Обзор положения № 672-П

Положение 672-П утратило силу.
3 февраля 2021 года Минюстом России зарегистрировано новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России».

21 марта 2019 г. Министерство Юстиции зарегистрировало Положение, разработанное Центральным Банком России № 672-П «О требованиях к защите информации в платежной системе Банка России» — это нормативно-правовой документ, являющийся обязательным для всех участников платежной системы Банка России. Особенностью этого документа является то, что его требования обязаны выполнять не только банковские учреждения, но и другие участники платежной системы Банка России (ПС БР), то есть банковские и небанковские кредитные организации.

Основные требования

Положение определяет, что требования к защите информации, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации.

Положение № 672-П обязывает участников обмена:

• Размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – ССНП), а также с использованием сервиса быстрых платежей (далее – СБП), в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
• В выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г.
• Разработать комплект внутренних нормативных документов, определяющих порядок обеспечения защиты информации при осуществлении переводов денежных средств.
• Внутренние нормативные документы, должны определять состав и порядок применения организационных и технических мер защиты информации, и должны приниматься в рамках процессов, определенных в ГОСТ Р 57580.1-2017.
• Осуществлять защиту информации с помощью СКЗИ, в соответствии с ПКЗ-2005.
• Обеспечивать регистрацию информации, связанной с действиями клиентов участников СБП.
• Осуществлять формирование и подписание электронных сообщений участника ССНП в информационной инфраструктуре (автоматизированной системе).
• Осуществлять прием и передачу электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. При обмене применять электронную подпись, сертификат ключа проверки, который выдан Банком России. Осуществлять хранение входящих и исходящих электронных сообщений не менее пяти лет.
• Реализовывать меры по противодействию осуществления переводов денежных средств без согласия клиента с использованием сервиса быстрых платежей.
• Информировать Банк России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, которые привели или могут привести к осуществлению перевода без согласия клиента или к неоказанию услуг по переводу денежных средств.
• Проводить оценку соответствия не реже одного раза в два года, начиная с 01.07.2021 года, а также по требованию Банка России. Оценка соответствия должна проводиться в соответствии с положениями национального стандарта ГОСТ Р 57580.2-2018 г. Предоставлять результаты оценки соответствия, согласно требованиям, к содержанию и периодичности предоставления информации установленным Указанием Банка России от 09.06.2012 г, № 2831-У.

Что же нового следует из данных обязательств?

Положением № 672-П Банк России вводит определения системы срочных и несрочных переводов (ССНП), а также системы быстрых платежей (СБП).

Появились требования размещать объекты информационной инфраструктуры в выделенных сегментах и в выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г. В то время как в других положения Банка России порядок применения организационных и технических мер защиты указан был в самих положениях. К примеру, Положение Банка России № 382-П, в котором также имелась методика и форма проведения оценки соответствия.

Отдельно приложением к Положению Банка России определены Правила материально – технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, и правила обработки и контроля электронных сообщений. В приложении к Положению вводятся понятия контуров:

• Формирования электронных сообщений и контроля реквизитов;
• Контур обработки электронных сообщений и контур контроля реквизитов.

Для каждого из контуров установлены правила, которые жестко регламентирую формирование электронных сообщений и их обработку.

В заключении хотелось бы обратить внимание, что введенный в действие документ заменил с собой Положение Банка России № 552-П от 24 августа 2016 г. «Положение о требованиях к защите информации в Платежной Системе Банка России» и отменил его. Но в то же время, все нормы и требования, указанные в Положении №552-П перенесены в Договор между финансовой компанией и Банком России об обмене электронными сообщениями при переводе денежных средств в Платежной Системе Банка России.