Оценка соответствия требованиям Положения Банка России №821-П

Оценка соответствия требованиям Положения Банка России №821-П в части обеспечения защиты информации при осуществлении переводов денежных средств и соблюдения требований Банка России к операторам платежной инфраструктуры.

Узнать стоимость услуги

Эксперты ответственные за направление

Максим Валерьевич Грищишен

Коммерческий директор САЙБЕР Бизнес Колсантинг

Опыт

Более 15 лет опыта в ИТ
Алексей Михайлович Карпушкин

Руководитель практики услуг по информационной безопасности и IT

Опыт

Более 10 лет опыта в ИТ
Михаил Константинович Манцуров

Руководитель направления аудита и консалтинга по информационной безопасности

Опыт

Более 15 лет опыта в ИБ

Что такое оценка соответствия требованиям Положения Банка России № 821-П

Положение Банка России № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» устанавливает обязательные требования по защите информации для организаций, участвующих в платежных и расчетных процессах.

Положение 821-П пришло на смену Положению Банка России № 719-П и продолжает, изменяет и дополняет его требования, расширяя круг субъектов регулирования и конкретизируя требования к оценке соответствия, мерам защиты информации и взаимодействию с Банком России.

Цель услуги – проведение независимой оценки выполнения требований Положения Банка России № 821-П, выявление несоответствий и формирование рекомендаций по приведению системы защиты информации в соответствие требованиям регулятора.

На кого распространяется действие Положения 821-П

Требования Положения Банка России № 821-П распространяются на кредитные организации, а именно на:

операторов по переводу денежных средств (ОПДС);
банковских платежных агентов (субагентов);
операторов услуг информационного обмена (ОУИО);
поставщиков платежных приложений;
операторов платежных систем (ОПС);
операторов услуг платежной инфраструктуры (ОУПИ);
операторов электронных платформ (ОЭП).

Документы и нормативная база

В рамках оценки соответствия анализируется выполнение требований:

Положения Банка России № 821-П;
ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018;
Федерального закона № 187-ФЗ (КИИ);
Федерального закона № 152-ФЗ (ПДн);
Приказа ФСТЭК России от 02.06.2020 № 76;
Методических рекомендаций Банка России (в части оценки соответствия и отчетности).

Ключевые изменения и отличия от Положения 719-П

Требования в части оценки соответствия 821-П:

Не реже 1 раза в 2 года проходить независимую оценку соответствия ГОСТ Р 57580.1-2017 при участии лицензиата ФСТЭК (Постановление Правительства № 79).
Ежегодно проводить тестирование на проникновение.
Ежегодно проводить анализ уязвимостей прикладного программного обеспечения по оценочному уровню доверия не ниже 4-го (ОУД-4).

Иные требования 821-П:

Организация использования криптографии, в т.ч. электронной подписи.
Реализация уровня защиты по ГОСТ 57580.1 и периодического аудита на соответствие.
Проведение тестирования на проникновение.
Использование ПО, прошедшего сертификацию или оценку уровня доверия (ОУД-4 или ОУД-5 в зависимости от применяемого уровня защиты информации).
Выполнение требований 187-ФЗ (КИИ), выполнение требований 152-ФЗ (ПДн).
Информирование Банка России об обнаруженных инцидентах.
Реализация технологических мер защиты информации по ГОСТ 57580.1-2017.
Внутренняя регламентация реализованных мер и процессов защиты информации.

Отдельно Положение 821-П вводит новую категорию субъектов — операторов электронных платформ, для которых установлены специальные требования (глава 7), включая применение мер защиты информации по ГОСТ Р 57580.1-2017, проведение независимой оценки и ежегодных тестирований.

Ключевые отличия от Положения 719-П:

Введение новой категории организаций — операторов электронных платформ, с отдельной главой 7, где детализированы требования:
- п.7.1 — выполнение требований главы 2 Положения № 757-П для операторов финансовых платформ;
- п.7.2 — выполнение требований главы 3 Положения № 757-П для операторов информационных систем выпуска ЦФА и обмена ЦФА;
- п.7.3 — применение мер защиты информации по уровням из п.6.7 ГОСТ Р 57580.1-2017;
- п.7.4, 7.5, 7.6 — требования по защите операций по номинальному счету и технологическим мерам.
Для операторов электронных платформ действуют требования о независимой оценке по ГОСТ Р 57580.2-2018, ежегодном тестировании на проникновение и анализе уязвимостей.
Дополнена формулировка п.1.5 об информировании Банка России об инцидентах с отсылкой к 187-ФЗ.
Добавлено требование информировать Банк России о сайтах в сети «Интернет», используемых для деятельности.
Конкретизирован п.2.4: уровень соответствия защиты информации не ниже четвертого по ГОСТ Р 57580.2-2018.
Уточнен п.2.5: для системно значимых кредитных организаций и значимых на рынке платежных услуг — сертификация ПО не ниже 4 уровня доверия по Приказу ФСТЭК № 76 (ранее ссылка на № 131). Для остальных — не ниже 5 уровня.
Внесены правки в п.2.8 об ограничениях параметров операций с отсылкой к 161-ФЗ.
В п.2.10 удалено слово «могут», формулировка стала обязательной для применения ограничений.
Удален п.2.12 о контроле показателя уровня переводов без согласия клиента.

Этапы оказания услуги

Работы по оценке соответствия требованиям Положения Банка России № 821-П проводятся в соответствии с ГОСТ Р 57580.2-2018 и включают последовательные этапы обследования, анализа и оценки.

Сбор сведений об информационной инфраструктуре Банка.
Сбор сведений о существующей документации в области обеспечения защиты информации. Анализ документов и получение свидетельств аудита.
Интервьюирование ответственного персонала.
Обследование объектов информационной инфраструктуры в области аудита.
Анализ собранной информации и проведение оценки соответствия.
Предварительная оценка соответствия – подсчет баллов по факту.
Разработка рекомендаций по доработке системы обеспечения информационной безопасности – либо не достигнута целевая оценка, либо предоставляется для оценки (промежуточный итог – результат предварительной оценки соответствия).
Внесение изменений в соответствии с рекомендациями (выполняется заказчиком или с привлечением исполнителя).
Расчет итоговой оценки по ГОСТ Р 57580.2-2018 по результатам всех доработок.
Подготовка отчетных документов по результатам выполнения оценки соответствия требованиям Положения Банка России № 821-П.

Нужна консультация по услуге?

Результаты и преимущества

По результатам выполнения работ подготавливается:

Отчет о проведенной оценке соответствия в соответствии с ГОСТ Р 57580.2-2018;
выводы о степени соответствия требованиям Положения Банка России № 821-П;
рекомендации по устранению выявленных несоответствий;
помощь в подготовке отчетности для Банка России по форме методических рекомендаций 3-МР от 06.03.2025.

Мы помогаем бизнесу пройти путь от формальной оценки соответствия к повышению зрелости информационной безопасности и реальной защищенности.

Что входит в услугу

Сбор сведений об инфраструктуре.

Действия: сбор информации об объектах ИТ и платежной инфраструктуры.
Результат: сформирован перечень объектов оценки.

Анализ документации.

Действия: анализ ЛНА, политик и регламентов ИБ.
Результат: выявленные несоответствия требованиям 821-П.

Интервьюирование персонала.

Действия: интервью с ответственными сотрудниками.
Результат: подтверждение фактического выполнения требований.

Обследование инфраструктуры.

Действия: обследование объектов ИИ в рамках аудита.
Результат: фактическая картина реализации мер защиты.

Проведение оценки соответствия.

Действия: анализ данных и подсчет баллов.
Результат: предварительная оценка соответствия.

Разработка рекомендаций.

Действия: подготовка корректирующих мероприятий.
Результат: план повышения уровня соответствия.

Итоговая оценка и отчетность.

Действия: расчет итоговой оценки и подготовка отчета.
Результат: отчет по ГОСТ Р 57580.2-2018.