Оценка соответствия 672-П (747-П)

Обзор системных требований Положения 672-П к межсетевым экранам

В тексте Положения БР № 672-П прописаны собственные и отсылочные требования на обязательные ведомственные акты: ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, Положение 382-П, Указание 2831-У. Введение в действие обновленных документов – это мера Центрального Банка, направленная на создание комплексного механизма защиты информации по общенациональному стандарту. Обязательны для исполнения прямые указания и дополнительные нормы, которые содержатся в формуляре СКЗИ «Сигнатура». Требуется применение МСЭ, одобренных ФСБ. Если сведения передаются за пределы контролируемой зоны корпоративной сети, то требования к межсетевым экранам (МЭ) повышаются. Для соответствия требуемого уровня защиты необходимо использовать средства защиты, сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса.

Введение в действие положения 672-П

Документ официально принят 9 января 2019 года, а опубликован уже 21 марта. Согласно законодательным нормативам, Положение 672-П вступило в законную силу 06.04.2019. Начало действия отдельных норм перенесено на 1 июля 2021 года, но это не касается клиринговых и операционных центров. Чтобы защитить участников платежной системы Банка России (ПС БР), документ обязывает выполнять требования ГОСТ Р 57580.1-2017. Оценка соответствия по 672-П включает регламентные процедуры, упомянутые в ГОСТ Р 57580.2-2018.

Финансовые организации обязываются:

• размещать ИТ-объекты для денежных переводов в отдельных кластерах или сегментах вычислительных сетей;
• применять стандартный уровень защиты информации;
• реализовывать усиленные защитные меры для ОПКЦ;
• создать документацию с описанием методов защиты и порядка претворения в жизнь намеченных целей;
• гарантировать применение криптографических способов безопасности информации, согласно ПКЗ-2005.

Для жесткого централизованного регулирования информационной безопасности (ИБ) с 01 июля 2021 вводится в действие 672-П ЦБ. Что это означает для финучреждений? Оценку соответствия можно проводить отдельно по 672-П, 683-П и окончательной редакции приказа Минкомсвязи №321 или комплексно, чтобы максимально оптимизировать расходы.

В рамках 672-П Банк России обязывает выполнять сопутствующие требования

Предписания ГОСТ 57580.1, основанные на свободном выборе мер защиты, объединены с фиксированным обязательным перечнем, изложенным в 382-П. Отдельные требования 672-П Банка России предписывают выполнять оба норматива. В пункте 20 документа 672-П указано, что оценка соответствия должна проводиться в соответствиями положения стандарта Российской Федерации ГОСТ Р 57580.2 – 2018. Кредитные учреждения, независимо от категории участников ПС, должны проводить оценку соответствия не реже одного раза в два года.

Реализация обязательных и добровольных мер по 672-П при аудите

Согласно статье 20 части 9 ФЗ № 161, набор правил использования платежной системы устанавливает Центробанк. Это значит, что 672-П в последней редакции – это часть правовых мероприятий по ИБ, предоставленных регулятором. Методика выборочного или комплексного анализа 672-П от 9.01.2019 по ГОСТ Р 57580.2-2018 дополнительно описана в приказе № 156-ст от 28.03.2018.

Центральный банк предоставил официальный ответ на вопрос о том, кто анализирует и контролирует уровень защищенности встроенных СКЗИ для АРМ КБР-Н. Такой анализ 672-П защитных инструментов, используемых в корпоративной сети, проводит ЦБ РФ, а не кредитная организация. Сертификация на соответствие требованиям ФСТЭК не потребуется.

Обзор требований 672-П к контролю контура формирования ЭС

Окончательная компоновка исходящих электронных сообщений (ЭС) происходит на основании первичной документации. Этот процесс предшествует отправке информации в БД централизованной платежной системы Банка России. В соответствии с Положением № 672-П, контур формирования должен находиться под постоянным контролем. В первом пункте Приложения к положению детально описана процедура подписания электронной подписью. Когда проводится анализ выполнения положения Банка России N 672-П в части формирования текстов электронных сообщений, к данному пункту регулятор обращает пристальное внимание.

Центральный Банк предоставляет в рамках 672-П разъяснения по текущей отчетности

В пункте 18 обязательного к исполнению Положения 672-П упоминается требование обеспечения информационной безопасности национальной платежной банковской системы для официальных участников СБП (Система быстрых платежей) или ССНП (Сервис срочного перевода и сервис несрочного перевода). Кредитные учреждения при переводе финансовых активов должны защищать финансовую информацию, руководствуясь отчетностью по 2831-У. Регулятор планирует предоставить дополнительные пояснения о текущих изменениях, чтобы анализ выполнение Положения 672-П проходил объективно и квалифицированно.

3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Новый документ признаёт Положение Банка России №672-П утратившим силу.

Аудит по 672-П ЦБ РФ

Этот краткий обзор положения 672-П предназначен для знакомства с обновленными способами защиты финансовой информации, которые предписывают банковским структурам внедрять обязательные мероприятия. Применение межсетевых экранов помогает снизить риск несанкционированного проникновения, повысить защищенность БД, своевременно обнаружить вторжения извне и утечку сведений. Чтобы проверить защищенность, нужно проводить периодическое тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.

Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности, он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности. В ООО «ЛИТЕРАФОРТЕ» имеется квалифицированный штат сотрудников, прошедших соответствующее обучение и курсы повышения квалификации, а также имеющих большой опыт в проведении аудитов.