Оценка соответствия № 802-П (бывший 747-П)

Проверка соответствия финансовой организации требованиям Положения Банка России № 802-П (бывший 747-П) по методологии согласно стандарту ГОСТ Р 57580

Кратко о положении

Положение 802-П пришло на смену Положению 747-П и описывает требования к защите информации в платежной системе Банка России. Под необходимость выполнения требований Положения 802-П попадают все прямые участники платежной системы Банка России и операторы, использующие в осуществлении своей деятельности сервис быстрых платежей.

Положение Банка России №802

Скачать

Главные отличия от 747-П

Добавили тех, на кого еще распространяются требования: прямые участники платежной системы Банка России, являющиеся международными финансовыми организациями.
Список объектов информационной инфраструктуры (ИИ) остался прежним, однако расширили применяемые процессы (формирование (подготовка), обработка, передача и хранение) защищаемой информации и информационных сообщений для трансграничной передачи денежных средств с СБП (ТПСБП).
Требования о документировании и применении технологических мер теперь распространяются и на Участников СБП.
В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:
- криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП;
- криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.
В пунктах о мерах по выявлению, устранению и предотвращению компьютерных атак к идентификаторам клиентов участника СБП добавили и клиентов косвенного участника с доступом к ТПСБП.
Для этого же случая включили абзац о том, что Участник СБП уведомляет ОПКЦ СБП о блокировке идентификаторов клиентов косвенного участника с доступом к ТПСБП, а также предоставляет ему информацию о проверке косвенным участником.
Участники ССНП, участники СБП и ОПКЦ СБП должны направлять информацию в соответствии со следующими нормативными документами:
- № 6060-У;
- № 4926-У.

Получить консультацию

Как проводится аудит

Вариант № 1 — обычная оценка соответствия

Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
В ходе очных интервью аудитор производит выборочную проверку существующих настроек компонентов информационной инфраструктуры (ИИ) и выдает устные рекомендации по улучшению системы ИБ в финансовой организации. Срок от 2 до 10 дней
Анализ полученной информации и подготовка документации по форме ЦБ:
- определение соответствия пприменяемых мер и используемых средств защиты требованиям № 802-П (бывший 747-П);
- вычисление итоговых показателей оценки соответствия;
- формирование итоговой отчетной документации по установленной форме.
Срок до 20 дней.

Пройти оценку соответствия № 802-П (бывший 747-П)

Вариант № 2 — с предварительной оценкой соответствия

Проведение очных интервью с сотрудниками организации, ответственными за:
- обеспечение ИБ;
- функционирование и администрирование информационных систем (ИС), участвующих в переводах денежных средств;
- обработку платежной информации.
Анализ полученной информации:
- вычисление предварительных итоговых показателей оценки соответствия;
- формирование отчета о предварительной оценке соответствия, в котором указываются подробные рекомендации по устранению обнаруженных нарушений.
Финальная оценка соответствия

Проверка проделанной работы по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения № 802-П (бывший 747-П).
Подготовка отчета по форме ЦБ:
- Вычисление итоговых показателей оценки соответствия.
- Формирование итоговой отчетной документации по установленной форме.

Пройти оценку соответствия № 802-П (бывший 747-П) с предаудитом

Что вы получите

Детализированный отчет о состоянии вашей ИТ-инфраструктуры и процессов ИБ, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018;

Рекомендации по устранению нарушений и несоответствий согласно Положению №802П и ГОСТ Р 57580;

Внутреннюю нормативную документацию: политики, положения и регламенты;

Консультационную поддержку в процессе оказания услуги;

Рекомендации по заполнению и предоставлению отчетности по форме №0409071.

Кейсы

Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box

Кейс

Читать

Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности

История успеха

Читать

Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)

Кейс

Читать

Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)

История успеха

Читать