Положение Банка России №719-П взамен 382-П

Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Положение Банка России 719-П вступает в силу с 1 января 2022 г., за исключением положений, для которых установлены иные сроки вступления их в силу (1 января 2024 г. и 1 января 2031 г.).

Со дня вступления в силу 719-П признается утратившим силу Положение Банка России от 9 июня 2012 г. № 382-П.

На данный момент необходимо выполнение внешней оценки соответствия Положения 719-П не реже одного раза в два года с передачей официальной отчетной документации в Банк России.

На основе указания Банка России №4793-У от 7 мая 2018 года оценка соответствия должна осуществляться организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг.

Compliance Control обладает необходимой лицензией для проведения работ.

Положение Банка России №719-П также, как и Положение 382-П, устанавливает требования к обеспечению защиты информации при переводе денежных средств. При этом Положение Банка России №719-П — это самостоятельный документ, который пришел на смену 382-П (пункт 8.2 отменяет 382-П и все изменения в него с 1 января 2022 года).

Требования 719-П распространяется на следующие роли в платежных системах:

  • оператор по переводу денежных средств (в большинстве случаев — банки);
  • банковский платежный агент;
  • оператор услуг информационного обмена;
  • поставщики платежных приложений;
  • оператор платежных систем;
  • оператор услуг платежной инфраструктуры.

Отдельно выделяются:

  • Банковский платежный агент, осуществляющий операции платежного агрегатора.
  • Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ.

Всем видам участников платежной системы необходимо с 01.01.2022 года соответствовать ГОСТ 57580 не ниже четвертого уровня. Подтвердить соответствие можно путем проведения оценки соответствия защиты информации лицензиатом ФСТЭК. Необходимо применять платежное ПО, имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 (оценку соответствия в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013) у проверяемой организации.

Различия 382-п и 719-п
  • Расширен перечень организаций, на которых распространяется действие 719-П (в 382-П их меньше). Добавлены операторы услуг информационного обмена и поставщики платежных приложений, для которых указаны требования по защите информации.
  • Требования по защите информации указаны в ГОСТ 57580.1 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», а не в самом Положении как раньше (однако часть требований все же остались в самом Положении).
  • Оценка соответствия требованиям Положения 719-П проводится в соответствии с методикой, описанной в ГОСТ Р 57580.2-2018 «Защита информации финансовых организаций. Методика оценки соответствия».
  • Операторы по переводу денежных средств должны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций — не ниже 4-го уровня.
  • Добавили требования к банковским платежных агентам и субагентам.
  • Добавили необходимость вычисления значения показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе.
  • Добавили обязанность подтверждать принадлежность клиенту адреса электронной почты, на которые отправляются выписки и подтверждения перевода денежных средств.
  • Расширены требования по применению технологий обработки защищаемой информации.
  • Введены требования к защите персональных данных.
  • Требования к применению электронной подписи существенно расширены.

Напишите нам, чтобы получить консультацию по вопросам Положения №719-П и мы свяжемся с Вами!

Заполнить

ЭТАПЫ ПРОЕКТА

1 Этап

Определение области аудита и анализ локальных нормативных документов по информационной безопасности.

2 Этап

Анализ конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации.
Анализ технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств.

3 Этап

Проведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита.

4 Этап

Подготовка предварительной версии отчетной документации, согласование ее с Заказчиком.

5 Этап

Доработка заказчиком несоответствий

6 Этап

Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Банка России.

РЕЗУЛЬТАТЫ ПРОЕКТА

По результатам проведенного аудита подготавливаются:

 

  • рекомендации по повышению уровня информационной безопасности
  • определение оценки соответствия защиты информации
  • итоговая отчетная документация по форме Банка России

Заинтересованы в услуге? Напишите нам!