Оценка соответствия 821-П (бывш. 719-П)

Проверка соответствия процессов компании и ИТ-инфраструктуры требованиям Банка России к безопасности при осуществлении переводов денежных средств

Оценка соответствия 821-П (бывш. 719-П)

Кратко о Положении

Положение Банка России от 17 августа 2023 года 821-П вступило в силу с 1 апреля 2024г. Доку мент описывает требования к защите информации и информационной инфраструктуры при осуществлении переводов денежных средств со стороны Банка России. В Положении появился новый субъект: Оператор электронных платформ, а также появились ссылки на требования других нормативных актов, в частности 757-П и 187-ФЗ

Положение Банка России 821-П

Как проводится аудит

Вариант № 1 — обычная оценка соответствия

  1. Проведение очных интервью с сотрудниками организации, ответственными за:

    • обеспечение ИБ;
    • функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
    • обработку платежной информации.

    В ходе очных интервью аудитор производит выборочную проверку существующих настроек компонентов информационной инфраструктуры (ИИ) и выдает устные рекомендации по улучшению системы ИБ в финансовой организации. Срок от 2 до 10 дней

  2. Анализ полученной информации и подготовка документации по форме ЦБ:

    • определение соответствия пприменяемых мер и используемых средств защиты требованиям № 821-П (бывший 719-П);
    • вычисление итоговых показателей оценки соответствия;
    • формирование итоговой отчетной документации по установленной форме.

    Срок до 20 дней.

Пройти оценку соответствия № 821-П (бывший 719-П)

Вариант № 2 — с предварительной оценкой соответствия

  1. Проведение очных интервью с сотрудниками организации, ответственными за:

    • обеспечение ИБ;
    • функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
    • обработку платежной информации.
  2. Анализ полученной информации:

    • вычисление предварительных итоговых показателей оценки соответствия;
    • формирование отчета о предварительной оценке соответствия, в котором указываются подробные рекомендации по устранению обнаруженных нарушений.
  3. Финальная оценка соответствия

    Проверка проделанной работы по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения № 821-П (бывший 719-П).

  4. Подготовка отчета по форме ЦБ:

    • Вычисление итоговых показателей оценки соответствия.
    • Формирование итоговой отчетной документации по установленной форме.
Пройти оценку соответствия № 821-П (бывший 719-П) с предаудитом

Кому необходима эта услуга

Банки и другие операторы по переводу денежных средств

Компании, обеспечивающие платежную инфраструктуру

Компании, обеспечивающие информационный обмен

Банковские платежные агенты(субагенты)

Сервисы денежных переводов

Продавцы платежных решений

Платежные системы

Агрегаторы

Представители платежной инфраструктуры, работающие, как операционные, платежные и расчетные центры

Операторы электронных платформ

Ключевые требования

  • Обеспечить выполнение требований Положения 683-П, а также обеспечить уровень соответствия ГОСТ 57580.1-2017 не ниже четвертого
  • Выполнять внешнюю оценку соответствия по ГОСТ Р 57580 при помощи лицензиата ФСТЭК по ТЗКИ
  • Определить для банковских платежных агентов (субагентов) необходимость проведения тестирования на проникновение и анализа уязвимостей ИБ объектов информационной инфраструктуры, а также проведения для них оценки соответствия защиты информации, сертификации или оценки соответствия прикладного ПО
  • Провести сертификацию прикладного программного обеспечения автоматизированных систем в соответствии с приказом ФСТЭК России № 131
  • Проверять надежность корпоративной сети с помощью тестирования на проникновения, в случае если для них такие требования установлены Банком или другим ОПДС
  • Обеспечить минимальный уровень защиты согласно ГОСТ 57580.1-2017, который не применялся ранее
  • Обеспечить проведение оценки соответствия защиты информации не реже 1 раза в два года, для БПА осуществляющие функции платежного агрегатора
  • Сертифицировать прикладное ПО не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России № 131, в случае принятия такого решения оператором по переводу денежных средств
  • Построить систему управления рисками информационной безопасности и определить порядок обеспечения защиты информации в платежной системе
  • Выполнять ГОСТ 57580.1-2017 по стандартному уровню защиты информации, а также проводить оценку соответствия не реже чем раз в 2 года
  • Обеспечивать уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
  • Определить порядок проведения работ по разработке, сертификации или оценке соответствия для прикладного ПО, предоставляемого клиентам
  • Обеспечить выполнение стандарта ГОСТ Р 57580 по стандартному или минимальному уровню защиты информации в соответствии с подпунктами 1.4.3 и 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П.
  • Обеспечить уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
  • Обеспечить выполнение технологических мер, указанных в Приложение 2 к Положению Банка России от 17 августа 2023 года N 821-П
  • Обеспечить выполнение стандарта ГОСТ Р 57580 по усиленному уровню защиты информации, при оказании услуг системно значимым платежным системам
  • Обеспечить выполнение стандарта ГОСТ Р 57580 по стандартному уровню защиты информации (в случае не оказания услуг системно значимым платежным системам)
  • Обеспечить уровень соответствия не ниже четвертого по ГОСТ 57580.2-2018
  • Проводить оценку соответствия защиты информации не реже одного раза в два года

Что вы получите

Детализированный отчет о состоянии вашей ИТ-инфраструктуры и процессов ИБ, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018;
Рекомендации по устранению нарушений и несоответствий согласно Положению №821 П и ГОСТ Р 57580;
Внутреннюю нормативную документацию: политики, положения и регламенты;
Консультационную поддержку в процессе оказания услуги;
Рекомендации по заполнению и предоставлению отчетности по форме №0409071.

Кейсы

Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box

Кейс

Специалисты по информационной безопасности ITGLOBAL.COM.Security внедрили процессы по ИБ и привели систему по обеспечению ИБ в соответствие с требованиями ГОСТ Р 57580

История успеха

Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности

История успеха

Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)

Кейс

Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)

История успеха

Экспертиза

Лицензия ФСБ РФ
На деятельность по разработке, производству, распространению шифровальных
Лицензия ФСТЭК РФ
На деятельность по технической защите конфиденциальной информации

Наши клиенты

Связанные решения

Request a Quote

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies