Положение 821-П. Центральный банк обновил ключевые требования к защите информации

С 1 апреля 2024 года вступило в силу новое Положение Банка России №821-П, которое пришло на смену устаревшему №719-П. Этот нормативный документ представляет собой существенный пересмотр требований в области информационной безопасности и адаптацию регулирования к электронным платформам и цифровым каналам взаимодействия.

Зачем понадобилось обновление 719-П?

Обновление связано с расширением области применения требований по защите информации, особенно в условиях цифровизации финансовых сервисов. Если ранее многие меры охватывали только банковские автоматизированные системы, то теперь регулирование распространяется и на электронные платформы, включая сайты, интернет-сервисы и иные интерфейсы взаимодействия с клиентом.

Кроме того, были устранены устаревшие положения, добавлены новые технологические требования, а формулировки стали более конкретными и адаптированными к современным ИТ-реалиям.

Электронные платформы в фокусе 821-П

Одним из ключевых нововведений Положения 821-П стала дополнительная глава, посвящённая электронным платформам. Это первый случай, когда технологические меры защиты информации для интернет-ресурсов и дистанционных сервисов фиксируются отдельно и в привязке к особенностям таких платформ.
В частности, установлены обязательства по:

• Реализации требований ИБ на сайтах и мобильных приложениях кредитных и некредитных организаций;
• Контролю доступа, логированию, мониторингу активности и другим мероприятиям защиты пользовательских действий;
• Разграничению прав администрирования и учёту всех привилегированных действий в рамках электронных каналов.

Это положение также усиливает связь между банковским регулированием и требованиями в области критической информационной инфраструктуры (КИИ).

Новые и обновлённые требования в 821-П

Положение 821-П включает не только новые главы, но и актуализированные требования, которые ранее были частично прописаны в 719-П.

1. Уведомление Банка России об используемых интернет-ресурсах

Теперь организации обязаны информировать ЦБ РФ обо всех администрируемых или эксплуатируемых интернет-сайтах, на которых осуществляется взаимодействие с клиентами. Это позволяет регулятору лучше отслеживать риски, связанные с внешними каналами доступа.

2. Расширение списка регистрируемых параметров пользовательских действий

Обновлён перечень параметров, которые необходимо фиксировать при аудите и мониторинге действий пользователей. В частности, введено новое требование по регистрации кода технологического участка, что позволяет детализировать события в ИС и улучшить трассировку.

3. Связь с требованиями по КИИ

Появилось прямое указание на необходимость соблюдения норм законодательства в области критической информационной инфраструктуры, что особенно важно для систем, отнесённых к значимым объектам.

4. Подтверждение email-адресов клиентов

Организации обязаны подтверждать корректность адресов электронной почты клиентов, если по этим каналам осуществляется передача информации о денежных переводах. Это должно снизить вероятность мошенничества и повысить защищенность клиентской информации.

5. Исключение показателя ПДС БСК

Удалено ранее действовавшее требование по контролю вероятности доставки сообщения по БСК (базовому сетевому каналу) с показателем не более 0,005%. Это связано с пересмотром значимости данного критерия и упрощением мониторинга.

Как будет происходить переход от 719-П к 821-П

Положение 821-П вступает в силу с 1 апреля 2024 года, полностью отменяя и замещая предыдущее Положение 719-П. С этого момента вся правоприменительная практика будет строиться уже на новых нормах.

Однако стоит учесть важную оговорку: отдельные положения, касающиеся сертификации средств криптографической защиты информации (СКЗИ), вступят в силу только с 2031 года. Таким образом, у участников рынка остаётся длительный переходный период на адаптацию СКЗИ к обновлённым требованиям./p>
Для большинства финансовых и телекоммуникационных организаций это означает необходимость пересмотра внутренней архитектуры безопасности, политики логирования и моделей взаимодействия с пользователями.