Оценка соответствия требованиям Положения Банка России № 802-П
Проводим независимую оценку соответствия требованиям Положения Банка России №802-П для участников платежной системы Банка России и Системы быстрых платежей.
Работы проводятся в выделенных сегментах ПС БР и СБП по требованиям Положения №802-П ЦБ РФ по стандарту ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018. По результатам работ разрабатывается отчет для представления в Центральный Банк Российской Федерации.
Эксперты ответственные за направление
Что такое оценка соответствия по 802-П
Оценка соответствия по 802-П — это анализ состояния системы защиты информации в инфраструктуре, связанной с участием в платежной системе Банка России и Системе быстрых платежей.
В рамках работ изучаются выделенные сегменты вычислительных сетей, объекты информационной инфраструктуры, внутренние документы, процессы ИБ, организационные и технические меры защиты.
Оценка позволяет:
- подтвердить соответствие регулированию Банка России;
- выявить несоответствия до запроса регулятора;
- определить текущий уровень защиты выделенных сегментов;
- подготовить отчетные материалы;
- сформировать план доработок для повышения уровня защиты информации.
На кого распространяется Положение 802-П
Оценка актуальна для организаций, которые участвуют в платежной инфраструктуре Банка России или обеспечивают обмен информацией в СБП.
К ним относятся:
- кредитные организации и их филиалы — прямые участники ПС БР;
- международные финансовые организации — участники ПС БР;
- операционные центры;
- платежные клиринговые центры других платежных систем;
- операторы услуг информационного обмена;
- участники и операторы Системы быстрых платежей;
- операторы платежных клиринговых центров СБП.
Если организация относится к этим категориям, ей необходимо обеспечивать защиту информации в установленных границах и подтверждать выполнение применимых норм.
Область оценки соответствия
Оценка проводится в пределах выделенных сегментов или группы сегментов вычислительных сетей, где размещаются объекты информационной инфраструктуры, связанные с участием в ПС БР или СБП.
В зависимости от роли организации область применимых к ней требований ограничивается, определенным для нее уровнем защиты информации по стандарту ГОСТ Р 57580.1-2017:
- участники СБП — стандартный уровень защиты информации;
- ОУИО СБП — стандартный уровень защиты информации;
- ОПКЦ СБП — усиленный уровень защиты информации;
- ССНП — стандартный уровень защиты информации.
Также во внутренних документах должны быть определены состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты.
Этапы проведения оценки по 802-П
1. Сбор исходных данных
На первом этапе определяется состав объектов оценки. Анализируются сведения об информационной инфраструктуре, выделенных сегментах, автоматизированных системах, внутренних документах и процессах защиты информации.
После этого формируется перечень объектов оценки и список материалов, необходимых для дальнейшей работы.
2. Анализ документации
Изучаются внутренние нормативные документы, политики, регламенты, модели угроз, инструкции, документы по управлению доступом, регистрации событий и реагированию на инциденты.
По результатам анализа фиксируются документальные несоответствия, недостающие свидетельства и зоны, где требуется доработка внутренних материалов.
3. Интервьюирование ответственных сотрудников
Проводятся интервью с представителями ИБ, ИТ, владельцами процессов, внутренним контролем и другими ответственными подразделениями.
Это позволяет сопоставить документы с фактической практикой и выявить расхождения между регламентами и реальным выполнением мер защиты.
4. Обследование инфраструктуры
Проводится обследование выделенных сегментов, объектов информационной инфраструктуры, процессов регистрации событий, управления доступом, средств защиты информации и других элементов, связанных с участием в ПС БР или СБП.
В результате становится понятно, как меры защиты реализованы на практике и какие участки требуют доработки.
5. Расчет показателей по ГОСТ Р 57580.2-2018
На основании собранных данных проводится расчет показателей защищенности и определяется текущий уровень соответствия.
После расчета фиксируются положения, по которым есть отклонения, а также факторы, влияющие на итоговый результат оценки.
6. Подготовка рекомендаций
Для выявленных несоответствий формируются рекомендации: какие документы нужно доработать, какие процессы изменить, какие технические или организационные меры внедрить.
Рекомендации оформляются в виде плана корректирующих мероприятий с приоритетами и понятной последовательностью действий.
7. Сопровождение устранения несоответствий
При необходимости специалисты СБК помогают устранить выявленные нарушения: доработать документы, настроить процессы, подготовить недостающие свидетельства и повторно оценить реализацию мер защиты.
Такой формат снижает риск повторного выявления тех же нарушений при последующем взаимодействии с регулятором.
8. Подготовка итогового отчета
По итогам работ формируется отчет. В нем фиксируются результаты оценки, уровень соответствия, выявленные несоответствия, выводы и рекомендации.
Отчет можно использовать для внутреннего контроля, планирования доработок и подготовки к взаимодействию с Банком России.
Что вы получите по итогам работ
По результатам оценки соответствия вы получаете:
- отчет о проведенной оценке;
- качественная оценка соответствия требованиям Положения Банка России №802-П;
- расчет показателей по ГОСТ Р 57580.2-2018;
- перечень выявленных несоответствий;
- перечень с описанием выявленных рисков;
- рекомендации по устранению замечаний;
- план корректирующих мероприятий;
Итоговый результат — не только отчет, а понятный план действий для повышения защищенности платежной инфраструктуры, включая подготовку к взаимодействию с регулятором.
Что регулирует Положение Банка России № 802-П
Положение № 802-П устанавливает правила защиты информации для участников платежной системы Банка России, а также организаций, связанных с переводами денежных средств через СБП.
Документ регулирует защиту информации в выделенных сегментах вычислительных сетей, порядок применения организационных и технических мер, требования к внутренним документам, а также оценку по ГОСТ Р 57580.2-2018.
802-П заменило ранее действовавшее Положение № 747-П. В документе актуализированы подходы к защите информации, перечень угроз и рисков, требования к участникам ПС БР и организациям, работающим с сервисом быстрых платежей.
Какие риски помогает закрыть аудит по 802-П
Аудит помогает выявить слабые места, которые могут повлиять на защищенность платежной инфраструктуры и корректность выполнения норм Банка России.
В рамках работ анализируются риски, связанные с:
- некорректной идентификации и мошеннических переводов;
- подменой или искажением сообщений, несанкционированным доступом к информации, нарушением аутентификации и защиты сообщений;
- комплаенс-несоответствием и несвоевременным реагированием на предписания регулятора;
- использованием несертифицированного оборудования или ПО;
- неполной реализацией мер защиты информации;
- неверно определенными границами выделенных сегментов;
- отсутствием подтверждающих документов;
- пробелами во внутренних нормативных документах;
- недостаточной защитой объектов информационной инфраструктуры;
- несоответствием уровню защиты по ГОСТ Р 57580.1-2017;
- ошибками при расчете показателей по ГОСТ Р 57580.2-2018;
- недостаточной фиксацией событий ИБ;
- отсутствием плана устранения выявленных нарушений.
Результаты аудита можно использовать для внутреннего контроля, подготовки к взаимодействию с регулятором и планирования доработок системы защиты информации.
Когда нужна оценка соответствия по 802-П
Аудит по 802-П целесообразно проводить, если организация:
- готовится к плановой оценке защиты информации;
- участвует в ПС БР или СБП;
- создает или изменяет выделенный сегмент инфраструктуры;
- обновляет внутренние документы по ИБ;
- меняет архитектуру платежной инфраструктуры;
- внедряет новые сервисы, каналы обмена или технологические процессы;
- готовится к взаимодействию с Банком России по вопросам ИБ;
- хочет заранее выявить несоответствия и снизить регуляторные риски.
Такая оценка помогает понять, насколько документы, процессы и технические меры соответствуют фактическому состоянию инфраструктуры.
Что анализируется в рамках работ по оценке соответствия 802-П
В рамках работ по оценке соответствия Требованиям Положения №802-П эксперты анализируют:
1. Границы выделенных сегментов вычислительных сетей
Анализируется обоснованность выделения и корректность определения границ сегментов сети, в которых обрабатывается платежная информация и осуществляется взаимодействие с ПС БР / СБП. Оценивается наличие и правильность документального закрепления этих границ.
2. Объекты информационной инфраструктуры ПС БР и СБП
- серверное оборудование и вычислительные мощности, задействованные в обработке платежных сообщений;
- средства криптографической защиты информации (СКЗИ), используемые для подписания и шифрования межбанковских сообщений;
- сетевое оборудование, каналы связи и шлюзы, через которые осуществляется обмен с ПС БР / СБП;
- рабочие станции и терминалы сотрудников, имеющих доступ к платежным системам.
3. Внутренние нормативные документы по информационной безопасности
- политики ИБ (общая и специальная);
- регламенты обеспечения безопасности при эксплуатации сегментов ПС БР и СБП;
- модели угроз и нарушителя;
- инструкции по администрированию и эксплуатации средств защиты;
- инструкции по действиям персонала в нештатных ситуациях.
4. Правила и принципы организации ИБ
- распределение ответственности и ролей в области ИБ;
- порядок допуска персонала к критическим системам;
- организация обучения и повышения квалификации сотрудников;
- процедуры внутреннего контроля и аудита.
5. Применяемые технические средства защиты
- межсетевые экраны и системы обнаружения вторжений (IDS/IPS);
- антивирусные средства;
- средства контроля целостности программной среды;
- средства криптографической защиты (СКЗИ) с функциями электронной подписи и шифрования;
- средства защиты среды виртуализации (при наличии);
- правила корреляции системы управления событиями и информацией (SIEM).
6. Порядок управления доступом
- правила идентификации и аутентификации пользователей (в том числе двухфакторная аутентификация);
- разграничение прав доступа к информационным ресурсам на основе принципа минимально необходимых привилегий;
- механизмы управления учетными записями, включая блокировку и своевременное удаление неиспользуемых аккаунтов.
7. Процессы регистрации и учета событий информационной безопасности
- состав регистрируемых событий (входы/выходы, изменения прав, операции с платежными сообщениями, сбои СКЗИ и т.д.);
- обеспечение целостности и защита от несанкционированного изменения журналов аудита;
- сроки хранения и порядок предоставления журналов для проверок регулятором.
8. Порядок реагирования на инциденты
- процедуры выявления, классификации и устранения инцидентов ИБ;
- регламенты взаимодействия с Банком России (в том числе сроки уведомления — в течение 3 часов);
- планы восстановления работоспособности после атак или сбоев.
10. Корректность расчета уровня соответствия по методике ГОСТ Р 57580.2-2018
Анализируются исходные данные и методология расчета числовых показателей (обобщающих и частных) по каждой из проверяемых мер. Результат этого анализа — итоговое значение уровня соответствия, которое организация должна представить регулятору.
11. Отчетные материалы (документированные результаты оценки)
Анализируется готовность и полнота пакета отчетных документов, которые организация представляет в Банк России по итогам оценки: акты, заключения, протоколы, сводные таблицы показателей.
Документы и нормативная база
При проведении работ учитываются:
- Положение Банка России № 802-П;
- Положение Банка России № 821-П;
- ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018;
- методические рекомендации и разъяснения Банка России;
- внутренние нормативные документы организации;
- документы по защите информации, управлению доступом и реагированию на инциденты.
Оценка соответствия требованиям Положения Банка России № 802-П: пакеты услуг
-
Базовый
от 1 недели
от 350 000 ₽- Оценка соответствия требованиям Положения Банка России №802-П
- Оценка соответствия ГОСТ Р 57580.1-2017
- Внешнее тестирование на проникновение
- Внутреннее тестирование на проникновение
-
Расширенный
от 2 недель
от 650 000 ₽- Оценка соответствия требованиям Положения Банка России №802-П
- Оценка соответствия ГОСТ Р 57580.1-2017
- Внешнее тестирование на проникновение
- Внутреннее тестирование на проникновение
-
Максимальный
от 4 недель
от 1 350 000 ₽- Оценка соответствия требованиям Положений Банка России № 802-П, 851-П, 821-П
- Оценка соответствия ГОСТ Р 57580.1-2017
- Внешнее тестирование на проникновение
- Внутреннее тестирование на проникновение
Почему САЙБЕР Бизнес Консалтинг
-
1
Опыт в ИБ и ИТ-аудите
Наша команда работает с задачами информационной безопасности, ИТ-аудита, оценки защищенности, а также управления ИТ-процессами. Это важно при оценке по 802-П, где нужно анализировать не только документы, но и фактическое состояние инфраструктуры..
-
2
Понимание регулирования финансового сектора
При проведении работ учитываются документы Банка России, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018, методические рекомендации и отчетность. Это снижает риск формального подхода, при котором часть положений остается без подтверждающих свидетельств..
-
3
Анализ документов и фактической реализации
Мы сопоставляем внутренние документы с реальными процессами: границами выделенных сегментов, организационными мерами, техническими средствами защиты и практикой эксплуатации инфраструктуры..
Стоимость и сроки на оценку соответствия требованиям Положения Банка России № 802-П
| Услуга | Стоимость | Срок | Действие |
|---|---|---|---|
Консультация |
Бесплатно | ||
Оценка по Положению Банка России № 802-П |
от 350 000 ₽
от 1 недели |
||
Оценка по 802-П + ГОСТ Р 57580.1-2017 + внешний тест на проникновение |
от 650 000 ₽
от 2 недель |
||
Оценка по 802-П, 851-П, 821-П + ГОСТ Р 57580.1-2017 + внешний и внутренний тест на проникновение |
от 1 350 000 ₽
от 4 недель |
Отзывы и благодарности
Отвечаем на вопросы
-
Обязательно ли проводить оценку по 802-П?Да, для участников ПС БР, а также СБП оценка проводится в соответствии с регулированием Банка России. Она нужна для подтверждения уровня защиты информации и выявления несоответствий в выделенных сегментах инфраструктуры.
-
Как часто нужно проводить оценку?Оценку проводят не реже одного раза в два года. Также ее целесообразно выполнять после существенных изменений в инфраструктуре, выделенных сегментах, процессах обработки информации или применяемых средствах защиты.
-
Можно ли привлечь консультанта для устранения несоответствий?Да. Доработки могут выполняться силами вашей организации или с привлечением внешнего исполнителя. При необходимости специалисты СБК помогают подготовить документы, настроить процессы и повторно оценить реализацию мер защиты.
-
Подходит ли отчет для Банка России?Отчет формируется с учетом ГОСТ Р 57580.2-2018 и регулирования Банка России. Его можно использовать для внутреннего контроля, подготовки к взаимодействию с регулятором и подтверждения результатов проведенной оценки.
-
Что изменилось после вступления в силу 802-П?Положение 802-П заменило 747-П, что актуализировало правила защиты информации для участников платежной системы Банка России и СБП. В документе уточнены подходы к выделенным сегментам, оценке по ГОСТ Р 57580.2-2018 и применению мер защиты информации.
-
Что такое выделенный сегмент по 802-П?Выделенный сегмент — это часть вычислительной сети, в пределах которой размещаются объекты информационной инфраструктуры, связанные с участием в ПС БР или СБП. Для таких сегментов применяются установленные уровни защиты информации.
Наверх
Напишите нам и эксперты САЙБЕР Бизнес Консалтинг проконсультируют по услугам.