Оценка соответствия 672-П (747-П)

Аудит положения банка России 672-П

Получив особые полномочия, Центробанк инициировал усиление мер по защите информационной безопасности (ИБ). Появились обновленные нормативные документы и ГОСТы, которые распространяются на финансовую деятельность кредитных и некредитных учреждений. Регулятивный документ 672-П пришел на смену 552-П, чтобы гарантировать устойчивое развитие рынка финансов в изменяющих экономических реалиях. ЦБ РФ намерен предупредить потери из-за киберпреступности и несанкционированного доступа к БД с использованием платежных карт.

Заказать услуги по оценке соответствия по 672-П (747-П)

Обзор системных требований Положения 672-П к межсетевым экранам

В тексте Положения БР № 672-П прописаны собственные и отсылочные требования на обязательные ведомственные акты: ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, Положение 382-П, Указание 2831-У. Введение в действие обновленных документов – это мера Центрального Банка, направленная на создание комплексного механизма защиты информации по общенациональному стандарту. Обязательны для исполнения прямые указания и дополнительные нормы, которые содержатся в формуляре СКЗИ «Сигнатура». Требуется применение МСЭ, одобренных ФСБ. Если сведения передаются за пределы контролируемой зоны корпоративной сети, то требования к межсетевым экранам (МЭ) повышаются. Для соответствия требуемого уровня защиты необходимо использовать средства защиты, сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса.

Введение в действие положения 672-П

Документ официально принят 9 января 2019 года, а опубликован уже 21 марта. Согласно законодательным нормативам, Положение 672-П вступило в законную силу 06.04.2019. Начало действия отдельных норм перенесено на 1 июля 2021 года, но это не касается клиринговых и операционных центров. Чтобы защитить участников платежной системы Банка России (ПС БР), документ обязывает выполнять требования ГОСТ Р 57580.1-2017. Оценка соответствия по 672-П включает регламентные процедуры, упомянутые в ГОСТ Р 57580.2-2018.

Финансовые организации обязываются:

  • размещать ИТ-объекты для денежных переводов в отдельных кластерах или сегментах вычислительных сетей;
  • применять стандартный уровень защиты информации;
  • реализовывать усиленные защитные меры для ОПКЦ;
  • создать документацию с описанием методов защиты и порядка претворения в жизнь намеченных целей;
  • гарантировать применение криптографических способов безопасности информации, согласно ПКЗ-2005.

Для жесткого централизованного регулирования информационной безопасности (ИБ) с 01 июля 2021 вводится в действие 672-П ЦБ. Что это означает для финучреждений? Оценку соответствия можно проводить отдельно по 672-П, 683-П и окончательной редакции приказа Минкомсвязи №321 или комплексно, чтобы максимально оптимизировать расходы.

В рамках 672-П Банк России обязывает выполнять сопутствующие требования

Предписания ГОСТ 57580.1, основанные на свободном выборе мер защиты, объединены с фиксированным обязательным перечнем, изложенным в 382-П. Отдельные требования 672-П Банка России предписывают выполнять оба норматива. В пункте 20 документа 672-П указано, что оценка соответствия должна проводиться в соответствиями положения стандарта Российской Федерации ГОСТ Р 57580.2 – 2018. Кредитные учреждения, независимо от категории участников ПС, должны проводить оценку соответствия не реже одного раза в два года.

Реализация обязательных и добровольных мер по 672-П при аудите

Согласно статье 20 части 9 ФЗ № 161, набор правил использования платежной системы устанавливает Центробанк. Это значит, что 672-П в последней редакции – это часть правовых мероприятий по ИБ, предоставленных регулятором. Методика выборочного или комплексного анализа 672-П от 9.01.2019 по ГОСТ Р 57580.2-2018 дополнительно описана в приказе № 156-ст от 28.03.2018.

Центральный банк предоставил официальный ответ на вопрос о том, кто анализирует и контролирует уровень защищенности встроенных СКЗИ для АРМ КБР-Н. Такой анализ 672-П защитных инструментов, используемых в корпоративной сети, проводит ЦБ РФ, а не кредитная организация. Сертификация на соответствие требованиям ФСТЭК не потребуется.

Обзор требований 672-П к контролю контура формирования ЭС

Окончательная компоновка исходящих электронных сообщений (ЭС) происходит на основании первичной документации. Этот процесс предшествует отправке информации в БД централизованной платежной системы Банка России. В соответствии с Положением № 672-П, контур формирования должен находиться под постоянным контролем. В первом пункте Приложения к положению детально описана процедура подписания электронной подписью. Когда проводится анализ выполнения положения Банка России N 672-П в части формирования текстов электронных сообщений, к данному пункту регулятор обращает пристальное внимание.

Центральный Банк предоставляет в рамках 672-П разъяснения по текущей отчетности

В пункте 18 обязательного к исполнению Положения 672-П упоминается требование обеспечения информационной безопасности национальной платежной банковской системы для официальных участников СБП (Система быстрых платежей) или ССНП (Сервис срочного перевода и сервис несрочного перевода). Кредитные учреждения при переводе финансовых активов должны защищать финансовую информацию, руководствуясь отчетностью по 2831-У. Регулятор планирует предоставить дополнительные пояснения о текущих изменениях, чтобы анализ выполнение Положения 672-П проходил объективно и квалифицированно.

3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Новый документ признаёт Положение Банка России №672-П утратившим силу.

 

Аудит по 672-П ЦБ РФ

Этот краткий обзор положения 672-П предназначен для знакомства с обновленными способами защиты финансовой информации, которые предписывают банковским структурам внедрять обязательные мероприятия. Применение межсетевых экранов помогает снизить риск несанкционированного проникновения, повысить защищенность БД, своевременно обнаружить вторжения извне и утечку сведений. Чтобы проверить защищенность, нужно проводить периодическое тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.

Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности, он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности. В ООО «ЛИТЕРАФОРТЕ» имеется квалифицированный штат сотрудников, прошедших соответствующее обучение и курсы повышения квалификации, а также имеющих большой опыт в проведении аудитов.

Наши преимущества

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективные сроки

Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

Стоимость по оценке соответствия по 672-П (747-П)

Услуга Стоимость

Консультация

бесплатно

Оценка соответствия по 747-П

Оценка соответствия по требованиям Положения ЦБ РФ №747-П
Срок проведения от 4 недель

от 500 000 руб.

Свяжитесь с нами

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Услуги для Вас

    Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

    Подробнее

    Оценка соответствия по 683-П

    Оценка соответствия требованиям Положения Банка России №683-П

    Подробнее

    ГОСТ Р 57580

    Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

    Подробнее

    Оценка соответствия по 757-П (684-П)

    Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)

    Подробнее

    Пентест (pentest)

    Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

    Подробнее

    Оценка соответствия по 382-П

    Положение Банка России № 382-П: требования, аудит и оценка соответствия

    Подробнее