О чем новое положение Банка России 719-П

23 сентября 2020 года вышло новое положение Банка России 719-П, которое регламентирует требования к информационной безопасности при работе с транзакциями различных финансовых организаций. Кроме этого, положение объясняет деятельность Банка России, который выступает в качестве надзорного органа за процессами создания необходимых защитных мер.

Положение к началу 2022 года должно стать преемником действующего сейчас 382-П. В «новой редакции» появился ряд изменений, о которых мы и поговорим ниже.

Что нового в 719-П

Ключевое отличие 719-П в том, что оно охватывает куда больший спектр финансовых организаций, чем 382-П. Под действие положения попадают операторы услуг информационного обмена, а также поставщики платежных приложений, для которых существуют предписания по информационной безопасности. Вместе с этим, положение продолжает распространяться на деятельность банков, операторов услуг платежной инфраструктуры и платежных агентов и субагентов.

Операторы по переводам денежных средств оказались в практически безвыходной ситуации, поэтому обязаны будут выполнять другое предписание — 683-П. Кроме этого, изменился подход к определению уровней доверия, что теоретически можно считать одним из полезнейших нововведений. Прикладное ПО автосистем и приложений теперь подлежит обязательной сертификации. Это касается банковских приложений, онлайн-кошельков, которым теперь приписывается уровень доверия не ниже пятого, но для значимых кредитных организаций уровень повышается до четвертого.

Большая часть требований к защите информации теперь содержится в ГОСТ 57580.1, тогда как 719-П в значительной степени посвящен распределению ролей, полномочиям, требованиям к техническому процессу переводов денежных средств.

Пока сложно говорить в какую сторону, но изменения в новом положении серьезно изменили работу суб/агентов, на которых отныне распространяется сертификация ПО вплоть до шестого уровня.

Касательно работы с клиентами — появился этап дополнительной верификации электронных почтовых адресов. На них операторы теперь будут в обязательном порядке присылать выписки и подтверждения переводов. Возможно, нововведение связано с участившимися случаями хищений через мошеннические схемы, которые запрашивают у клиентов различных банков информацию о последних платежах или переводах, чтобы заставить абонентов озвучивать ключевые слова для отмены операций.

В 719-П упоминается все та же оценка соответствия по ОУД4 , что вызывает у экспертов больше всего вопросов, поскольку анализ уязвимости банковских приложений до сих пор имеет ряд непрозрачных моментов, с другой — многие уже посчитали его реликтовым, поэтому в современном прочтении просто нет четкого понимания, как ему соответствовать.

Потенциальные проблемы 719-П

В связи с тем, что положение 683-П также в ближайшем будущем подвергнется ряду изменений (проект уже представлен), обновления рискуют образовать несколько сущностей, которые противоречат друг другу и используют разную терминологию.

Например, в 683-П ранее говорилось о лицензиате ФСТЭК, но теперь произошла замена в пользу «проверяющей организации». Если представить, что почти в это же время выходит Положение 719-П, в котором говорится о лицензиате ФСТЭК, то налицо рассинхронизация плотно связанных обновлений законодательства. Причем нет ясности: или 719-П возвращает нас в прошлое и выходит с устаревшей формулировкой, или к выходу правок в 683-П власти решили отказаться от данного термина.

Тем не менее, даже это недопонимание не является центральной проблемой. Дело в том, что 683-П допускает самостоятельную оценку банками собственного ПО, а 719-П запрещает подобные действия. Банки же должны соблюдать оба положения, и за ошибки в данном пункте могут получить серьезный штраф от регулятора.

Чем руководствоваться в такой ситуации — пока нет четкой ясности. Остается надеяться, что проект изменений 683-П изменится к релизной версии и снимет ряд противоречий, которые положение провоцирует в текущем виде.

Заключение

Пока общее впечатление от 719-П скорее положительное, но неоднозначное. Дело даже не столько в конфликте версий и положений, сколько в общей ситуации на рынке информационной безопасности, который подвергся нескольким крупным изменениям за небольшой промежуток времени. Безусловно, большинство изменений являются необходимыми стандартами защиты данных, которые представляют для современных мошенников все больший интерес, судя по растущему количеству киберпреступлений. В это же время, многие организации рискуют получить штрафы из-за неоднозначного законодательства, если в проект не будут внесены изменения. С другой стороны, бизнесу будет непросто адаптироваться в изменившихся реалиях.
Специалисты ITGLOBAL.COM всегда готовы ответить на интересующие вопросы и провести  оценку соответствия положениям и стандартам регулятора.