Оценка соответствия 719-П (бывший 382-П)

Проверка соответствия ИТ-инфраструктуры новым требованиям Банка России к безопасности денежных переводов.

Оценка соответствия  719-П (бывший 382-П)

Описание

Центральный Банк РФ официально закрепил новые требования к уровню защиты финансовых переводов. Их регулирует Положение Банка России № 719-П, заменяющее предыдущий аналогичный документ, Положение Банка России № 382-П. Важно понимать — это не дополнение или видоизменение, это отдельный документ с множеством новых требований. И для проверки соответствия им лучше всего обратиться к профессиональным аудиторам по ИБ.

При этом много хорошо знакомых требований Положения 382-П перешли и в Положение 719-П, например, по регистрации доступа к защищаемой информации, или например об ограничениях по параметрам операций.

Воспользовавшись услугой оценки, вы поймете, насколько ваша ИТ-инфраструктура отвечает новым требованиям. По итогам оценки соответствия защиты информации специалисты ITGLOBAL.COM предоставят отчет, оформленный согласно требованиям национального стандарта ГОСТ Р 57580.2 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Пройти обычную оценку соответствия

Подробнее о положении 719-П

Соответствие 719-П стало обязательным с 1 января 2022 г. Небольшая отсрочка есть только по нескольким отдельным пунктам и только для значимых платежных систем. Но это связано лишь с тем, что требования достаточно сложные — например, для соблюдения требований п. 5.5.необходимо использовать криптографию имеющую подтверждение соответствия требованиям исполнительного органа в области обеспечения безопасности.

Положение Банка России №719

Как проводится аудит

Вариант № 1 — обычная оценка соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика.
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
    • По итогам аудита предлагаем устные рекомендации по улучшению системы информационной безопасности.

    Срок от 2 до 10 дней

  2. Подготовка отчета по форме ЦБ

    • На основании проведенного анализа определяем, соответствуют ли применяемые меры и используемые средства требованиям Положения.
    • Вычисляем итоговые показатели оценки соответствия — R.
    • Готовим итоговую отчетную документацию по установленной форме.

    Срок до 20 дней

Вариант № 2 — с предварительной оценкой соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика.
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.

    Срок от 2 до 10 дней

    К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.

    Подготовка рекомендаций

    • Готовим документ, в котором описываем подробные рекомендации по улучшению системы информационной безопасности.
    • Ждем от клиента готовности к финальному аудиту.

    Срок до 20 дней

Финальная оценка соответствия

Проверяем проделанную заказчиком работу по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения.

Подготовка отчета по форме ЦБ

  • Вычисляем итоговые показатели оценки соответствия — R.
  • Готовим итоговую отчетную документацию по установленной форме.
Пройти оценку соответствия с предаудитом

Согласно Постановлению 719-П необходимо защищать информацию:

Об остатках денежных средств на счетах

Об остатках электронных денежных средств

О совершенных переводах денежных средств

О платежных клиринговых позициях

О ключевой информации СКЗИ

О данных держателях платежных карт

О ПДн и иная информация, обрабатываемая в результате перевода денежных средств, которую необходимо защищать согласно требованиям законодательства РФ

О параметрах и конфигурации автоматизированных систем, ПО, средств вычислительной техники, используемой для обработки защищаемой информации

К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и лучших мировых практик
Остались вопросы?

Новые требования обязаны соблюдать

Банки и другие операторы по переводу денежных средств

Компании, обеспечивающие платежную инфраструктуру

Компании, обеспечивающие информационный обмен

Банковские платежные агенты(субагенты)

Сервисы денежных переводов

Продавцы платежных решений

Платежные системы

Агрегаторы

Представители платежной инфраструктуры, работающие, как операционные, платежные и расчетные центры

Если ваша организация есть в этом списке, имеет смысл задуматься об оценке соответствия.

Что требуется

  • Обеспечить выполнение требований Положения 683-П, а также обеспечить уровень соответствия ГОСТ 57580.1-2017 не ниже четвертого
  • Выполнять внешнюю оценку соответствия по ГОСТ Р 57580 при помощи лицензиата ФСТЭК по ТЗКИ
  • Определить для банковских платежных агентов (субагентов) необходимость проведения тестирования на проникновение и анализа уязвимостей ИБ объектов информационной инфраструктуры, а также проведения для них оценки соответствия защиты информации, сертификации или оценки соответствия прикладного ПО
  • Провести сертификацию прикладного программного обеспечения автоматизированных систем в соответствии с приказом ФСТЭК России № 131

Согласно Положению №719-П, данные требования являются основными и не являются исчерпывающими, для наиболее полного раскрытия всех требований , специалисты ITGLOBAL.COM Security готовы ответить на ваши вопросы.

  • Проверять надежность корпоративной сети с помощью тестирования на проникновения, в случае если для них такие требования установлены Банком или другим ОПДС
  • Обеспечить минимальный уровень защиты согласно ГОСТ 57580.1-2017, который не применялся ранее
  • Обеспечить проведение оценки соответствия защиты информации не реже 1 раза в два года, для БПА осуществляющие функции платежного агрегатора
  • Сертифицировать прикладное ПО не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131, в случае принятия такого решения оператором по переводу денежных средств
  • Построить систему управления рисками информационной безопасности и определить порядок обеспечения защиты информации в платежной системе
  • Выполнять ГОСТ 57580.1-2017 по стандартному уровню защиты информации, а также проводить оценку соответствия не реже чем раз в 2 года
  • Обеспечивать уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
  • Определить порядок проведения работ по разработке, сертификации или оценке соответствия для прикладного ПО, предоставляемого клиентам

Согласно Положению №719-П, данные требования являются основными но не являются исчерпывающими, а также могут отличаться для операторов платежных систем и информационной обмена. Для наиболее полного раскрытия всех требований, специалисты ITGLOBAL.COM Security готовы ответить на ваши вопросы.

  • Обеспечить выполнение стандарта ГОСТ Р 57580 по усиленному уровню защиты информации, при оказании услуг системно значимым платежным системам
  • Обеспечить выполнение стандарта ГОСТ Р 57580по стандартому уровню защиты информации (в случае не оказания услуг систмно заничимым платежным системам)
  • Обеспечить уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
  • Проводить оценку соответствия защиты информации не реже одного раза в два года

Что требуется от всех

В соответствии с Положением 719-П, оценку соответствия должна проводить сторонняя организация с лицензией ФСТЭК на ТЗКИ с пунктами «Б», «Д» или «Е». У ITGLOBAL.COM есть все необходимые документы, консультация бесплатна, а качественную поддержку вы будете получать на протяжении всей работы.
Нужно обеспечить соответствие ГОСТ 57580 не ниже четвертого уровня (оценка не ниже 0,86). Чтобы подтвердить его, можно обратиться за оценкой к лицензиату ФСТЭК по ТЗКИ.

Что вы получите

Быструю и профессиональную работу с оперативным предоставлением:

итоговых числовых оценок соответствия;
отчета согласно установленной формы (в соответствии с ГОСТ Р 57580.2-2018);
рекомендаций по совершенствованию системы ЗИ.

Дополнительно (по запросу):

разработка модели угроз;
разработка документации: политик, регламентов;
внедрение необходимых процессов ИБ.

Кейсы

Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box

Кейс

Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности

История успеха

Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)

Кейс

Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)

История успеха

Экспертиза

Лицензия ФСБ РФ
На деятельность по разработке, производству, распространению шифровальных
Лицензия ФСТЭК РФ
На деятельность по технической защите конфиденциальной информации

Наши клиенты

Связанные решения

Заказать услугу

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies