Обзор положения 672-П

Обзор положения № 672-П

21 марта 2019 г. Министерство Юстиции зарегистрировало Положение, разработанное Центральным Банком России № 672-П «О требованиях к защите информации в платежной системе Банка России» — это нормативно-правовой документ, являющийся обязательным для всех участников платежной системы Банка России. Особенностью этого документа является то, что его требования обязаны выполнять не только банковские учреждения, но и другие участники платежной системы Банка России (ПС БР), то есть банковские и небанковские кредитные организации.

Основные требования

Положение определяет, что требования к защите информации, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации.

Положение № 672-П обязывает участников обмена:

  • Размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – ССНП), а также с использованием сервиса быстрых платежей (далее – СБП), в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
  • В выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г.
  • Разработать комплект внутренних нормативных документов, определяющих порядок обеспечения защиты информации при осуществлении переводов денежных средств.
  • Внутренние нормативные документы, должны определять состав и порядок применения организационных и технических мер защиты информации, и должны приниматься в рамках процессов, определенных в ГОСТ Р 57580.1-2017.
  • Осуществлять защиту информации с помощью СКЗИ, в соответствии с ПКЗ-2005.
  • Обеспечивать регистрацию информации, связанной с действиями клиентов участников СБП.
  • Осуществлять формирование и подписание электронных сообщений участника ССНП в информационной инфраструктуре (автоматизированной системе).
  • Осуществлять прием и передачу электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. При обмене применять электронную подпись, сертификат ключа проверки, который выдан Банком России. Осуществлять хранение входящих и исходящих электронных сообщений не менее пяти лет.
  • Реализовывать меры по противодействию осуществления переводов денежных средств без согласия клиента с использованием сервиса быстрых платежей.
  • Информировать Банк России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, которые привели или могут привести к осуществлению перевода без согласия клиента или к неоказанию услуг по переводу денежных средств.
  • Проводить оценку соответствия не реже одного раза в два года, начиная с 01.07.2021 года, а также по требованию Банка России. Оценка соответствия должна проводиться в соответствии с положениями национального стандарта ГОСТ Р 57580.2-2018 г. Предоставлять результаты оценки соответствия, согласно требованиям, к содержанию и периодичности предоставления информации установленным Указанием Банка России от 09.06.2012 г, № 2831-У.

Что же нового следует из данных обязательств?

Положением № 672-П Банк России вводит определения системы срочных и несрочных переводов (ССНП), а также системы быстрых платежей (СБП).

Появились требования размещать объекты информационной инфраструктуры в выделенных сегментах и в выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г. В то время как в других положения Банка России порядок применения организационных и технических мер защиты указан был в самих положениях. К примеру, Положение Банка России № 382-П, в котором также имелась методика и форма проведения оценки соответствия.

Отдельно приложением к Положению Банка России определены Правила материально – технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, и правила обработки и контроля электронных сообщений. В приложении к Положению вводятся понятия контуров:

  • Формирования электронных сообщений и контроля реквизитов;
  • Контур обработки электронных сообщений и контур контроля реквизитов.

Для каждого из контуров установлены правила, которые жестко регламентирую формирование электронных сообщений и их обработку.

В заключении хотелось бы обратить внимание, что введенный в действие документ заменил с собой Положение Банка России № 552-П от 24 августа 2016 г. «Положение о требованиях к защите информации в Платежной Системе Банка России» и отменил его. Но в то же время, все нормы и требования, указанные в Положении №552-П перенесены в Договор между финансовой компанией и Банком России об обмене электронными сообщениями при переводе денежных средств в Платежной Системе Банка России.

Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Аудит ЕБС (приказ № 321 Минкомсвязи России)

Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №321 Минкомсвязи России

Подробнее

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее