Обзор положения № 672-П
12 Окт 2020
Положение 672-П утратило силу.
3 февраля 2021 года Минюстом России зарегистрировано новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России».
21 марта 2019 г. Министерство Юстиции зарегистрировало Положение, разработанное Центральным Банком России № 672-П «О требованиях к защите информации в платежной системе Банка России» — это нормативно-правовой документ, являющийся обязательным для всех участников платежной системы Банка России. Особенностью этого документа является то, что его требования обязаны выполнять не только банковские учреждения, но и другие участники платежной системы Банка России (ПС БР), то есть банковские и небанковские кредитные организации.
Основные требования
Положение определяет, что требования к защите информации, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации.
Положение № 672-П обязывает участников обмена:
- Размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – ССНП), а также с использованием сервиса быстрых платежей (далее – СБП), в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
- В выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г.
- Разработать комплект внутренних нормативных документов, определяющих порядок обеспечения защиты информации при осуществлении переводов денежных средств.
- Внутренние нормативные документы, должны определять состав и порядок применения организационных и технических мер защиты информации, и должны приниматься в рамках процессов, определенных в ГОСТ Р 57580.1-2017.
- Осуществлять защиту информации с помощью СКЗИ, в соответствии с ПКЗ-2005.
- Обеспечивать регистрацию информации, связанной с действиями клиентов участников СБП.
- Осуществлять формирование и подписание электронных сообщений участника ССНП в информационной инфраструктуре (автоматизированной системе).
- Осуществлять прием и передачу электронных сообщений участника ССНП с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. При обмене применять электронную подпись, сертификат ключа проверки, который выдан Банком России. Осуществлять хранение входящих и исходящих электронных сообщений не менее пяти лет.
- Реализовывать меры по противодействию осуществления переводов денежных средств без согласия клиента с использованием сервиса быстрых платежей.
- Информировать Банк России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, которые привели или могут привести к осуществлению перевода без согласия клиента или к неоказанию услуг по переводу денежных средств.
- Проводить оценку соответствия не реже одного раза в два года, начиная с 01.07.2021 года, а также по требованию Банка России. Оценка соответствия должна проводиться в соответствии с положениями национального стандарта ГОСТ Р 57580.2-2018 г. Предоставлять результаты оценки соответствия, согласно требованиям, к содержанию и периодичности предоставления информации установленным Указанием Банка России от 09.06.2012 г, № 2831-У.
Что же нового следует из данных обязательств?
Положением № 672-П Банк России вводит определения системы срочных и несрочных переводов (ССНП), а также системы быстрых платежей (СБП).
Появились требования размещать объекты информационной инфраструктуры в выделенных сегментах и в выделенных сегментах применять меры защиты информации, реализующие стандартный уровень защиты информации, определенный ГОСТ Р 57580.1-2017 г. В то время как в других положения Банка России порядок применения организационных и технических мер защиты указан был в самих положениях. К примеру, Положение Банка России № 382-П, в котором также имелась методика и форма проведения оценки соответствия.
Отдельно приложением к Положению Банка России определены Правила материально – технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, и правила обработки и контроля электронных сообщений. В приложении к Положению вводятся понятия контуров:
- Формирования электронных сообщений и контроля реквизитов;
- Контур обработки электронных сообщений и контур контроля реквизитов.
Для каждого из контуров установлены правила, которые жестко регламентирую формирование электронных сообщений и их обработку.
В заключении хотелось бы обратить внимание, что введенный в действие документ заменил с собой Положение Банка России № 552-П от 24 августа 2016 г. «Положение о требованиях к защите информации в Платежной Системе Банка России» и отменил его. Но в то же время, все нормы и требования, указанные в Положении №552-П перенесены в Договор между финансовой компанией и Банком России об обмене электронными сообщениями при переводе денежных средств в Платежной Системе Банка России.
Услуги для Вас
Оценка соответствия по 802-П (747-П)
Оценка соответствия требованиям Положения Банка России № 802-П (№ 747-П)
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееАудит ЕБС (приказ № 930 Минкомсвязи России)
Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №930 Минкомсвязи России
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
Подробнее