Что нужно знать о положении банка России №719-П об обеспечении соответствия

Положение Банка России от 4 июня 2020 г. № 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Данное положение Зарегистрировано в Минюсте 23 сентября 2020 года. Пришло на замену Положения 382-П ЦБ РФ. Содержит повышенные требования к защите информации при переводах денежных средств.

Возникла необходимость в оформлении работ по 719-П? Тогда следует подробнее разобраться с данным положением банка.

Положение Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П).

719-П также как и 382-П устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом 719-П существенно отличается по структуре и описываемому подходу к защите информации от 382-П, таким образом, 719-П нельзя назвать новой редакцией старого положения, это самостоятельный документ, который пришел на смену 382-П (пункт 8.2 отменяет 382-П и все изменения в него с 1 января 2022 года).

Сроки 719-П
719-П вступает в силу с 1 января 2022 года. Отдельные сроки установлены в отношении отдельных положений пункта 5.5, который распространяется на операторов значимых платежных систем. В частности более поздние сроки установлены для требований в отношении применяемых в значимых платежных системах СКЗИ.

В отношении всех остальных требований 719-П установлен единый срок – 1 января 2022 года.

Требования 719-П распространяется на следующие роли в платежных системах:

Оператор по переводу денежных средств (в общем случае — банки)
Банковский платежный агент
Оператор услуг информационного обмена
Поставщики платежных приложений
Оператор платежных систем
Оператор услуг платежной инфраструктуры
Отдельно выделяются:

Банковский платежный агент, осуществляющий операции платежного агрегатора
Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ

Ключевые требования 719-П для банков:

  • Обязательство выполнять требования 683-П;
  • Обеспечить уровень соответствия не ниже 4-го по ГОСТ 57580.1-2017;
  • Проведение оценки соответствия по ГОСТ 57580.2-2018 каждые 2 года;
  • Оценка соответствия проводится лицензиатом ФСТЭК России (проверяющей организацией);
  • Обеспечить сертификацию прикладного ПО не ниже 5-го уровня доверия по Приказу №131 ФСТЭК России. Системно значимые банки – не ниже 4-го уровня доверия. Данная процедура, согласно п.1.1. является альтернативой оценки соответствия ОУД4 (ГОСТ Р ИСО/МЭК 15408-3-2013);
  • Повышенный контроль за банковскими платежными агентами, на которые возложены обязанности по проведению тестирования на проникновение и анализу уязвимостей, сертификации (оценки соответствия по ОУД4);
  • Повышенный контроль за поставщиками платежных приложений, на которые возложены обязанности по сертификации (оценки соответствия по ОУД4);
  • Требования содержательной части 719-П для оператора по переводу денежных средств повторяют требования 382-П, которые не нашли отражения в ГОСТ 57580.1-2017.

Ключевые требования 719-П для банковских платежных агентов
Все банковские платежные агенты должны:

  • Проводить тестирование на проникновение и анализ уязвимостей (пентест)
  • Проводить оценку соответствия защиты информации
  • Сертификацию или оценку соответствия прикладного ПО (самостоятельно или с привлечением проверяющей организации)
  • Обеспечивать реализацию минимального уровня защиты (ранее не применявшегося) по ГОСТ 57580.1-2017

Подводя итог можно сказать, что всем видам участников платежной системы необходимо с 01.01.2022 года соответствовать ГОСТ 57580 не ниже четвертого уровня. Подтвердить соответствие можно оценкой у лицензиата ФСТЭК. Также необходимо применять платежное ПО имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 у проверяющей организации.

Исполнение технологических требований не обязывает привлекать стороннюю организацию. Однако, для их реализации могут потребоваться консультации специалистов высокого уровня, которыми банк, а тем более платежный агент не всегда обладает.