Положение Банка России №821-П вместо №719-П
Положение Банка России от 17 августа 2023 г. N 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
На основании ч. 3 ст. 27 Федерального закона № 161-ФЗ «О национальной платёжной системе» документ устанавливает требования к обеспечению защиты информации, а также порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого регулятором надзора в национальной платёжной системе.
В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 28 апреля 2023 года № ПСД-17) Положение вступает в силу с 1 апреля 2024 года, тем самым заменит Положение №719-П, за исключением пунктов, которые вступают в силу с 1 января 2031 года.
Требования 821-П распространяется на следующих субъектов национальной платёжной системы:
- операторы по переводу денежных средств (в большинстве случаев — банки);
- банковские платежные агенты;
- операторы услуг информационного обмена;
- поставщики платежных приложений;
- операторы платежных систем;
- операторы услуг платежной инфраструктуры;
- операторы электронных платформ
Отдельно выделяются:
- Банковский платежный агент, осуществляющий операции платежного агрегатора
- Оператор услуг платежной инфраструктуры, осуществляющий деятельность (отдельно) ОЦ, ПКЦ и РЦ
Участникам платежной системы (операторам по переводу денежных средств, операторам услуг информационного обмена, банковским платежным агентам, осуществляющим операции платежного агрегатора, операторам услуг платежной инфраструктуры) помимо остальных требований Положения необходимо реализовывать уровень соответствия защиты информации по требованиям ГОСТ 57580.1-2017 не ниже четвертого. Подтвердить соответствие необходимо посредством аудита, который проведет лицензиат ФСТЭК.
Также вышеуказанным участникам необходимо применять платежное ПО, имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД не ниже 4 (оценка соответствия в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013). Оценку соответствия участники могут проходить самостоятельно либо с привлечением лицензиата ФСТЭК.
Кроме того, участники платежной системы должны проводить ежегодный пентест и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Напишите нам, чтобы получить консультацию по вопросам Положения №821-П и мы свяжемся с Вами!
Заполнить
ОБЩИЙ ПЛАН ПРОЕКТА
- 1 ЭтапОпределение области аудита и анализ локальных нормативных документов по информационной безопасности.
- 2 ЭтапАнализ конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации. Анализ технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств.
- 3 ЭтапПроведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита.
- 4 ЭтапПодготовка предварительной версии отчетной документации, согласование ее с Заказчиком.
- 5 ЭтапДоработка Заказчиком несоответствий.
- 6 ЭтапПодтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Банка России.
РЕЗУЛЬТАТЫ ПРОЕКТА
По результатам проведенного аудита подготавливаются:
• рекомендации по повышению уровня информационной безопасности,
• определение оценки соответствия защиты информации,
• итоговая отчетная документация по форме Банка России.
