт предыдущий утратившим силу.

    Под необходимостью выполнения требований Положения 802-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей.

     

    Какая информация должна защищаться

    Положение предусматривает, что в организации должен быть реализован выделенный сегмент платежной системы Банка России. Инфраструктура данного сегмента должна быть отделена от основной инфраструктуры организации – линии связи, компьютеры персонала, средства защиты информации

    Как и в предыдущем положении (747-П), в Положении 802-П указаны требования к защите передаваемых в Банк России электронных сообщений. В отличии от выведенного из действия положения 747-П новое положение определяет новый перечень защищаемой информации ссылаясь на пункты Положения Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.

     

    Важные требования Положения 802-П

    В новом положении вводится порядок обработки инцидентов, связанных с перебором идентификаторов клиентов участника СБП и косвенного участника с доступом к трансграничному переводу денежных средств с использованием сервиса быстрых платежей (Далее – ТПСБ):

    1. ОПКЦ СБП выявляет факты перебора идентификаторов клиентов участника (косвенного участника).
    2. ОПКЦ СБП блокирует идентификатор клиента участника (косвенного участника).
    3. ОПКЦ СБП уведомляет участника СБП и Банк России о блокировке идентификатора косвенного участника;
    4. Участник СБП направляет уведомление косвенному участнику с ТПСБП и запрашивает результаты проверки, согласно требованиям договора между участником СБП и ОПКЦ СПБ
    5. Участник СБП направляет в ОПКЦ СБП результаты проверки от косвенного участника с ТПСБП.
    6. Согласно договору между участником СБП и ОПКЦ СБП, рассматривается разблокировка идентификатора клиента косвенного участника СБП.

    Важным нововведением в 802-П является обязательное оповещение участником СБП косвенного участника СБП о блокировании идентификатора косвенного участника и оповещение ОПКЦ СБП о факте блокирования идентификатора и о результатах проведенной проверки косвенным участником с доступом к ТПСБП.

      Нужна консультация?

      802-П Новые требования в области криптографии

      В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:

      • криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП
      • криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.

      В положении также определено новое требование для ОУИО СБП о соблюдении требований ПКЗ-2005 при обеспечении защиты информации с использованием криптографических средств.

       

      802-П Оценка по ГОСТ Р 57580.2 для банков

      Как и в Положении 747-П, в новом документе (802-П) содержится требование оценки соответствия стандартному уровню защиты информации по ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”. Необходимо обеспечение четвертого уровня соответствия с момента вступления положения в силу.

       

      Когда 802-П вступает в силу?

      Положение Банка России № 802-П вступило в силу с 10 декабря 2022.

       

      Дополнительные услуги

      Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

      • Проведение комплекса работ по обеспечению защиты информации для финансовых организаций

      Тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

       

      Почему RTM Group?

      • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
      • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к “продаже” дополнительных услуг.
      • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать услуги по приведению в соответствие и оценке соответствия по 802-П

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email:






      Видео по приведению в соответствие и оценке соответствия по 802-П

      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по приведению в соответствие и оценке соответствия по 802-П

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Аудит соответствия общим требованиям 802-П (747-П)

      Срок — от 4 недель

      Подробное описание
       

      Опросный лист (анкета)

      от 200 000 руб.

      Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 802-П (747-П)

      Срок — от 8 недель

      от 300 000 руб.

      Оценка соответствия по ГОСТ Р 57580

      Срок — от 8 недель

      Подробное описание
       

      Опросный лист (анкета)

      от 350 000 руб.

      Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

      Срок — от 10 недель

      от 450 000 руб.

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.

      Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту . На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

      Наши преимущества

      719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

      Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

      3 лицензии

      ФСТЭК России и ФСБ России

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      Наши отзывы по приведению в соответствие и оценке соответствия по 802-П

      Благодарность от АО «Углеметбанк»

      28.06.2021

      Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных

      Услуги для вас

      НАМ ДОВЕРЯЮТ

      Полезные статьи

      FAQ: Часто задаваемые вопросы

      Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.

      С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
      Более подробно мы рассматривали на вебинаре “Внесение изменений в 4927 У: Новые формы отчётности 2022”. Доступен по ссылке https://youtu.be/P6i-Vi3IckY

      Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.