802-П (747-П): Приведение в соответствие и оценка соответствия

Отмена действия 747-П. Вступление 802-П в силу

ЦБ РФ опубликовал новое положение 802-П, которое теперь заменяет 747-П. Оно касается всех прямых участников платежной системы Банка России, а также операторов, которые используют в выполнении своей деятельности сервис быстрых платежей (СБП).

Изменения объёмные и их много, для полного описания потребуется отдельная статья. Но можно обобщённо обозначить нововведения 802-П:

1. Четкое требование разработки документов под ГОСТ в рамках сегмента ПС БР
2. Новые участники (ОИО СБП, ОПКЦ СБП)
3. Требование к разработке плана ОНИВД в рамках ПС БР
4. Требования к шифрованию по модели OSI
5. Требование к применению модели оценки рисков операций
6. Жесткие требования к управлению идентификаторами клиентов СБП

Напоминаем, что положение 802-П вступило в силу с 10.12.2022.

Аудит соответствия общим требованиям 802-П

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 802-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

Аудит соответствия 802-П включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

• Требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
• Требования к защите информации по размещению объектов в выделенных сегментах (ССНП, СБП, ОПКЦ);
• Требования к документам участников ССНП, СБП, ОПКЦ, определяющих состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации;
• Требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005);
• Требования по регистрации информации, связанной с действиями клиентов участников СБП, в целях информирования Банка России;
• Требования к формированию и подписанию электронных сообщений участника ССНП и ОПКЦ;
• Требования к передаче и приему электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России;
• Требования к хранению входящих и исходящих электронных сообщений;
• Требования к электронной подписи при обмене электронными сообщениями;
• Требования к управлению криптографическими ключами;
• Требования к организационным мерам и (или) техническим средствам защиты при обмене электронными сообщениями;
• Требования применения участниками СБП мер защиты информации, а также ограничений по параметрам операций при осуществлении переводов денежных средств;
• Требования для ОПКЦ по достижению показателя доступности СБП;
• Требования по реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента и использованием сервиса быстрых платежей для ОПКЦ;
• Требования по информированию Банка России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств;
• Требования по порядку действий в случае выявления инцидентов, связанных с несоблюдением требований к защите информации;
• Требования по проведению оценки соответствия;
• Требования по предоставлению результатов оценки соответствия согласно требованиям.

В ходе аудита проводятся следующие работы: 

• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
• Анализируется организационно-распорядительная документация;
• Анализируются настройки;
• Проводится интервью с сотрудниками проверяемой организации;
• Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
• Оценивается соответствие проверяемой организации пунктам требований руководящих документов;
• Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
• Оценивается выбор мер и их реализация;
• Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 802-П;
• Повторно проводится аудит соответствия требований Положения 802-П к системе обеспечения информационной безопасности;
• Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности.

Результат и отчетная документация:

• Отчет о проведенных работах по общим требованиям 802-П;
• Обоснование и рекомендации по повышению уровня соответствия (если требуются).

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 802-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

В ходе этапа проводятся следующие работы: 

• Определяется область оценки (перечень ИС, объектов доступа, персонала);
• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
• Анализируется организационно-распорядительная документация;
• Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения;
• Проводится интервью сотрудников проверяемой организации;
• Проводится визуальное наблюдение на объектах проверяемой организации;
• Оценивается выбор мер и их реализация;
• Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании 747-П (в случае необходимости);
• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
• Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;
• Согласовывается полученный результат.

Результат и отчетная документация:

• Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018;
• Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия;
• Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ;
• Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

Положение 802-П: На кого распространяются требования

25 июля 2021 года Минюст России зарегистрировал новое Положение Банка России №802-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 747-П, и новый документ признаёт предыдущий утратившим силу.

Под необходимостью выполнения требований Положения 802-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей.

Какая информация должна защищаться

Положение предусматривает, что в организации должен быть реализован выделенный сегмент платежной системы Банка России. Инфраструктура данного сегмента должна быть отделена от основной инфраструктуры организации – линии связи, компьютеры персонала, средства защиты информации

Как и в предыдущем положении (747-П), в Положении 802-П указаны требования к защите передаваемых в Банк России электронных сообщений. В отличии от выведенного из действия положения 747-П новое положение определяет новый перечень защищаемой информации ссылаясь на пункты Положения Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.

Важные требования Положения 802-П

В новом положении вводится порядок обработки инцидентов, связанных с перебором идентификаторов клиентов участника СБП и косвенного участника с доступом к трансграничному переводу денежных средств с использованием сервиса быстрых платежей (Далее — ТПСБ):

1. ОПКЦ СБП выявляет факты перебора идентификаторов клиентов участника (косвенного участника).
2. ОПКЦ СБП блокирует идентификатор клиента участника (косвенного участника).
3. ОПКЦ СБП уведомляет участника СБП и Банк России о блокировке идентификатора косвенного участника;
4. Участник СБП направляет уведомление косвенному участнику с ТПСБП и запрашивает результаты проверки, согласно требованиям договора между участником СБП и ОПКЦ СПБ
5. Участник СБП направляет в ОПКЦ СБП результаты проверки от косвенного участника с ТПСБП.
6. Согласно договору между участником СБП и ОПКЦ СБП, рассматривается разблокировка идентификатора клиента косвенного участника СБП.

Важным нововведением в 802-П является обязательное оповещение участником СБП косвенного участника СБП о блокировании идентификатора косвенного участника и оповещение ОПКЦ СБП о факте блокирования идентификатора и о результатах проведенной проверки косвенным участником с доступом к ТПСБП.

802-П Новые требования в области криптографии

В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:

• криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП
• криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.

В положении также определено новое требование для ОУИО СБП о соблюдении требований ПКЗ-2005 при обеспечении защиты информации с использованием криптографических средств.

802-П Оценка по ГОСТ Р 57580.2 для банков

Как и в Положении 747-П, в новом документе (802-П) содержится требование оценки соответствия стандартному уровню защиты информации по ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Необходимо обеспечение четвертого уровня соответствия с момента вступления положения в силу.

Когда 802-П вступает в силу?

Положение Банка России № 802-П вступило в силу с 10 декабря 2022.

Дополнительные услуги

Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

• Проведение комплекса работ по обеспечению защиты информации для финансовых организаций

Тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты