Банк России опубликовал проект изменений в Положение № 821-П. Ниже представлены основные изменения:
📌 Новые требования к организациям, проводящим оценку соответствия требованиям ГОСТ 57580.1.
Проверяющие организации, помимо лицензии на ТЗКИ, должны подтвердить соответствие требованиям ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования».
📌 Регулярность анализа уязвимостей ПО по ОУД.
Сертификация в системе ФСТЭК или оценка соответствия по требованиям к ОУД необходима при каждом внесении изменений в исходный код прикладного ПО, участвующего в платежных операциях.
Сертификация или оценка соответствия не требуется, если компания-разработчик имеет заключение от внешней проверяющей организации о том, что её процессы разработки ПО соответствуют мерам, описанным в разделе 7.4 «Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций».
📌 Необходимость использования усиленной электронной подписи.
Все участники платежной системы, к которым применимы требования Положения № 821-П, при передаче электронных сообщений между собой в рамках осуществления платежей, должны использовать сертифицированные средства и удостоверяющие центры для установки и проверки электронной подписи.
📌 Требования ИБ при осуществлении трансграничных переводов.
Если компания осуществляет трансграничные переводы, то обеспечение ИБ этого процесса должно осуществляться на основании соглашения с центральным банком другого государства, иностранным банком или иностранным регулятором финансового рынка. Копию данного соглашения с описанием порядка обеспечения ИБ необходимо будет предоставить в Банк России.
📌 Сроки информирования Банка России об инцидентах ИБ.
Установлена необходимость и сроки передачи в Банк России сведений о выявленных инцидентах или произошедших утечках информации, и о результатах расследований данных инцидентов. Также установлены сроки предоставления информации об инцидентах по запросу Банка России.
📌 Оценка выполнения требований Банка России по ИБ.
В изменениях явно описана необходимость планировать, реализовывать, контролировать и совершенствовать технические меры защиты, описанные в Положениях Банка России. Оценки выполнения данных процедур должны проводиться в соответствии с порядком, описанным в формах отчетности:
- 0409071 - для кредитных организаций,
- 0403202 - для некредитных организаций,
- 0420722 - для операторов электронных платформ.
Операторы по переводу денежных средств обязаны проводить данную оценку раз в два года наряду с оценкой соответствия требованиям ГОСТ 57580.1.
📌 Уточнение об итоговом уровне защиты при объединении нескольких контуров.
Уровень защиты для всего контура определяется по самой критичной его части. То есть, если в компании реализован единый контур защиты информации, объединяющий разные контуры, для которых по требованиям Положений Банка России применимы разные уровни защиты информации, то для всего единого контура необходимо реализовать максимальный из этих уровней защиты.
📌 Расширение состава регистрируемой информации о пользователях при совершении платежных операций через системы ДБО.
📌 Расширение перечня поднадзорных организаций – теперь к ним относятся и филиалы иностранных банков.
Планируется, что перечисленные изменения вступят в силу с 1 октября 2025 года.
📌 Новые требования к организациям, проводящим оценку соответствия требованиям ГОСТ 57580.1.
Проверяющие организации, помимо лицензии на ТЗКИ, должны подтвердить соответствие требованиям ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования».
📌 Регулярность анализа уязвимостей ПО по ОУД.
Сертификация в системе ФСТЭК или оценка соответствия по требованиям к ОУД необходима при каждом внесении изменений в исходный код прикладного ПО, участвующего в платежных операциях.
Сертификация или оценка соответствия не требуется, если компания-разработчик имеет заключение от внешней проверяющей организации о том, что её процессы разработки ПО соответствуют мерам, описанным в разделе 7.4 «Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций».
📌 Необходимость использования усиленной электронной подписи.
Все участники платежной системы, к которым применимы требования Положения № 821-П, при передаче электронных сообщений между собой в рамках осуществления платежей, должны использовать сертифицированные средства и удостоверяющие центры для установки и проверки электронной подписи.
📌 Требования ИБ при осуществлении трансграничных переводов.
Если компания осуществляет трансграничные переводы, то обеспечение ИБ этого процесса должно осуществляться на основании соглашения с центральным банком другого государства, иностранным банком или иностранным регулятором финансового рынка. Копию данного соглашения с описанием порядка обеспечения ИБ необходимо будет предоставить в Банк России.
📌 Сроки информирования Банка России об инцидентах ИБ.
Установлена необходимость и сроки передачи в Банк России сведений о выявленных инцидентах или произошедших утечках информации, и о результатах расследований данных инцидентов. Также установлены сроки предоставления информации об инцидентах по запросу Банка России.
📌 Оценка выполнения требований Банка России по ИБ.
В изменениях явно описана необходимость планировать, реализовывать, контролировать и совершенствовать технические меры защиты, описанные в Положениях Банка России. Оценки выполнения данных процедур должны проводиться в соответствии с порядком, описанным в формах отчетности:
- 0409071 - для кредитных организаций,
- 0403202 - для некредитных организаций,
- 0420722 - для операторов электронных платформ.
Операторы по переводу денежных средств обязаны проводить данную оценку раз в два года наряду с оценкой соответствия требованиям ГОСТ 57580.1.
📌 Уточнение об итоговом уровне защиты при объединении нескольких контуров.
Уровень защиты для всего контура определяется по самой критичной его части. То есть, если в компании реализован единый контур защиты информации, объединяющий разные контуры, для которых по требованиям Положений Банка России применимы разные уровни защиты информации, то для всего единого контура необходимо реализовать максимальный из этих уровней защиты.
📌 Расширение состава регистрируемой информации о пользователях при совершении платежных операций через системы ДБО.
📌 Расширение перечня поднадзорных организаций – теперь к ним относятся и филиалы иностранных банков.
Планируется, что перечисленные изменения вступят в силу с 1 октября 2025 года.