Положение 802-П: Приведение в соответствие и оценка соответствия

Как проводится оценка соответствия?

Для выполнения предлагаемых услуг Заказчик предоставляет информацию, которая запрашивается экспертами.

Сначала мы определяемся с областью оценки и выбираем, какие системы подлежат аудиту. После этого проверяется состояние документации и выполнение технических мер защиты информации, это может быть сделано как очно, так и в удаленном формате. После оценки предоставляется отчёт и рекомендации по устранению выявленных недостатков.

В результате выполнения услуги Заказчик получает отчет и рекомендации по устранению недостатков, которые были выявлены в ходе аудита. В отчёте содержатся результаты оценки и вывод о соответствии 802-П.

Кому необходимо соответствовать требованиям Положения 802-П?

Положение 802-П необходимо выполнять участникам платежной системы Банка России и операторам, использующих в осуществлении своей деятельности сервис быстрых платежей.

Это означает, что если в вашем банке есть подключение к ПС БР , если вы выполняете клиринговые операции с использованием СБП/ССНП, а также, если предоставляете инфраструктуру, на которой размещаются сервисы СБП/ССНП, то вам нужно соответствовать требованиям этого Положения.

Информация, которую необходимо защищать

В Положении 802-П, как и ранее в 747-П, указаны требования к защите передаваемых в Банк России электронных сообщений. В отличии от 747-П, новое Положение 802-П ссылается на пункты Положения ЦБ РФ № 719-П и определяет новый перечень защищаемой информации.

Важные требования Положения 802-П

В новом положении вводится порядок обработки инцидентов, связанных с перебором идентификаторов клиентов участника СБП и косвенного участника с доступом к трансграничному переводу денежных средств с использованием сервиса быстрых платежей.
Важным нововведением в 802-П является обязательное оповещение участником СБП косвенного участника СБП о блокировании идентификатора косвенного участника и оповещение ОПКЦ СБП о факте блокирования идентификатора и о результатах проведенной проверки косвенным участником с доступом к ТПСБП.

Область криптографии и новые требования

В отличии от утратившего силу 747-П, в новом положении ограничены возможности по изготовлению криптоключей:

• криптографические ключи, используемые для обмена сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП
• криптографические ключи, используемые для обмена сообщениями между участником СБП и ОПКЦ СБП, должны изготавливаться участником СБП.

В положении также определено новое требование для ОУИО СБП о соблюдении требований ПКЗ-2005 при обеспечении защиты информации с использованием криптографических средств.

Оценка по ГОСТ Р 57580.2 для банков

В новом документе 802-П (как ив в 747-П) содержится требование оценки соответствия стандартному уровню защиты информации по ГОСТ Р 57580. Необходимо обеспечение четвертого уровня соответствия с момента вступления положения в силу.