821-П: Обеспечение соответствия

Центральный Банк утвердил новое положение №821-П от 17 августа 2023 г, которое вступает в силу с 1 апреля 2024 года и полностью заменяет  719-П.

Работы в рамках 821-П:

  • Оценка соответствия 57580.1 в соответствии с ГОСТ 57580.2
  • ОУД 4 для программного обеспечения
  • Анализ выполнения технологических мер
  • Тестирование на проникновение (Пентест)

Почему мы:

Мы имеем обширный опыт проведения работ в рамках основополагающих положений ЦБ по защите информации в финансовом секторе, а также опыт проведения аудитов по всем требованиям 821-П.

Важно:

Аудит по ГОСТ необходимо проводить раз в два года, по ОУД 4 и технологическим мерам необходимо постоянное соответствие.

821-П: Обеспечение соответствия - услуги RTM Group
821-П: Обеспечение соответствия - от RTM Group
Узнать стоимость?

Эксперты по обеспечению соответствия 821-П

Эксперт по обеспечению соответствия 821-П Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 821-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 821-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 821-П Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Область действия 821-П

Положение содержит основные требования по защите информации в области защиты платежной информации и организации платежной инфраструктуры для каждого ее участника.

821-П содержит требования для следующих участников финансовой сферы:

  • Операторы по переводу денежных средств (ОПДС
  • Банковские платежные агенты (субагенты) (БПА)
  • Операторы услуг информационного обмена (ОУИО)
  • Поставщики платежных приложений
  • Операторы платежных систем (ОПС)
  • Операторы услуг платежной инфраструктуры (ОУПИ)
  • Операторы электронных платформ

Требования положения распространяются на инфраструктуру, задействованную в обработке защищаемой информации, которая также определяется в положении.

Общие и частные требования 821-П

Положение содержит требования по организации защищенного информационного обмена, требования по реализации отдельных технических и технологических мер защиты, а также ряд общих требований.

Среди всех требований можно выделить следующие:

  1. Организация законного использования криптографии, в т.ч. электронной подписи
  2. Реализация уровня защиты по ГОСТ 57580.1
  3. Проведение периодического аудита по ГОСТ 57580.2
  4. Тестирование на проникновение
  5. Использование ПО, прошедшего сертификацию или оценку уровня доверия (ОУД-4)
  6. Информирование Банка России об обнаруженных инцидентов
  7. Реализация технологических мер защиты
  8. Внутренняя регламентация реализованных мер и процессов защиты

Скачать положение ЦБ РФ 821-П

Положение Банка России от 17.08.2023 N 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Зарегистрировано в Минюсте 6 декабря 2023 года. Пришло на замену Положения 719-П ЦБ РФ. В положении определены новые и пересмотрены старые требования по защите информации.

Скачать последнюю редакцию Положения 821-П можно здесь (.pdf).

Результат оценки соответствия положению 821-П

В рамках инфраструктуры и процессов обработки заказчика, попадающих под требования настоящего положения, производятся следующие работы по выбору заказчика:

  1. Аудит выполнения требований самого положения 821-П (общих требований для каждой группы субъектов) для любых видов деятельности, указанных в 821-П
    Наши сотрудники помогут определить область инфраструктуры и процессов, подлежащих защите.
  2. Тестирование на проникновение в рамках обозначенной инфраструктуры (внешнее и/или внутреннее), анализ защищенности от возможных внешних атак
  3. Аудит реализации требований ГОСТ 57580.1 в соответствии с методикой ГОСТ 57580.2 (в т.ч. для предоставления отчетности в центральный Банк)
    Одно из требований положения – проведение именно внешней оценки лицензиатом ФСТЭК по ГОСТ 57580.2
  4. Разработка внутренней распорядительной документации в рамках обеспечения защиты информации – в целях повышения качества защиты и для соответствия требованиям законодательства
  5. Оценка по ОУД для разрабатываемого или используемого программного обеспечения

Выполнение оценки соответствия 821-П внешним аудитором

Важно

Оценка по ГОСТ 57580.1 должна проводиться внешним аудитором, имеющим действующую лицензию ФСТЭК в области технической защиты конфиденциальной информации (пункты “б”, “д”, “е” постановления правительства № 79 от 3 февраля 2012 года.

Обращаясь к внешнему аудитору, вы получаете:

  • Внешнюю независимую оценку степени фактического соответствия требованиям законодательства
  • Содействие в приведении системы защиты к полному соответствию
  • Выполняете прямое требование о привлечении внешнего аудитора для выполнения части работ

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по обеспечению соответствия 821-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Видео по обеспечению соответствия 821-П

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по обеспечению соответствия 821-П

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Для ОПС, ОПДС, ППП, ОЭП: Аудит соответствия общим требованиям 821-П (без ОУД4)

Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 821-П.
Срок – от 10 недель

от 300 000 руб.

Для ОПС, ОПДС, ППП, ОЭП: Оценка соответствия по ГОСТ Р 57580

Возможно проведения аудита по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580.
Срок – от 8 недель

от 600 000 руб.

Для Платежных агентов: Аудит соответствия общим требованиям 821-П (без ОУД4)

Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 821-П.
Срок – от 10 недель

от 300 000 руб.

Для Платежных агентов: Оценка соответствия по ГОСТ Р 57580

Возможно проведения аудита по ГОСТ Р 57580 в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580.
Срок – от 8 недель

от 350 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

Наши отзывы по обеспечению соответствия 821-П

Благодарственное письмо от ЗАО "Биллинговый центр"
16.10.2023
ЗАО "Биллинговый центр" благодарит компанию RTM Group за профессионализм и внимание в проведении оценки соответствия требования ГОСТ 57580.1-2017 и Положения Центрального Банка №719-П. В рамках аудита было проведено обследование системы защиты платёжной информации, а также внутренней документации в сфере ИБ, по результатам проверки со стороны экспертов была предоставлена полная информация о состоянии защитных мер, а также разработаны рекомендации по устранению обнаруженных несоответствий. Отдельно выражаем благодарность за оперативную и продуктивную работу консультантам Гончарову Андрею Михайловичу, Чмилю Константину Михайловичу и Православскому Артему Вадимовичу. Надеемся на дальнейшее сотрудничество и рекомендуем RTM Group как компетентного и ответственного поставщика услуг в области информационной безопасности. Директор ЗАО "Биллинговый центр" А. В. Баяндина

Услуги для вас

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Как заставить разработчика считать себя поставщиком платежных приложений, кто присваивает статус поставщика платежных приложений?

Все зависит от договорённостей с поставщиком платёжных приложений. Так, в первую очередь, нужно смотреть договор. Дело в том, что поставщик платёжного приложения может быть Вашим заказчиком или подрядчиком по разработке этого приложения, а никак не поставщиком. В данном случае поставщиком будет являться сам банк, поскольку он поставляет клиентам платежное приложение. Вопрос «Как кого заставить?» достаточно сложный, нужно смотреть договор с разработчиком.

Логи АБС — это Логи именно входа, или выполнения операций в АБС с ЗИ?

В логах АБС содержится информация о платёжных операциях, поэтому логи АБС надо хранить как зеницу ока в течение пяти лет. Что касается даты, с которой пойдёт отсчёт необходимости хранения логов – скорее всего, она пойдёт с даты вступления в силу положения 719-П.

ППП — это только процессинг? А как же разработчики различных Интернет-Банков и прочего?

Если разработчик интернет-банка передал Вам приложение, которое Вы у себя поставили, то на этом моменте он и перестал быть поставщиком. Теперь поставщик – Вы. Если разработчик и его приложение является облаком, через которые проходят платежи, тогда он является поставщиком платёжного приложения. В режиме «здесь и сейчас». Те разработчики, которые только разрабатывают и передают дистрибутив, под регулирование не попадают.

Верно ли утверждение, что ОПДС в вакууме не может больше делать ОУД4 для своих систем, а только сертификация на 5 уровень?

Что касается анализа уязвимости и сертификации, то здесь логика в документе была разбита. То есть в разных документах содержится разная информация. Если коротко, анализ уязвимости по-прежнему остается альтернативой сертификации — это следует из пункта 1.2 719-П.

Так что сертификация может быть заменена на анализ уязвимости. Но если имеет место масштабирование решения, то включается другой фактор. Если эксплуатантов много, то делать оценку соответствия каждому значительно дороже, чем сделать сертификацию.

Если разработчик ПО еще и по договору осуществляет ТП данного приложения, какова его ответственность?

Кто осуществляет техподдержку данного приложения, всем без разницы. Важно, с кем заключен договор на использование платёжного приложения. Если клиент заключил с вами договор на использование ДБО, то поставщик платёжного приложения Вы. Если Вы заключили договор с другим банком на использование его процессинга, то тот, другой банк и является поставщиком платёжного приложения. Разработчики здесь не важны.

В рамках ЦФТ и Фактуры, Фактуры — не ППП ?

В рамках ЦФТ облачные решения АБС вполне могут быть признаны поставщиками платёжных приложений.

Так всё же, ОУД4 для средств защиты или программного обеспечения, выполняющего переводы?

ОУД4 для автоматизированных систем, проще говоря, для всего «приклада», а не для средств защиты информации. Здесь возникает вопрос: как его сертифицировать, если его не сертифицируют по ОУД4? Ответим честно – на данный момент мы не знаем. Сами варианты сертификации предусмотрены, но ФСТЭК эту сертификацию не делает, и о том, что будет делать – не объявлял.

Как думаете, почему так много сейчас «П»? Один нормальный документ был бы понятнее для банков и проще в реализации.

Это очень сложный момент, но я думаю, что здесь есть определённая логика. 719-П пришел на смену морально устаревшему 382-П с его кучей частных технических требований. А множество «П» сейчас – ну какое, собственно говоря, множество? Есть 672-П, который имеет узкую область применения. Есть 683-П и 719-П. С точки зрения ИБ — это основные «П», которые требуется выполнять. Они друг другу не противоречат и даже неплохо дополняют друг друга. Поскольку эти документы вынесли много маленьких требований в ГОСТ, то они вполне себе обозримы, по сравнению с тем же 382-П, который можно было читать — не перечитать и не понять, что же там происходит. Теперь все более-менее понятно. Кроме того, я оптимист и верю, что ЦБ всё-таки смотрит на реакцию сообщества. И выпуская новое положение, он смотрит на то, как исполняются требования и какова возможность их исполнения. Можно много ругать ЦБ, но не думаю, что какой-то другой регулятор дал бы полтора года отсрочки по ОУД4, как сделал ЦБ. Поэтому вот я всё-таки считаю, что 719-П — это позитивная тенденция.

Опять же, множество «П» — это логика работы бюрократической системы. Принимается новый нормативный акт (такая же картина и в ФНС, да и в любом крупном ведомстве или организации). То есть, выпускают какой-то новый документ — предыдущий ещё не отменяется, потому что он частично  его перекрывает.

Например, речь шла такая: 683-П появился, а значит, нужно отменить 382-П, а нет – нельзя. Потому что 683-П не распространялся на отдельных участников платёжных систем, соответственно, его надо оставить. Вот и получалось, что если мы говорим про одну из ролей в виде банка, то банк должен выполнять и 382-П, и 683-П. В одной части и свидетельства пересекаются, и часть вопросов пересекаются, но тем не менее это разные вещи. Выходит, что все время будет накапливаться какая-то избыточность, и в дальнейшем избыточность будет частично отменяться. Логика работы бюрократической системы — нельзя или не всегда возможно внести какие-то изменения в старый документ, и не всегда возможно новый документ принять.

Как проводят пентест? Какая методика проведения? Проводят внутреннее или внешнее сканирование?

Пентест надо делать как следует. Это не просто требование ЦБ, а реальный инструмент, который позволяет повысить уровень информационной безопасности. Для тех, кто хочет сэкономить, скажу так: ЦБ не регламентирует формат проведения пентеста. Официального документа нет, методики или даже разъяснений по этому поводу тоже нет. То, что говорится кулуарно, может говориться бесконечно долго, но на сегодняшний день методики нет.

Мы рекомендуем внешнее тестирование и внутреннее хотя бы с дистанционным подключением эксперта. Но хотелось сказать, что сканирование и тестирование —  это немножко разные вещи. Сканирование банк должен выполнять самостоятельно, причём на постоянной основе, а не один раз в год. Про это есть целая группа мер в ГОСТ 57580. Тестирование предполагает помимо сканирования ещё и анализ этих самых уязвимостей, по согласованию с банком их эксплуатации и иные действия, чтобы попасть в инфраструктуру банка дальше и получить доступ к конфиденциальной информации.

Если коротко, методики нет, поэтому каждый делает, как хочет. И если методика когда-нибудь появится, то тогда появятся какие-то рамки, в которых мы будем работать, а пока ничего не понятно.

По ОУД4 нужно ДБО или еще и АБС?

Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 — ДБО точно, АБС возможно, в зависимости от архитектуры.

Банком приобретается новое мобильное приложение, когда надо проводить пентест?

Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.