Обзор Положения 719-П

Обзор Положения 719-П

На замену Положению Банка России 382-П с 1 января 2022 года вступает в силу Положение 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 719-П).

На кого распространяется?

Положение 719-П распространяется на:

  • банковских платежных агентов (субагентов) (БПА);
  • операторов услуг информационного обмена (ОУИО);
  • поставщиков платежных приложений;
  • операторов платежных систем (ОПС);
  • операторов услуг платежной инфраструктуры (ОУПИ);
  • операторов по переводу денежных средств (ОПДС).

Структура документа

Документ состоит из восьми разделов и двух приложений. Для каждой из ролей, определенных в предыдущем пункте, отводится раздел с требованиями к обеспечению защиты информации. Стоит пройтись по каждому из разделов и выделить ключевые моменты.

Раздел: Общие положения

Из раздела можно выделить несколько ключевых требований:

  • реализация уровня защиты информации, определенного ГОСТ 57580.1, и проведение оценки соответствия с привлечением сторонней организации-лицензиата ФСТЭК;
  • ежегодное проведение тестирования на проникновение и анализа уязвимостей;
  • использование программного обеспечения автоматизированных систем (ПО АС) и приложений, прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям не ниже, чем ОУД4;
  • регистрация действий работников и клиентов;
  • выявление и информирование об инцидентах;
  • обеспечение защиты персональных данных в соответствии с 152-ФЗ, а также Приказом ФСТЭК №21;
  • выполнение требований к защите информации с использованием СКЗИ (ссылки на 63-ФЗ, ПКЗ-2005, Приказ ФСБ №378);
  • применение усиленной ЭП при взаимодействии ОПДС, БПА, ОУИО, ОУПИ.

Раздел: Требования к ОПДС, поставщикам платежных приложений (при их привлечении ОПДС)

Раздел довольно обширный, но если вкратце, то ОПДС:

  • обеспечивает выполнение требований Положения 683-П;
  • обеспечивает проведение оценки соответствия не реже одного раза в два года;
  • обеспечивает уровень соответствия не ниже четвертого (выше 0,85);
  • определяет критерии и контролирует БПА в части соблюдения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • устанавливает лимиты на операции и реализует технологические меры (привет из 382-П).

ОПДС, являющиеся системно значимыми, должны обеспечить сертификацию ПО АС и приложений не ниже 4 уровня доверия в соответствии с Приказом ФСТЭК № 131. Остальные ОПДС – не ниже 5 уровня доверия.

В случае, если ОПДС привлекает поставщиков платежных приложений, то последние должны обеспечить соответствие приложений требованиям по разработке, сертификации, оценке соответствия требованиям к защите информации.

Раздел: Требования к БПА (при их привлечении ОПДС)

В настоящем разделе определяются операции, при которых БПА должны обеспечить защиту информации. Вводится роль БПА, осуществляющих операции платежного агрегатора (если обобщенно, то они работают с юридическими лицами). К ним предъявляются дополнительные требования.

Требования для БПА:

  • реализуют минимальный уровень защиты в соответствии с ГОСТ 57580.1;
  • по установленным ОПДС критериям проводят пентест, сертификацию или оценку соответствия ПО АС и приложений (не ниже 6 уровня доверия в соответствии с Приказом ФСТЭК №131);
  • реализуют технологические меры.

Требования для БПА, осуществляющих операции платежного агрегатора:

  • обеспечивают уровень соответствия не ниже четвертого (выше 0,85);
  • обеспечивают проведение оценки соответствия не реже одного раза в два года.

Раздел: Требования к ОУИО

В настоящем разделе определяются операции, при которых ОУИО должны обеспечить защиту информации, и что понимается под защищаемой информацией. Коротко о требованиях:

  • реализация стандартного уровня в соответствии с ГОСТ 57580.1;
  • проведение оценки соответствия не реже одного раза в два года;
  • уровень соответствия не ниже четвертого (выше 0,85);
  • в случае принятия решения о проведении сертификации ПО АС и приложений, обеспечить сертификацию не ниже 5 уровня доверия (по Приказу ФСТЭК №131);
  • реализация технологических мер.

Раздел: Требования к ОПС

Требований к уровню соответствия ГОСТ для ОПС не предусмотрено, однако, имеется ряд иных требований. В основном, это определение порядка обеспечения защиты информации для участников платежной системы. Также определяются требования к операторам значимой платежной системы в части применения СКЗИ. Стоит отметить, что некоторые требования для ОПС вступают в силу с 1 января 2024 года, а пункт по части СКЗИ – с 1 января 2031 года.

Раздел: Требования к ОУПИ

В настоящем разделе определяются операции, при которых ОУПИ должны обеспечить защиту информации, и что понимается под защищаемой информацией. Основные требования:

  • ОУПИ, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем реализуют усиленный уровень защиты информации в соответствии с
  • ГОСТ 57580.1, остальные – стандартный уровень;
  • проведение оценки соответствия не реже одного раза в два года;
  • уровень соответствия не ниже четвертого (выше 0,85);
  • определение необходимости сертификации или проведения оценки соответствия по требованиям ОУД4;
  • в случае, если принято решение по сертификации ПО АС и приложений, то ОУПИ, реализующие усиленный уровень защиты, обеспечивают сертификацию не ниже 4 уровня доверия (по Приказу ФСТЭК №131), а ОУПИ, реализующие стандартный уровень защиты, обеспечивают сертификацию не ниже 5 уровня доверия (по Приказу ФСТЭК №131);
  • реализация технологических мер.

Раздел: Порядок осуществления контроля Центральным Банком

В настоящем разделе определяется порядок контроля Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Если вкратце, то Банк России запрашивает, получает и анализирует информацию в целях контроля, а также проводит проверки и применяет меры к проверяемым организациям.

Раздел: Заключительные положения

В последнем разделе определяются сроки вступления в силу отдельных требований документа. В Приложении 1 к настоящему документу приведен перечень технологических мер, часть которых перекочевала из 382-П. В Приложении 2 приводится таблица технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках.

 

Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее