Описание
Центральный Банк РФ официально закрепил новые требования к уровню защиты финансовых переводов. Их регулирует Положение Банка России № 719-П, заменяющее предыдущий аналогичный документ, Положение Банка России № 382-П. Важно понимать — это не дополнение или видоизменение, это отдельный документ с множеством новых требований. И для проверки соответствия им лучше всего обратиться к профессиональным аудиторам по ИБ.
При этом много хорошо знакомых требований Положения 382-П перешли и в Положение 719-П, например, по регистрации доступа к защищаемой информации, или например об ограничениях по параметрам операций.
Воспользовавшись услугой оценки, вы поймете, насколько ваша ИТ-инфраструктура отвечает новым требованиям. По итогам оценки соответствия защиты информации специалисты ITGLOBAL.COM предоставят отчет, оформленный согласно требованиям национального стандарта ГОСТ Р 57580.2 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
Подробнее о положении 719-П
Соответствие 719-П стало обязательным с 1 января 2022 г. Небольшая отсрочка есть только по нескольким отдельным пунктам и только для значимых платежных систем. Но это связано лишь с тем, что требования достаточно сложные — например, для соблюдения требований п. 5.5.необходимо использовать криптографию имеющую подтверждение соответствия требованиям исполнительного органа в области обеспечения безопасности.
Как проводится аудит
Вариант № 1 — обычная оценка соответствия
-
Выезд на обследование
- Изучаем внутреннюю нормативную документацию заказчика.
- Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
- Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
- По итогам аудита предлагаем устные рекомендации по улучшению системы информационной безопасности.
Срок от 2 до 10 дней
-
Подготовка отчета по форме ЦБ
- На основании проведенного анализа определяем, соответствуют ли применяемые меры и используемые средства требованиям Положения.
- Вычисляем итоговые показатели оценки соответствия — R.
- Готовим итоговую отчетную документацию по установленной форме.
Срок до 20 дней
Вариант № 2 — с предварительной оценкой соответствия
-
Выезд на обследование
- Изучаем внутреннюю нормативную документацию заказчика.
- Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
- Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
Срок от 2 до 10 дней
К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.
Подготовка рекомендаций
- Готовим документ, в котором описываем подробные рекомендации по улучшению системы информационной безопасности.
- Ждем от клиента готовности к финальному аудиту.
Срок до 20 дней
Финальная оценка соответствия
Проверяем проделанную заказчиком работу по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения.
Подготовка отчета по форме ЦБ
- Вычисляем итоговые показатели оценки соответствия — R.
- Готовим итоговую отчетную документацию по установленной форме.
Согласно Постановлению 719-П необходимо защищать информацию:
Об остатках денежных средств на счетах
Об остатках электронных денежных средств
О совершенных переводах денежных средств
О платежных клиринговых позициях
О ключевой информации СКЗИ
О данных держателях платежных карт
О ПДн и иная информация, обрабатываемая в результате перевода денежных средств, которую необходимо защищать согласно требованиям законодательства РФ
О параметрах и конфигурации автоматизированных систем, ПО, средств вычислительной техники, используемой для обработки защищаемой информации
Новые требования обязаны соблюдать
Банки и другие операторы по переводу денежных средств
Компании, обеспечивающие платежную инфраструктуру
Компании, обеспечивающие информационный обмен
Банковские платежные агенты(субагенты)
Сервисы денежных переводов
Продавцы платежных решений
Платежные системы
Агрегаторы
Представители платежной инфраструктуры, работающие, как операционные, платежные и расчетные центры
Если ваша организация есть в этом списке, имеет смысл задуматься об оценке соответствия.

Что требуется
- Обеспечить выполнение требований Положения 683-П, а также обеспечить уровень соответствия ГОСТ 57580.1-2017 не ниже четвертого
- Выполнять внешнюю оценку соответствия по ГОСТ Р 57580 при помощи лицензиата ФСТЭК по ТЗКИ
- Определить для банковских платежных агентов (субагентов) необходимость проведения тестирования на проникновение и анализа уязвимостей ИБ объектов информационной инфраструктуры, а также проведения для них оценки соответствия защиты информации, сертификации или оценки соответствия прикладного ПО
- Провести сертификацию прикладного программного обеспечения автоматизированных систем в соответствии с приказом ФСТЭК России № 131
Согласно Положению №719-П, данные требования являются основными и не являются исчерпывающими, для наиболее полного раскрытия всех требований , специалисты ITGLOBAL.COM Security готовы ответить на ваши вопросы.
- Проверять надежность корпоративной сети с помощью тестирования на проникновения, в случае если для них такие требования установлены Банком или другим ОПДС
- Обеспечить минимальный уровень защиты согласно ГОСТ 57580.1-2017, который не применялся ранее
- Обеспечить проведение оценки соответствия защиты информации не реже 1 раза в два года, для БПА осуществляющие функции платежного агрегатора
- Сертифицировать прикладное ПО не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131, в случае принятия такого решения оператором по переводу денежных средств
- Построить систему управления рисками информационной безопасности и определить порядок обеспечения защиты информации в платежной системе
- Выполнять ГОСТ 57580.1-2017 по стандартному уровню защиты информации, а также проводить оценку соответствия не реже чем раз в 2 года
- Обеспечивать уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
- Определить порядок проведения работ по разработке, сертификации или оценке соответствия для прикладного ПО, предоставляемого клиентам
Согласно Положению №719-П, данные требования являются основными но не являются исчерпывающими, а также могут отличаться для операторов платежных систем и информационной обмена. Для наиболее полного раскрытия всех требований, специалисты ITGLOBAL.COM Security готовы ответить на ваши вопросы.
- Обеспечить выполнение стандарта ГОСТ Р 57580 по усиленному уровню защиты информации, при оказании услуг системно значимым платежным системам
- Обеспечить выполнение стандарта ГОСТ Р 57580по стандартому уровню защиты информации (в случае не оказания услуг систмно заничимым платежным системам)
- Обеспечить уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
- Проводить оценку соответствия защиты информации не реже одного раза в два года
Что требуется от всех
Что вы получите
Быструю и профессиональную работу с оперативным предоставлением:
Дополнительно (по запросу):
Кейсы
Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box
Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности
Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)
Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)