Положение Банка России № 672-П
Основные требования
Положение № 672-П обязывает все финансовые организации соблюдать обязательные требования по обеспечению ИБ платежной информации и персональных данных в соответствии с ГОСТ Р 57580.1-2017. Окончательный срок введения в действие этого требования — 1 июля 2021 года. Оценка выполнения требований нормативно-правового документа после вступления Положения в силу будет проводиться согласно ГОСТ Р 57580.2-2017.
Для выполнения требований к ИБ финансовые структуры обязаны:
- Инсталлировать оборудование ИТ-инфраструктуры, которое задействовано для реализации переводов финансовых средств, в изолированных от другой инфраструктуры секторах либо в выделенных кластерах.
- Обеспечивать защиту конфиденциальной информации финансового характера, которая соответствует второму уровню защищенности. Его также называют стандартным.
- ОПКЦ обязаны применять специальные меры по обеспечению информационной безопасности, которые реализуют первый уровень защищенности. Другое название – усиленный.
- Разработать нормативно-правовую документацию и инструкции, в которых отражены меры по защите информации и порядок их реализации в учреждении. Каждая инструкция подразумевает лист ознакомления сотрудников компании под личную подпись.
- Гарантировать защиту данных при помощи программных и аппаратных СКЗИ в соответствии с положением ПКЗ-2005. Обязательное наличие сертифицированного оборудования.
Новым нормативно-правовым актом финансового регулятора вводятся новые термины для участников платежной системы БР. Появились определения системы срочных и несрочных переводов и ее участников, а также системы быстрых платежей и ее участников.
Сроки введения в действие
Документ принят регулятором 9 января 2019 года и официально опубликован 21 марта 2019 года, вступил в силу 6 апреля 2019 года. Однако согласно нормам, упомянутым в Положении, его отдельные пункты начинают действовать позже. Например, наиболее ранний срок выполнения соответствующих норм для финансовых учреждений платежных систем — 1 июля 2021 года, но для операционных и клиринговых центров документ действует с 6 апреля.
Введенный в действие документ заменил с собой постановление под номером 552-П и отменил его. Следовательно, все нормы документа 552-П являются недействительными, однако в реальности они были перемещены в Договор кредитной организации. Данное соглашение заключается между двумя сторонами: финансовой компанией и БР. Оно гарантирует обмен электронными сообщениями при переводе финансовых средств в рамках требований ПС БР.