Новое Положение Банка России № 672-П (вступает в силу с 06.04.2019) множит текущие печали банков (АРМ КБР-Н, ЕБС, КИИ), готовя их к неизбежному: выполнению к середине 2021 года требований ГОСТ Р 57580.1-2017 “Безопасность финансовых (банковских) операций”. При этом формально отменяя требования 552-П, Банк России оставляет за собой право спросить с банков во время аудиторских проверок отчет о выполнении всех требований 552-П, которые заблаговременно (я бы сказал “технично”) перенесены в Договор кредитной организации с Банком России (см. Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС)”.
Теперь банк как участник платежной системы Банка России должен выполнять требования 672-П (наше светлое настоящее), как участник системы передачи финансовых сообщений (СПФС) – перенесенные из 552-П требования к защите информации, выполняемые клиентом - пользователем СПФС (наше светлое прошлое) и ГОСТ 57580.1-2017 (наше светлое будущее). Красивая перспектива.
Также сделана попытка согласовать Положение Банка России № 672-П с 382-П. Например, в 672-П есть отсылка (п.22) к главе 3 Положения Банка России № 382-П по контролю Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Но привязать участника ССНП, участника СБП и ОПКЦ из 672-П к “оператору по переводу денежных средств” (ОПДС), “оператору платежных систем” (ОПС), “оператору услуг платежной инфраструктуры” (ОУПИ)” из 382-П – нетривиальная задача.
Итак, обо всем по порядку.
· ГОСТ Р 57580.1-2017 упоминается в Положении № 672-П 4 раза, но не стоит драматизировать - самый ранний срок выполнения требований для участников ССНП и СБП - 01.07.2021 (для ОПКЦ – с 06.04.2019). Те же сроки и для ГОСТ Р 57580.2-2017 “Методика оценки соответствия”.
· Вводятся новые понятия:
-“сервис срочного перевода и сервиса несрочного перевода” (ССНП), соответственно – “участник ССНП”;
-“сервис быстрых платежей” (СБП), соответственно – “участник СБП”;
-“операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей” (ОПКЦ).
· Требования к размещению объектов информационной инфраструктуры при осуществлении переводов денежных средств с использованием ССНП и СБП в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей необходимо обеспечить до 01.07.2021. (ранее похожие требования были регламентированы в пункте 2.1 главы 2 Положения № 552-П, а также в подпункте 7.4.5 СТО БР ИББС-1.0-2014). Но при этом в Приложении к Положению 672-П "Правила …" содержится требование по разделению контуров после перехода клиентов Банка России на новый АРМ КБР-Н, например, в п. 1.1 Приложения прописано: “Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров”.
· Применение мер защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017 , для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП и СБП должны обеспечить до 01.07.2021.
· Для ОПКЦ – сегментирование и применение мер защиты информации, реализующих усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017 , с 06.04.2019 (дня вступления в силу Положения 672-П).
· Документы, определяющие состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 , необходимо разработать до 01.07.2021.
· Участники ССНП, СБП и ОПКЦ обеспечивают защиту информации с помощью СКЗИ в соответствии с Положением ПКЗ-2005 и технической документацией на СКЗИ.
· Участники СБП обеспечивают регистрацию информации, указанной в п.п. 2.6.3 п. 2.6 Положения 382-П, и связанной с действиями клиентов участников СБП в целях информирования Банка России обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиентов в соответствии с гл. 1 Указания Банка России от 08.10.2018 № 4926-У (Участники информационного обмена должны направлять в Банк России информацию о переводах без согласия клиента в виде электронных сообщений и проч.).
· В соответствии с установленным Банком России новым сроком окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019, “формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ“ (п. 9) и “передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России“ (п. 10) должны осуществляться с 28.06.2019.
· Оценку соответствия по Методике национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 необходимо начать проводить с 01.07.2021.
· Участники ССНП, участники СБП и ОПКЦ должны обеспечить для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018 до 01.01.2023.
· Участники СБП и ОПКЦ должны обеспечить двухстороннюю аутентификацию и шифрование информации на уровне звена данных (канальном?) или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99 , прошедших процедуру оценки соответствия требованиям, до 01.07.2021.
· Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых установлены иные сроки вступления в силу, т.е. с учетом того, что документ был опубликован на сайте Банка России cbr.ru 26.03.2019, начало действия документа 06.04.2019 (за исключением отдельных положений, приведенных ниже в отдельной таблице).
· Со дня вступления в силу 672-П Положение Банка России от 24.08.2016 № 552-П "О требованиях к защите информации в платежной системе Банка России" признается утратившим силу. Но, как уже упоминалось выше, все требования 552-П к защите информации на участке платежной системы Банка России, (кроме требования хранения информации систем видеонаблюдения и контроля доступа не менее 3-х лет) перенесены в Договор кредитной организации с Банком России.
Таблица. Отдельные требования
Положения Банка России от 09.01.2019 № 672-П
с отсроченным сроком вступления в силу
Положения Банка России от 09.01.2019 № 672-П
с отсроченным сроком вступления в силу
№ пп | Требования Положения 672-П | Комментарии |
1. | Пункты 3 и 4 настоящего Положения вступают в силу с 01.07.2021 Пункт 3 3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее – осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017) (далее – ГОСТ Р 57580.1-2017). Пункт 4 “4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее – участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрого перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017).” | Вступление в силу с 01.07.2021 |
2. | Пункты 9 и 10 настоящего Положения вступают в силу с 28.06.2019 Пункт 9 “9. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.” Пункт 10 “10. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России.” | Вступление в силу с 28.06.2019 (напомню Банком России был установлен новый срок окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019) |
3. | Абз. 5 п.п. 14.4 п. 14 вступает в силу с 01.07.2020. абзац пятый п.п. 14.2 “применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.” | Вступление в силу с 01.07.2020 |
4. | П.п. 6.1 п. 6 , абзац четвертый п. 14.2, абзац шестой п.п. 14.3 п. 14, абзацы первый-четвертый п. 20 настоящего Положения вступают в силу с 01.07.2021: П.п. 6.1 п. 6. “6. Документы участников ССНП, участников СБП и ОПКЦ, определяющие порядок обеспечения защиты информации при осуществлении переводов денежных средств (далее – документы) … 6.1. Документы должны приниматься в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017: обеспечение защиты информации при управлении доступом; обеспечение защиты вычислительных сетей; контроль целостности и защищенности информационной инфраструктуры; защита от вредоносного кода; предотвращение утечек информации; управление инцидентами защиты информации; защита среды виртуализации; защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.” абзац четвертый п.п. 14.2 “применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.” абзац шестой п.п. 14.3 “применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.” абзацы первый-четвертый п. 20 “20. Для оценки участниками ССНП, участниками СБП, являющимися субъектами, на которые распространяются требования Положения Банка России от 9 июня 2012 года № 382?П, и ОПКЦ выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее – оценка соответствия) устанавливаются следующие требования: оценка соответствия должна проводиться в пределах указанного сегмента (группы сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения; оценка соответствия должна проводиться в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденный приказом Росстандарта от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017) (далее - национальный стандарта Российской Федерации ГОСТ Р 57580.2-2018); оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.” | Вступление в силу с 01.07.2021 |
5. | абзац пятый п. 20 П. 20. … “Участники ССНП, участники СБП и ОПКЦ должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.” | Вступление в силу с 01.01.2023 |
6. | “П. 23. Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления в силу. Пункты 9 и 10 настоящего Положения вступают в силу с 28.06.2019. Абзац пятый подпункта 14.4 пункта 14 настоящего Положения вступает в силу с 01.07.2020. Пункты 3, 4, подпункт 6.1 пункта 6, абзац четвертый подпункта 14.2, абзац шестой подпункта 14.3 пункта 14, абзацы первый-четвертый пункта 20 настоящего Положения вступают в силу с 01.07.2021. Абзац пятый пункта 20 настоящего Положения вступают в силу с 01.01.2023. Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года № 552-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 декабря 2016 года № 44582.” | В соответствии с п. 23 Положение 672-П вступает в силу с 06.04.2019 (документ был опубликован на сайте Банка России 26.03.2019) |