Обзор Положения Банка России от 09.01.2019 № 672-П

Обзор Положения Банка России от 09.01.2019 № 672-П




Новое Положение Банка России № 672-П (вступает в силу с 06.04.2019) множит текущие печали банков (АРМ КБР-Н, ЕБС, КИИ), готовя их к неизбежному: выполнению к середине 2021 года требований  ГОСТ Р 57580.1-2017  “Безопасность финансовых (банковских) операций. При этом формально отменяя требования 552-П, Банк России оставляет за собой право спросить с банков во время аудиторских проверок отчет о выполнении всех требований 552-П, которые заблаговременно (я бы сказал “технично”) перенесены в Договор кредитной организации с Банком России  (см. Приложение 12 “Требования к защите информации, выполняемые клиентом - пользователем СПФС)”.
Теперь банк как участник платежной системы Банка России должен выполнять требования 672-П (наше светлое настоящее), как участник системы передачи финансовых сообщений (СПФС) – перенесенные из 552-П требования к защите информации, выполняемые клиентом - пользователем СПФС (наше светлое прошлое) и ГОСТ 57580.1-2017 (наше светлое будущее). Красивая перспектива.
Также сделана попытка согласовать Положение Банка России № 672-П с 382-П. Например, в 672-П есть отсылка (п.22) к  главе 3  Положения Банка России № 382-П по контролю Банком России за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Но привязать участника ССНП, участника СБП и ОПКЦ из 672-П к “оператору по переводу денежных средств” (ОПДС), “оператору платежных систем” (ОПС), “оператору услуг платежной инфраструктуры” (ОУПИ)” из 382-П – нетривиальная задача.
Итак, обо всем по порядку.
·  ГОСТ Р 57580.1-2017  упоминается в Положении № 672-П 4 раза, но не стоит драматизировать - самый ранний срок выполнения требований для участников ССНП и СБП - 01.07.2021 (для ОПКЦ – с 06.04.2019). Те же сроки и для  ГОСТ Р 57580.2-2017  “Методика оценки соответствия”.
· Вводятся новые понятия:
-“сервис срочного перевода и сервиса несрочного перевода” (ССНП), соответственно – “участник ССНП”;
-“сервис быстрых платежей” (СБП), соответственно – “участник СБП”;
-“операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей” (ОПКЦ).
· Требования к размещению объектов информационной инфраструктуры при осуществлении переводов денежных средств с использованием ССНП и СБП в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей необходимо обеспечить до 01.07.2021. (ранее похожие требования были регламентированы в пункте 2.1 главы 2 Положения № 552-П, а также в подпункте 7.4.5 СТО БР ИББС-1.0-2014). Но при этом в Приложении к Положению 672-П "Правила …" содержится требование по разделению контуров после перехода клиентов Банка России на новый АРМ КБР-Н, например, в п. 1.1 Приложения прописано: “Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров”.
· Применение мер защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный  ГОСТ Р 57580.1-2017 , для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП и СБП должны обеспечить до 01.07.2021.
· Для ОПКЦ – сегментирование и применение мер защиты информации, реализующих усиленный уровень (уровень 1) защиты информации, определенный  ГОСТ Р 57580.1-2017 с 06.04.2019 (дня вступления в силу Положения 672-П).
· Документы, определяющие состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации в рамках процессов (направлений) защиты информации, определенных  ГОСТ Р 57580.1-2017 , необходимо разработать до 01.07.2021.
· Участники ССНП, СБП и ОПКЦ обеспечивают защиту информации с помощью СКЗИ в соответствии с Положением ПКЗ-2005 и технической документацией на СКЗИ.
· Участники СБП обеспечивают регистрацию информации, указанной в п.п. 2.6.3 п. 2.6 Положения 382-П, и связанной с действиями клиентов участников СБП в целях информирования Банка России обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиентов в соответствии с гл. 1 Указания Банка России от 08.10.2018 № 4926-У (Участники информационного обмена должны направлять в Банк России информацию о переводах без согласия клиента в виде электронных сообщений и проч.).
· В соответствии с установленным Банком России новым сроком окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019, “формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ“ (п. 9) и “передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России“ (п. 10) должны осуществляться с 28.06.2019.
· Оценку соответствия по Методике национального стандарта Российской Федерации  ГОСТ Р 57580.2-2018  необходимо начать проводить с 01.07.2021.
· Участники ССНП, участники СБП и ОПКЦ должны обеспечить для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, уровень соответствия не ниже четвертого согласно  ГОСТ Р 57580.2-2018  до 01.01.2023.
· Участники СБП и ОПКЦ должны обеспечить двухстороннюю аутентификацию и шифрование информации на уровне звена данных (канальном?) или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в  ГОСТ Р ИСО/МЭК 7498-1-99 , прошедших процедуру оценки соответствия требованиям, до 01.07.2021.
· Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых установлены иные сроки вступления в силу, т.е. с учетом того, что документ был опубликован на сайте Банка России cbr.ru 26.03.2019, начало действия документа 06.04.2019 (за исключением отдельных положений, приведенных ниже в отдельной таблице).
· Со дня вступления в силу 672-П Положение Банка России от 24.08.2016 № 552-П "О требованиях к защите информации в платежной системе Банка России" признается утратившим силу. Но, как уже упоминалось выше, все требования 552-П к защите информации на участке платежной системы Банка России, (кроме требования хранения информации систем видеонаблюдения и контроля доступа не менее 3-х лет) перенесены в Договор кредитной организации с Банком России.

Таблица. Отдельные требования
Положения Банка России от 09.01.2019 № 672-П
с отсроченным сроком вступления в силу
№ пп
Требования Положения 672-П
Комментарии
1.
Пункты 3 и 4 настоящего Положения вступают в силу с 01.07.2021
Пункт 3
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее – осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017) (далее – ГОСТ Р 57580.1-2017).
Пункт 4
“4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее – участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрого перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017).”
Вступление в силу с 01.07.2021
2.
Пункты 9 и 10 настоящего Положения вступают в силу с 28.06.2019
Пункт 9
“9. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.”
Пункт 10
“10. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России.
Вступление в силу с 28.06.2019
(напомню Банком России был установлен новый срок окончания миграции на ПК АРМ КБР-Н и АРМ КБР-СПФС – 28.06.2019)
3.
Абз. 5 п.п. 14.4 п. 14  вступает  в силу с 01.07.2020.
абзац пятый п.п. 14.2
“применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.”
Вступление в силу с 01.07.2020
4.
П.п. 6.1 п. 6 , абзац четвертый п. 14.2, абзац шестой п.п. 14.3 п. 14, абзацы первый-четвертый п. 20 настоящего Положения вступают в силу с 01.07.2021:
П.п. 6.1 п. 6.
“6. Документы участников ССНП, участников СБП и ОПКЦ, определяющие порядок обеспечения защиты информации при осуществлении переводов денежных средств (далее – документы) …
6.1. Документы должны приниматься в рамках процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
обеспечение защиты информации при управлении доступом;
обеспечение защиты вычислительных сетей;
контроль целостности и защищенности информационной инфраструктуры;
защита от вредоносного кода;
предотвращение утечек информации;
управление инцидентами защиты информации;
защита среды виртуализации;
защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.”
абзац четвертый п.п. 14.2
“применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.”
абзац шестой п.п. 14.3
“применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.”
абзацы первый-четвертый п. 20
“20. Для оценки участниками ССНП, участниками СБП, являющимися субъектами, на которые распространяются требования Положения Банка России от 9 июня 2012 года № 382?П, и ОПКЦ выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее – оценка соответствия) устанавливаются следующие требования:
оценка соответствия должна проводиться в пределах указанного сегмента (группы сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения;
оценка соответствия должна проводиться в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденный приказом Росстандарта от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017) (далее - национальный стандарта Российской Федерации ГОСТ Р 57580.2-2018);
оценка соответствия должна проводиться не реже одного раза в два года, а также по требованию Банка России.”
Вступление в силу с 01.07.2021
5.
абзац пятый п. 20
П. 20. …
“Участники ССНП, участники СБП и ОПКЦ должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-5 настоящего Положения, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.”
Вступление в силу с 01.01.2023
6.
“П. 23. Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления в силу.
Пункты 9 и 10 настоящего Положения вступают в силу с 28.06.2019.
Абзац пятый подпункта 14.4 пункта 14 настоящего Положения вступает в силу с 01.07.2020.
Пункты 3, 4, подпункт 6.1 пункта 6, абзац четвертый подпункта 14.2, абзац шестой подпункта 14.3 пункта 14, абзацы первый-четвертый пункта 20 настоящего Положения вступают в силу с 01.07.2021.
Абзац пятый пункта 20 настоящего Положения вступают в силу с 01.01.2023.
Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года № 552-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 декабря 2016 года № 44582.”
В соответствии с п. 23 Положение 672-П вступает в силу с 06.04.2019 (документ был опубликован на сайте Банка России 26.03.2019)

Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)