Оценка соответствия 672-П (747-П)

Получив особые полномочия, Центробанк инициировал усиление мер по защите информационной безопасности (ИБ). Появились обновленные нормативные документы и ГОСТы, которые распространяются на финансовую деятельность кредитных и некредитных учреждений. Регулятивный документ 672-П пришел на смену 552-П, чтобы гарантировать устойчивое развитие рынка финансов в изменяющих экономических реалиях. ЦБ РФ намерен предупредить потери из-за киберпреступности и несанкционированного доступа к БД с использованием платежных карт.
Обзор системных требований Положения 672-П к межсетевым экранам
В тексте Положения БР № 672-П прописаны собственные и отсылочные требования на обязательные ведомственные акты: ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018, Положение 382-П, Указание 2831-У. Введение в действие обновленных документов – это мера Центрального Банка, направленная на создание комплексного механизма защиты информации по общенациональному стандарту. Обязательны для исполнения прямые указания и дополнительные нормы, которые содержатся в формуляре СКЗИ «Сигнатура». Требуется применение МСЭ, одобренных ФСБ. Если сведения передаются за пределы контролируемой зоны корпоративной сети, то требования к межсетевым экранам (МЭ) повышаются. Для соответствия требуемого уровня защиты необходимо использовать средства защиты, сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса.
Введение в действие положения 672-П
Документ официально принят 9 января 2019 года, а опубликован уже 21 марта. Согласно законодательным нормативам, Положение 672-П вступило в законную силу 06.04.2019. Начало действия отдельных норм перенесено на 1 июля 2021 года, но это не касается клиринговых и операционных центров. Чтобы защитить участников платежной системы Банка России (ПС БР), документ обязывает выполнять требования ГОСТ Р 57580.1-2017. Оценка соответствия по 672-П включает регламентные процедуры, упомянутые в ГОСТ Р 57580.2-2018.
Финансовые организации обязываются:
- размещать ИТ-объекты для денежных переводов в отдельных кластерах или сегментах вычислительных сетей;
- применять стандартный уровень защиты информации;
- реализовывать усиленные защитные меры для ОПКЦ;
- создать документацию с описанием методов защиты и порядка претворения в жизнь намеченных целей;
- гарантировать применение криптографических способов безопасности информации, согласно ПКЗ-2005.
Для жесткого централизованного регулирования информационной безопасности (ИБ) с 01 июля 2021 вводится в действие 672-П ЦБ. Что это означает для финучреждений? Оценку соответствия можно проводить отдельно по 672-П, 683-П и окончательной редакции приказа Минкомсвязи №321 или комплексно, чтобы максимально оптимизировать расходы.
В рамках 672-П Банк России обязывает выполнять сопутствующие требования
Предписания ГОСТ 57580.1, основанные на свободном выборе мер защиты, объединены с фиксированным обязательным перечнем, изложенным в 382-П. Отдельные требования 672-П Банка России предписывают выполнять оба норматива. В пункте 20 документа 672-П указано, что оценка соответствия должна проводиться в соответствиями положения стандарта Российской Федерации ГОСТ Р 57580.2 – 2018. Кредитные учреждения, независимо от категории участников ПС, должны проводить оценку соответствия не реже одного раза в два года.
Реализация обязательных и добровольных мер по 672-П при аудите
Согласно статье 20 части 9 ФЗ № 161, набор правил использования платежной системы устанавливает Центробанк. Это значит, что 672-П в последней редакции – это часть правовых мероприятий по ИБ, предоставленных регулятором. Методика выборочного или комплексного анализа 672-П от 9.01.2019 по ГОСТ Р 57580.2-2018 дополнительно описана в приказе № 156-ст от 28.03.2018.
Центральный банк предоставил официальный ответ на вопрос о том, кто анализирует и контролирует уровень защищенности встроенных СКЗИ для АРМ КБР-Н. Такой анализ 672-П защитных инструментов, используемых в корпоративной сети, проводит ЦБ РФ, а не кредитная организация. Сертификация на соответствие требованиям ФСТЭК не потребуется.
Обзор требований 672-П к контролю контура формирования ЭС
Окончательная компоновка исходящих электронных сообщений (ЭС) происходит на основании первичной документации. Этот процесс предшествует отправке информации в БД централизованной платежной системы Банка России. В соответствии с Положением № 672-П, контур формирования должен находиться под постоянным контролем. В первом пункте Приложения к положению детально описана процедура подписания электронной подписью. Когда проводится анализ выполнения положения Банка России N 672-П в части формирования текстов электронных сообщений, к данному пункту регулятор обращает пристальное внимание.
Центральный Банк предоставляет в рамках 672-П разъяснения по текущей отчетности
В пункте 18 обязательного к исполнению Положения 672-П упоминается требование обеспечения информационной безопасности национальной платежной банковской системы для официальных участников СБП (Система быстрых платежей) или ССНП (Сервис срочного перевода и сервис несрочного перевода). Кредитные учреждения при переводе финансовых активов должны защищать финансовую информацию, руководствуясь отчетностью по 2831-У. Регулятор планирует предоставить дополнительные пояснения о текущих изменениях, чтобы анализ выполнение Положения 672-П проходил объективно и квалифицированно.
3 февраля 2021 года Минюст России зарегистрировал новое Положение Банка России №747-П «О требованиях к защите информации в платежной системе Банка России». Новый документ признаёт Положение Банка России №672-П утратившим силу.
Аудит по 672-П ЦБ РФ
Этот краткий обзор положения 672-П предназначен для знакомства с обновленными способами защиты финансовой информации, которые предписывают банковским структурам внедрять обязательные мероприятия. Применение межсетевых экранов помогает снизить риск несанкционированного проникновения, повысить защищенность БД, своевременно обнаружить вторжения извне и утечку сведений. Чтобы проверить защищенность, нужно проводить периодическое тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.
Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности, он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности. В ООО «ЛИТЕРАФОРТЕ» имеется квалифицированный штат сотрудников, прошедших соответствующее обучение и курсы повышения квалификации, а также имеющих большой опыт в проведении аудитов.
Наши преимущества
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективные сроки
Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.
Стоимость по оценке соответствия по 672-П (747-П)
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Оценка соответствия по 747-ПОценка соответствия по требованиям Положения ЦБ РФ №747-П |
от 500 000 руб. |