Оценка соответствия 672-П (747-П)
Получив особые полномочия, Центробанк инициировал усиление мер по защите информационной безопасности (ИБ). Появились обновленные нормативные документы и ГОСТы, которые распространяются на финансовую деятельность кредитных и некредитных учреждений. Регулятивный документ 672-П пришел на смену 552-П, чтобы гарантировать устойчивое развитие рынка финансов в изменяющих экономических реалиях. ЦБ РФ намерен предупредить потери из-за киберпреступности и несанкционированного доступа к БД с использованием платежных карт.
Заказать услуги по оценке соответствия по 672-П (747-П)Обзор системных требований Положения 672-П к межсетевым экранам
В тексте Положения БР № 672-П прописаны собственные и отсылочные требования на обязательные ведомственные акты: ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, Положение 382-П, Указание 2831-У. Введение в действие обновленных документов – это мера Центрального Банка, направленная на создание комплексного механизма защиты информации по общенациональному стандарту. Обязательны для исполнения прямые указания и дополнительные нормы, которые содержатся в формуляре СКЗИ «Сигнатура». Требуется применение МСЭ, одобренных ФСБ. Если сведения передаются за пределы контролируемой зоны корпоративной сети, то требования к межсетевым экранам (МЭ) повышаются. Для соответствия требуемого уровня защиты необходимо использовать средства защиты, сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса.
Введение в действие положения 672-П
Документ официально принят 9 января 2019 года, а опубликован уже 21 марта. Согласно законодательным нормативам, Положение 672-П вступило в законную силу 06.04.2019. Начало действия отдельных норм перенесено на 1 июля 2021 года, но это не касается клиринговых и операционных центров. Чтобы защитить участников платежной системы Банка России (ПС БР), документ обязывает выполнять требования ГОСТ Р 57580.1-2017. Оценка соответствия по 672-П включает регламентные процедуры, упомянутые в ГОСТ Р 57580.2-2018.
Финансовые организации обязываются:
- размещать ИТ-объекты для денежных переводов в отдельных кластерах или сегментах вычислительных сетей;
- применять стандартный уровень защиты информации;
- реализовывать усиленные защитные меры для ОПКЦ;
- создать документацию с описанием методов защиты и порядка претворения в жизнь намеченных целей;
- гарантировать применение криптографических способов безопасности информации, согласно ПКЗ-2005.
Для жесткого централизованного регулирования информационной безопасности (ИБ) с 01 июля 2021 вводится в действие 672-П ЦБ. Что это означает для финучреждений? Оценку соответствия можно проводить отдельно по 672-П, 683-П и окончательной редакции приказа Минкомсвязи №321 или комплексно, чтобы максимально оптимизировать расходы.
В рамках 672-П Банк России обязывает выполнять сопутствующие требования
Предписания ГОСТ 57580.1, основанные на свободном выборе мер защиты, объединены с фиксированным обязательным перечнем, изложенным в 382-П. Отдельные требования 672-П Банка России предписывают выполнять оба норматива. В пункте 20 документа 672-П указано, что оценка соответствия должна проводиться в соответствиями положения стандарта Российской Федерации ГОСТ Р 57580.2 – 2018. Кредитные учреждения, независимо от категории участников ПС, должны проводить оценку соответствия не реже одного раза в два года.
Реализация обязательных и добровольных мер по 672-П при аудите
Согласно статье 20 части 9 ФЗ № 161, набор правил использования платежной системы устанавливает Центробанк. Это значит, что 672-П в последней редакции – это часть правовых мероприятий по ИБ, предоставленных регулятором. Методика выборочного или комплексного анализа 672-П от 9.01.2019 по ГОСТ Р 57580.2-2018 дополнительно описана в приказе № 156-ст от 28.03.2018.
Центральный банк предоставил официальный ответ на вопрос о том, кто анализирует и контролирует уровень защищенности встроенных СКЗИ для АРМ КБР-Н. Такой анализ 672-П защитных инструментов, используемых в корпоративной сети, проводит ЦБ РФ, а не кредитная организация. Сертификация на соответствие требованиям ФСТЭК не потребуется.
Обзор требований 672-П к контролю контура формирования ЭС
Окончательная компоновка исходящих электронных сообщений (ЭС) происходит на основании первичной документации. Этот процесс предшествует отправке информации в БД централизованной платежной системы Банка России. В соответствии с Положением № 672-П, контур формирования должен находиться под постоянным контролем. В первом пункте Приложения к положению детально описана процедура подписания электронной подписью. Когда проводится анализ выполнения положения Банка России N 672-П в части формирования текстов электронных сообщений, к данному пункту регулятор обращает пристальное внимание.
Центральный Банк предоставляет в рамках 672-П разъяснения по текущей отчетности
В пункте 18 обязательного к исполнению Положения 672-П упоминается требование обеспечения информационной безопасности национальной платежной банковской системы для официальных участников СБП (Система быстрых платежей) или ССНП (Сервис срочного перевода и сервис несрочного перевода). Кредитные учреждения при переводе финансовых активов должны защищать финансовую информацию, руководствуясь отчетностью по 2831-У. Регулятор планирует предоставить дополнительные пояснения о текущих изменениях, чтобы анализ выполнение Положения 672-П проходил объективно и квалифицированно.
3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Новый документ признаёт Положение Банка России №672-П утратившим силу.
Аудит по 672-П ЦБ РФ
Этот краткий обзор положения 672-П предназначен для знакомства с обновленными способами защиты финансовой информации, которые предписывают банковским структурам внедрять обязательные мероприятия. Применение межсетевых экранов помогает снизить риск несанкционированного проникновения, повысить защищенность БД, своевременно обнаружить вторжения извне и утечку сведений. Чтобы проверить защищенность, нужно проводить периодическое тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.
Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности, он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности. В ООО «ЛИТЕРАФОРТЕ» имеется квалифицированный штат сотрудников, прошедших соответствующее обучение и курсы повышения квалификации, а также имеющих большой опыт в проведении аудитов.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по оценке соответствия по 672-П (747-П)
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Оценка соответствия по 747-ПОценка соответствия по требованиям Положения ЦБ РФ №747-П |
от 500 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееОценка соответствия по 382-П
Положение Банка России № 382-П: требования, аудит и оценка соответствия
Подробнее