Положение Банка России № 672-П
Положение Банка России № 672-П «О требованиях к ЗИ в платежной системе Банка России» — это нормативно-правовой документ, являющийся обязательным для любого участника платежно-финансовой системы Банка России. Все требования, указанные в данном Положении, обязательны к исполнению не только банковскими учреждениями, но и другими участниками ПС БР, то есть любыми банковскими и небанковскими кредитными организациями.
[text_with_btn btn=»Узнать больше» link=»https://itglobal.com/ru-ru/services/info-security/conformity-assessment-382-p/»]Оценка соответствия положению[/text_with_btn]Основные требования
Положение № 672-П обязывает все финансовые организации соблюдать обязательные требования по обеспечению ИБ платежной информации и персональных данных в соответствии с ГОСТ Р 57580.1-2017. Окончательный срок введения в действие этого требования — 1 июля 2021 года. Оценка выполнения требований нормативно-правового документа после вступления Положения в силу будет проводиться согласно ГОСТ Р 57580.2-2017.
Для выполнения требований к ИБ финансовые структуры обязаны:
- Инсталлировать оборудование ИТ-инфраструктуры, которое задействовано для реализации переводов финансовых средств, в изолированных от другой инфраструктуры секторах либо в выделенных кластерах.
- Обеспечивать защиту конфиденциальной информации финансового характера, которая соответствует второму уровню защищенности. Его также называют стандартным.
- ОПКЦ обязаны применять специальные меры по обеспечению информационной безопасности, которые реализуют первый уровень защищенности. Другое название – усиленный.
- Разработать нормативно-правовую документацию и инструкции, в которых отражены меры по защите информации и порядок их реализации в учреждении. Каждая инструкция подразумевает лист ознакомления сотрудников компании под личную подпись.
- Гарантировать защиту данных при помощи программных и аппаратных СКЗИ в соответствии с положением ПКЗ-2005. Обязательное наличие сертифицированного оборудования.
Новым нормативно-правовым актом финансового регулятора вводятся новые термины для участников платежной системы БР. Появились определения системы срочных и несрочных переводов и ее участников, а также системы быстрых платежей и ее участников.
Сроки введения в действие
Документ принят регулятором 9 января 2019 года и официально опубликован 21 марта 2019 года, вступил в силу 6 апреля 2019 года. Однако согласно нормам, упомянутым в Положении, его отдельные пункты начинают действовать позже. Например, наиболее ранний срок выполнения соответствующих норм для финансовых учреждений платежных систем — 1 июля 2021 года, но для операционных и клиринговых центров документ действует с 6 апреля.
Введенный в действие документ заменил с собой постановление под номером 552-П и отменил его. Следовательно, все нормы документа 552-П являются недействительными, однако в реальности они были перемещены в Договор кредитной организации. Данное соглашение заключается между двумя сторонами: финансовой компанией и БР. Оно гарантирует обмен электронными сообщениями при переводе финансовых средств в рамках требований ПС БР.