Обзор Положения 719-П
7 Дек 2020
На замену Положению Банка России 382-П с 1 января 2022 года вступает в силу Положение 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 719-П).
На кого распространяется?
Положение 719-П распространяется на:
- банковских платежных агентов (субагентов) (БПА);
- операторов услуг информационного обмена (ОУИО);
- поставщиков платежных приложений;
- операторов платежных систем (ОПС);
- операторов услуг платежной инфраструктуры (ОУПИ);
- операторов по переводу денежных средств (ОПДС).
Структура документа
Документ состоит из восьми разделов и двух приложений. Для каждой из ролей, определенных в предыдущем пункте, отводится раздел с требованиями к обеспечению защиты информации. Стоит пройтись по каждому из разделов и выделить ключевые моменты.
Раздел: Общие положения
Из раздела можно выделить несколько ключевых требований:
- реализация уровня защиты информации, определенного ГОСТ 57580.1, и проведение оценки соответствия с привлечением сторонней организации-лицензиата ФСТЭК;
- ежегодное проведение тестирования на проникновение и анализа уязвимостей;
- использование программного обеспечения автоматизированных систем (ПО АС) и приложений, прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям не ниже, чем ОУД4;
- регистрация действий работников и клиентов;
- выявление и информирование об инцидентах;
- обеспечение защиты персональных данных в соответствии с 152-ФЗ, а также Приказом ФСТЭК №21;
- выполнение требований к защите информации с использованием СКЗИ (ссылки на 63-ФЗ, ПКЗ-2005, Приказ ФСБ №378);
- применение усиленной ЭП при взаимодействии ОПДС, БПА, ОУИО, ОУПИ.
Раздел: Требования к ОПДС, поставщикам платежных приложений (при их привлечении ОПДС)
Раздел довольно обширный, но если вкратце, то ОПДС:
- обеспечивает выполнение требований Положения 683-П;
- обеспечивает проведение оценки соответствия не реже одного раза в два года;
- обеспечивает уровень соответствия не ниже четвертого (выше 0,85);
- определяет критерии и контролирует БПА в части соблюдения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
- устанавливает лимиты на операции и реализует технологические меры (привет из 382-П).
ОПДС, являющиеся системно значимыми, должны обеспечить сертификацию ПО АС и приложений не ниже 4 уровня доверия в соответствии с Приказом ФСТЭК № 131. Остальные ОПДС – не ниже 5 уровня доверия.
В случае, если ОПДС привлекает поставщиков платежных приложений, то последние должны обеспечить соответствие приложений требованиям по разработке, сертификации, оценке соответствия требованиям к защите информации.
Раздел: Требования к БПА (при их привлечении ОПДС)
В настоящем разделе определяются операции, при которых БПА должны обеспечить защиту информации. Вводится роль БПА, осуществляющих операции платежного агрегатора (если обобщенно, то они работают с юридическими лицами). К ним предъявляются дополнительные требования.
Требования для БПА:
- реализуют минимальный уровень защиты в соответствии с ГОСТ 57580.1;
- по установленным ОПДС критериям проводят пентест, сертификацию или оценку соответствия ПО АС и приложений (не ниже 6 уровня доверия в соответствии с Приказом ФСТЭК №131);
- реализуют технологические меры.
Требования для БПА, осуществляющих операции платежного агрегатора:
- обеспечивают уровень соответствия не ниже четвертого (выше 0,85);
- обеспечивают проведение оценки соответствия не реже одного раза в два года.
Раздел: Требования к ОУИО
В настоящем разделе определяются операции, при которых ОУИО должны обеспечить защиту информации, и что понимается под защищаемой информацией. Коротко о требованиях:
- реализация стандартного уровня в соответствии с ГОСТ 57580.1;
- проведение оценки соответствия не реже одного раза в два года;
- уровень соответствия не ниже четвертого (выше 0,85);
- в случае принятия решения о проведении сертификации ПО АС и приложений, обеспечить сертификацию не ниже 5 уровня доверия (по Приказу ФСТЭК №131);
- реализация технологических мер.
Раздел: Требования к ОПС
Требований к уровню соответствия ГОСТ для ОПС не предусмотрено, однако, имеется ряд иных требований. В основном, это определение порядка обеспечения защиты информации для участников платежной системы. Также определяются требования к операторам значимой платежной системы в части применения СКЗИ. Стоит отметить, что некоторые требования для ОПС вступают в силу с 1 января 2024 года, а пункт по части СКЗИ – с 1 января 2031 года.
Раздел: Требования к ОУПИ
В настоящем разделе определяются операции, при которых ОУПИ должны обеспечить защиту информации, и что понимается под защищаемой информацией. Основные требования:
- ОУПИ, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем реализуют усиленный уровень защиты информации в соответствии с
- ГОСТ 57580.1, остальные – стандартный уровень;
- проведение оценки соответствия не реже одного раза в два года;
- уровень соответствия не ниже четвертого (выше 0,85);
- определение необходимости сертификации или проведения оценки соответствия по требованиям ОУД4;
- в случае, если принято решение по сертификации ПО АС и приложений, то ОУПИ, реализующие усиленный уровень защиты, обеспечивают сертификацию не ниже 4 уровня доверия (по Приказу ФСТЭК №131), а ОУПИ, реализующие стандартный уровень защиты, обеспечивают сертификацию не ниже 5 уровня доверия (по Приказу ФСТЭК №131);
- реализация технологических мер.
Раздел: Порядок осуществления контроля Центральным Банком
В настоящем разделе определяется порядок контроля Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Если вкратце, то Банк России запрашивает, получает и анализирует информацию в целях контроля, а также проводит проверки и применяет меры к проверяемым организациям.
Раздел: Заключительные положения
В последнем разделе определяются сроки вступления в силу отдельных требований документа. В Приложении 1 к настоящему документу приведен перечень технологических мер, часть которых перекочевала из 382-П. В Приложении 2 приводится таблица технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках.
Услуги для Вас
Оценка соответствия по 719-П
Оценка соответствия требованиям Положения Банка России №719-П
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 672-П (747-П)
Оценка соответствия требованиям Положения Банка России №672-П (747-П)
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
Подробнее