Оценка соответствия требованиям Положения Банка России № 802-П

Аудит системы защиты информации платежной инфраструктуры Банка России и СБП в соответствии с требованиями регулятора и ГОСТ Р 57580

Узнать стоимость услуги

Оценка соответствия требованиям Положения Банка России № 802-П

Эксперты ответственные за направление

Максим Валерьевич Грищишен

Коммерческий директор САЙБЕР Бизнес Колсантинг

Опыт

Более 15 лет опыта в ИТ
Алексей Михайлович Карпушкин

Руководитель практики услуг по информационной безопасности и IT

Опыт

Более 10 лет опыта в ИТ
Михаил Константинович Манцуров

Руководитель направления аудита и консалтинга по информационной безопасности

Опыт

Более 15 лет опыта в ИБ

Что такое оценка соответствия требованиям Положения Банка России № 802-П

Положение Банка России № 802-П устанавливает обязательные требования к защите информации для прямых участников платежной системы Банка России (ПС БР). Документ направлен на организацию защищенного взаимодействия и эксплуатации платежной системы Банка России, с особым акцентом на информационную безопасность выделенной инфраструктуры, обеспечение защиты информации согласно ГОСТ Р 57580.1 и достижение установленного уровня соответствия.

Оценка соответствия позволяет:

подтвердить выполнение требований регулятора;
выявить несоответствия и риски;
подготовиться к проверкам Банка России;
обеспечить устойчивость и безопасность платежных процессов.

На кого распространяется действие Положения 802-П

Оценка соответствия требованиям Положения Банка России № 802-П обязательна для:

кредитных организаций и их филиалов — прямых участников ПС БР;
международных финансовых организаций — участников ПС БР;
операционных центров;
платежных клиринговых центров других платежных систем;
операторов услуг информационного обмена (ОУИО);
участников и операторов Системы быстрых платежей (СБП);
операторов платежных клиринговых центров СБП (ОПКЦ СБП).

Общая информация о Положении Банка России № 802-П

Положение Банка России № 802-П устанавливает обязательные требования к защите информации для прямых участников платежной системы Банка России (ПС БР), включая кредитные организации и их филиалы, международные финансовые организации, операционные центры, платежные клиринговые центры других платежных систем, а также операторов услуг информационного обмена, которые участвуют в переводах денежных средств с использованием сервиса быстрых платежей (СБП).

Документ направлен на организацию защищенного взаимодействия и эксплуатации платежной системы Банка России, с особым акцентом на информационную безопасность выделенной инфраструктуры, обеспечение защиты информации согласно ГОСТ Р 57580.1 и достижение определенного уровня соответствия.

Ключевые изменения относительно Положения № 747-П:

Положение отменяет ранее действовавшее Положение № 747-П от 23 декабря 2020 года и вступает в силу с 10 декабря 2022 года.
747-П ссылался в своих требованиях по обеспечению защитных мер на Положение 382-П (отменено). 802-П в свою очередь отсылает к положению № 719-П. На данный момент 719-П отменено, вместо него действует Положение Банка России № 821-П.
Нормативная база Положения 802-П актуализирована.
Учтены разъяснения Банка России, данные к утратившему силу положению 747-П.
Актуализирован перечень угроз и рисков информационной безопасности.

Требования в части оценки соответствия 802-П

Требования к оценке по 802-П и ГОСТ Р 57580.1:

Оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3-6 Положения 802-П (п. 20).
Оценка соответствия должна проводиться в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 (п. 20).
Оценка соответствия должна проводиться не реже одного раза в два года (п. 20).
Для объектов информационной инфраструктуры в выделенных сегментах должен обеспечиваться уровень соответствия не ниже четвертого, предусмотренного подпунктом «д» пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018 (п. 20).
Контроль за соблюдением требований Банк России осуществляет в соответствии с главой 7 Положения Банка России № 719-П (п. 21, с учетом актуализации на 821-П).

Требования по созданию выделенного сегмента инфраструктуры и применению защитных мер:

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей должны применяться меры защиты информации в соответствии с уровнями защиты информации, предусмотренными пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017:

Участники СБП — стандартный уровень (2) защиты информации.
ОУИО СБП — стандартный уровень (2) защиты информации.
ОПКЦ СБП — усиленный уровень (1) защиты информации.
ССНП — стандартный уровень (2) защиты информации.

Требования к внутренним нормативным документам (ВНД):

Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП во внутренних документах должны определить состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы и нормативная база

Положение Банка России № 802-П
Положение Банка России № 821-П
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Методические рекомендации и разъяснения Банка России

Нужна консультация по услуге?

Этапы проведения оценки соответствия

Работы по оценке соответствия требованиям Положения Банка России № 802-П проводятся поэтапно:

Сбор сведений об информационной инфраструктуре Банка.
Сбор сведений о существующей документации в области обеспечения защиты информации. Анализ документов и получение свидетельств аудита.
Интервьюирование ответственного персонала.
Обследование объектов информационной инфраструктуры в области аудита.
Анализ собранной информации и проведение оценки соответствия.
Предварительная оценка соответствия – подсчет баллов по факту.
Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
Расчет итоговой оценки по ГОСТ Р 57580.2-2018 по результатам всех доработок.
Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям Положения Банка России № 802-П.

Результаты и преимущества

По результатам выполнения работ формируется Отчет о проведенной оценке соответствия, содержащий:

выводы о степени соответствия требованиям Положения Банка России № 802-П;
выявленные несоответствия;
рекомендации по их устранению.

Своевременное выявление проблемных активов и недостатков в системе защиты информации снижает регуляторные и операционные риски и повышает устойчивость платежной инфраструктуры.

Что входит в услугу

Подготовительный этап.

Действия: сбор исходных данных, определение границ оценки, анализ архитектуры.
Результат: согласованные границы и план проведения оценки.

Анализ документации.

Действия: анализ ВНД, политик, регламентов, моделей угроз.
Результат: перечень несоответствий и пробелов в документах.

Интервью и обследование.

Действия: интервью с ответственными лицами, обследование инфраструктуры.
Результат: подтверждение фактической реализации мер ИБ.

Оценка соответствия.

Действия: расчет уровней соответствия по ГОСТ Р 57580.2.
Результат: предварительная и итоговая оценка соответствия.

Отчет и рекомендации.

Действия: подготовка отчета, формирование рекомендаций.
Результат: официальный отчет для внутреннего использования и регулятора.