Кратко о положении
Положение 802-П пришло на смену Положению 747-П и описывает требования к защите информации в платежной системе Банка России. Под необходимость выполнения требований Положения 802-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей.
Главные отличия от 747-П
-
Добавили тех, на кого еще распространяются требования: прямые участники платежной системы Банка России, являющиеся международными финансовыми организациями.
-
Список объектов информационной инфраструктуры (ИИ) остался прежним, однако расширили применяемые процессы (формирование (подготовка), обработка, передача и хранение) защищаемой информации и информационных сообщений для трансграничной передачи денежных средств с СБП (ТПСБП).
-
Требования о документировании и применении технологических мер теперь распространяются и на Участников СБП.
-
В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:
- криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП;
- криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.
-
В пунктах о мерах по выявлению, устранению и предотвращению компьютерных атак к идентификаторам клиентов участника СБП добавили и клиентов косвенного участника с доступом к ТПСБП.
-
Для этого же случая включили абзац о том, что Участник СБП уведомляет ОПКЦ СБП о блокировке идентификаторов клиентов косвенного участника с доступом к ТПСБП, а также предоставляет ему информацию о проверке косвенным участником.
-
Участники ССНП, участники СБП и ОПКЦ СБП должны направлять информацию в соответствии со следующими нормативными документами:
- № 6060-У;
- № 4926-У.
Как проводится аудит
Вариант № 1 — обычная оценка соответствия
-
Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
В ходе очных интервью аудитор производит выборочную проверку существующих настроек компонентов информационной инфраструктуры (ИИ) и выдает устные рекомендации по улучшению системы ИБ в финансовой организации. Срок от 2 до 10 дней
-
Анализ полученной информации и подготовка документации по форме ЦБ:
- определение соответствия пприменяемых мер и используемых средств защиты требованиям № 802-П (бывший 747-П);
- вычисление итоговых показателей оценки соответствия;
- формирование итоговой отчетной документации по установленной форме.
Срок до 20 дней.
Вариант № 2 — с предварительной оценкой соответствия
-
Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
-
Анализ полученной информации:
- вычисление предварительных итоговых показателей оценки соответствия;
- формирование отчета о предварительной оценке соответствия, в котором указываются подробные рекомендации по устранению обнаруженных нарушений.
-
Финальная оценка соответствия
Проверка проделанной работы по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения № 802-П (бывший 747-П).
-
Подготовка отчета по форме ЦБ:
- Вычисление итоговых показателей оценки соответствия.
- Формирование итоговой отчетной документации по установленной форме.
Что вы получите
Кейсы
Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box
Специалисты по информационной безопасности ITGLOBAL.COM.Security внедрили процессы по ИБ и привели систему по обеспечению ИБ в соответствие с требованиями ГОСТ Р 57580
Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности
Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)
Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)