8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

747-П: приведение в соответствие и оценка соответствия

747-П регламентирует работу с платежной системой Банка России, к которой Центробанк проявляет особое внимание в ходе проверок.

Мы предлагаем:

  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018;
  • Подготовка организационно-распорядительной документации для соответствия 747-П и ГОСТ Р 57580.1-2017.

Важно:

В соответствии с пунктом 4 Положения №757-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017 с 1 июля 2021 года.

747-П: приведение в соответствие и оценка соответствия - изображение услуги
Оценка соответствия по 747-П

Эксперты по приведению в соответствие и оценке соответствия по 747-П

Эксперт по приведению в соответствие и оценке соответствия по 747-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 747-П Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 747-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и оценке соответствия по 747-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Аудит соответствия общим требованиям 747-П

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 747-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

Аудит соответствия 747-П включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

  • Требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
  • Требования к защите информации по размещению объектов в выделенных сегментах (ССНП, СБП, ОПКЦ);
  • Требования к документам участников ССНП, СБП, ОПКЦ, определяющих состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации;
  • Требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005);
  • Требования по регистрации информации, связанной с действиями клиентов участников СБП, в целях информирования Банка России;
  • Требования к формированию и подписанию электронных сообщений участника ССНП и ОПКЦ;
  • Требования к передаче и приему электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России;
  • Требования к хранению входящих и исходящих электронных сообщений;
  • Требования к электронной подписи при обмене электронными сообщениями;
  • Требования к управлению криптографическими ключами;
  • Требования к организационным мерам и (или) техническим средствам защиты при обмене электронными сообщениями;
  • Требования применения участниками СБП мер защиты информации, а также ограничений по параметрам операций при осуществлении переводов денежных средств;
  • Требования для ОПКЦ по достижению показателя доступности СБП;
  • Требования по реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента и использованием сервиса быстрых платежей для ОПКЦ;
  • Требования по информированию Банка России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • Требования по порядку действий в случае выявления инцидентов, связанных с несоблюдением требований к защите информации;
  • Требования по проведению оценки соответствия;
  • Требования по предоставлению результатов оценки соответствия согласно требованиям.

В ходе аудита проводятся следующие работы: 

  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки;
  • Проводится интервью с сотрудниками проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов;
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки;
  • Проводится интервью с сотрудниками проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов;
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • Оценивается выбор мер и их реализация;
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 747-П;
  • Повторно проводится аудит соответствия требований Положения 747-П к системе обеспечения информационной безопасности;
  • Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности.

Результат и отчетная документация:

  • Отчет о проведенных работах по общим требованиям 747-П;
  • Обоснование и рекомендации по повышению уровня соответствия (если требуются).

 

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ:

Аудит соответствия системы защиты информации в Платежной системе Банка России, в соответствии с требованиями положения 747-П, проводится с целью определения качества и степени выполнения настоящего положения.

Формат проведения работ:

Работы по обследованию проводятся дистанционно на основании документации и интервью.

В ходе этапа проводятся следующие работы: 

  • Определяется область оценки (перечень ИС, объектов доступа, персонала);
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Анализируется организационно-распорядительная документация;
  • Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения;
  • Проводится интервью сотрудников проверяемой организации;
  • Проводится визуальное наблюдение на объектах проверяемой организации;
  • Оценивается выбор мер и их реализация;
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании 747-П (в случае необходимости);
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018;
  • Согласовывается полученный результат.

Результат и отчетная документация:

  • Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018;
  • Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия;
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ;
  • Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

    Узнать стоимость

    Положение 747-П: На кого распространяются требования

    3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Защита информации в данной платежной системе ранее осуществлялась согласно Положению 672-П, и новый документ признаёт предыдущий утратившим силу.

    Под необходимостью выполнения требований Положения 747-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей. В отличие от 672-П, новое положение выделяет «оператора услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей», что подразумевает под собой сервисы, которые обеспечивают техническое взаимодействие между банками и конечным получателем платежа.

     

    Какая информация должна защищаться

    Положение предусматривает, что в организации должен быть реализован выделенный сегмент платежной системы Банка России. Инфраструктура данного сегмента должна быть отделена от основной инфраструктуры организации – линии связи, компьютеры персонала, средства защиты информации

    Как и в предыдущем положении (672-П), в Положении 747-П указаны требования к обработке передаваемых в Банк России электронных сообщений, включающие применение средств электронной подписи, и следовательно, средств криптографической защиты информации. Это накладывает необходимость выполнения положений других нормативно-правовых актов, регламентирующих применение криптографической защиты информации.

     

    Важные требования Положения 747-П

    В случае наступления событий приведших к инциденту ИБ, участники перевода денежных средств могут (но не должны) направить в Банк России обращение о приостановлении обмена электронными сообщениями. А когда инцидент исправлен – обращение о восстановлении обмена.

      Нужна консультация?

       

      747-П Оценка по ГОСТ Р 57580.2 для банков

      Как и в Положении 672-П, в новом документе (747-П) содержится требование оценки соответствия стандартному уровню защиты информации по ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». Сроки проведения оценки соответствия не изменились – уровень соответствия стандарту не ниже третьего необходимо обеспечить до 1 июля 2021 года, а не ниже четвертого – до 1 января 2023 года.

       

      Когда 747-П вступает в силу?

      Положение Банка России № 747-П вступило в силу, с момента его опубликования по истечении 10 дней.

       

      Дополнительные услуги

      Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

      • Проведение комплекса работ по обеспечению защиты информации для финансовых организаций

      Тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

       

      Почему RTM Group?

      • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
      • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
      • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать услуги по приведению в соответствие и оценке соответствия по 747-П

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email: info@rtmtech.ru






      Видео по приведению в соответствие и оценке соответствия по 747-П

      Почему RTM Group

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в пятерку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по приведению в соответствие и оценке соответствия по 747-П

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Аудит соответствия общим требованиям 747-П

      Срок — от 4 недель

      Подробное описание
       

      Опросный лист (анкета)

      от 200 000 руб.

      Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 747-П

      Срок — от 8 недель

      от 300 000 руб.

      Оценка соответствия по ГОСТ Р 57580

      Срок — от 8 недель

      Подробное описание
       

      Опросный лист (анкета)

      от 350 000 руб.

      Аудит по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

      Срок — от 10 недель

      от 450 000 руб.

      Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

      Наши преимущества

      719-П, 683-П, 757-П, Пентест, ОУД4 и пр.

      Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

      3 лицензии

      ФСТЭК России и ФСБ России

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      Наши отзывы по приведению в соответствие и оценке соответствия по 747-П

      Благодарность от АО «Углеметбанк»

      28.06.2021

      Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных

      Услуги для вас

      НАМ ДОВЕРЯЮТ

      Полезные статьи

      FAQ: Часто задаваемые вопросы

      Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.