Обзор Положения 802-П и отличия от старого 747-П

10 декабря 2022 года Положение 802-П вступило в силу, заменяя тем самым 747-П.
29.11.22 г. Цетробанк опубликовал новое Положение №802-П «О требованиях к защите информации в платёжной системе Банков России», которое касается всех прямых участников платежной системы Банка России и операторов, использующих в осуществлении своей деятельности сервис быстрых платежей.

Общий обзор положения

Рассматриваемое положение является одним из распорядительных документов, выпускаемых Центральном Банком России для осуществления регуляции в ограниченной области правовых отношений. Требования, изложенные в документе, обязательны к исполнению указанными в нем сторонами и являются основополагающими правилами организации доступа к Платежной Системе Банка России и, в частности, к Системе Быстрых Платежей (далее — СБП).

Область регуляции

Утвержденное Банком России положение №802-П является основополагающим нормативным документом, используемым регулятором для осуществления контроля за деятельностью участников Системы Быстрых Платежей в сфере организации системы взаимодействия и эксплуатации СБП. Подавляющее число требований относится к области обеспечения информационной безопасности в рассматриваемой инфраструктуре, выделенной для взаимодействия с Центральным Банком России. Иные требования изложенные в документе касаются порядка реагирования на внештатные ситуации, требующие разбирательства и порядок взаимодействия (оповещения) Банка России о возникших инцидентах.

Особенности

Среди общих требований к информационной безопасности можно выделить упоминаемое и в иных положениях Центрального Банка требование об обеспечении стандартного уровня защиты по ГОСТ 557580.1 и достижение определенного уровня соответствия (4 УС) согласно ГОСТ 57580.2. Также, среди всех требований можно выделить следующие основные группы:

• Определяющие порядок использования криптографических средств защиты
• Устанавливающие порядок реагирования на инциденты защиты и порядок оповещения Банка России
• Обуславливающие порядок обеспечения информационной безопасности выделенной инфраструктуры и требования по регламентации процессов системы защиты информации

На что стоит обратить внимание

• Достижение 4 уровня соответствия по ГОСТ 57580.1 и проведение аудита раз в два года
• Применение электронной подписи
• Применение СКЗИ и соответствие требованиям ПКЗ-2005
• Регламентация процесса защиты информации (документирование по всем 8 процессам защиты согласно ГОСТ 57580.1)
• Выполнение отдельных требований по защите электронных сообщений

Выводы

Большая часть содержащихся в документе требований к информационной безопасности осталась неизменна, но были внесены корректировки в существующие пункты. Характер вносимых изменений, особенно в области организации порядка взаимодействия в Системе Быстрых Платежей и в содержании конкретных процедур, отражают закономерную реакцию регулирующего органа на актуальные внешние и внутренние политические события. Также, помимо критически необходимых нововведений и изменений были указаны новые нормативные ссылки на введенные нормативные документы.