Кратко о положении
Положение 802-П пришло на смену Положению 747-П и описывает требования к защите информации в платежной системе Банка России. Под необходимость выполнения требований Положения 802-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей.
Главные отличия от 747-П
-
Добавили тех, на кого еще распространяются требования: прямые участники платежной системы Банка России, являющиеся международными финансовыми организациями.
-
Список объектов информационной инфраструктуры (ИИ) остался прежним, однако расширили применяемые процессы (формирование (подготовка), обработка, передача и хранение) защищаемой информации и информационных сообщений для трансграничной передачи денежных средств с СБП (ТПСБП).
-
Требования о документировании и применении технологических мер теперь распространяются и на Участников СБП.
-
В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:
- криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП;
- криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.
-
В пунктах о мерах по выявлению, устранению и предотвращению компьютерных атак к идентификаторам клиентов участника СБП добавили и клиентов косвенного участника с доступом к ТПСБП.
-
Для этого же случая включили абзац о том, что Участник СБП уведомляет ОПКЦ СБП о блокировке идентификаторов клиентов косвенного участника с доступом к ТПСБП, а также предоставляет ему информацию о проверке косвенным участником.
-
Участники ССНП, участники СБП и ОПКЦ СБП должны направлять информацию в соответствии со следующими нормативными документами:
- № 6060-У;
- № 4926-У.
Вариант № 1 — обычная оценка соответствия
-
Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
В ходе очных интервью аудитор производит выборочную проверку существующих настроек компонентов информационной инфраструктуры (ИИ) и выдает устные рекомендации по улучшению системы ИБ в финансовой организации.
Срок от 2 до 10 дней -
Анализ полученной информации и подготовка документации по форме ЦБ:
- определение соответствия пприменяемых мер и используемых средств защиты требованиям № 802-П (бывший 747-П);
- вычисление итоговых показателей оценки соответствия;
- формирование итоговой отчетной документации по установленной форме.
Срок до 20 дней.
Вариант № 2 — с предварительной оценкой соответствия
-
Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
-
Анализ полученной информации:
- вычисление предварительных итоговых показателей оценки соответствия;
- формирование отчета о предварительной оценке соответствия, в котором указываются подробные рекомендации по устранению обнаруженных нарушений.
-
Финальная оценка соответствия
Проверка проделанной работы по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения № 802-П (бывший 747-П).
-
Подготовка отчета по форме ЦБ:
- Вычисление итоговых показателей оценки соответствия.
- Формирование итоговой отчетной документации по установленной форме.