Царев Евгений
Эксперт в сфере информационной безопасности
Введение
Положение ЦБ РФ №802 (802-П) – это замена потерявшему актуальность нормативно правовому акту. Сфера регуляции документа – организация защищенного взаимодействия с системой быстрых платежей. Далее проанализируем ключевые требования данного нормативно-правового документа и определим главные нововведения положения.
Содержание документа
В утвержденном положении изложены пункты требований к организации системы защиты информации для участников платежной системы Банка России. Большая часть требований была унаследована от утратившего силу 747-П и распространяются на прямых и косвенных участников платежной системы Банка России.
Основными требованиями утвержденного положения являются указания к выделению отдельного сегмента сети организации для инфраструктуры платежной системы Банка России и соблюдение требований по реализации информационной безопасности в выделенном сегменте.
Вычленим из текста новой редакции основные пункты:
- Применение электронной подписи для подписания сообщений, передаваемых через платежную систему Банка России в платежных и информационных сообщениях.
- Реализация системы защиты электронных сообщений в СБП.
- Соблюдение требований к порядку эксплуатации СКЗИ (ПКЗ-2005)
- Соблюдение определенного порядка информирования Банка России об инцидентах информационной безопасности
- Документарное определение требований к обеспечение информационной безопасности
- Применение мер защиты информации согласно второму уровню защиты по ГОСТ 57580.1, обеспечение уровня соответствия не ниже четвертого по методике, изложенной в ГОСТ 57580.2.
- Иные пункты содержательной части
Основные изменения в сравнении с 747-П
Внесенные в новое положение изменения связаны с:
- Актуализацией нормативной базы
- Запросами о разъяснения изложенных в 747-П требований
- Актуализаций отдельных групп нарушителей и связанных возможных рисков информационной безопасности
- Актуализация ссылок на нормативные документы основана на введении положения №719 (требования по обеспечению ИБ при ПДС и порядок контроля Банка России) (актуализация утратившего силу положения 382-П)
Относительно пунктов 719-П определяются:
- Перечень защищаемой информации, к процессу обработки и защиты которой предъявляются требования (ссылки на пункты 719-П и приложения)
- Порядок контроля Банка России за осуществлением требований и порядок информирования Банка России, указанный в главе 7
- Также необходимо отметить введение нового указания БР №6060, согласно которому должно осуществляться информирование Банка России (изменение станет актуально с 01.01.23)
Изменения претерпели требования к порядку использования СКЗИ и принцип формирования ключей:
- В положении определено новое требование для операторов услуг информационного обмена системы быстрых платежей о соблюдении требований ПКЗ 2005 в рамках использования систем криптозащиты
- Криптоключи, применяемые для шифрования и подписания сообщений, пересылаемых Банком России и операционным платежным клиринговым центром СБП между собой, формируются операционным платежным клиринговым центром СБП (ранее обязанности могли перекладываться на договорной основе между Банком России и оператором внешней платежной системы)
- Криптоключи, применяемые для шифрования и подписания сообщений, пересылаемых участником СБП и операционным платежным клиринговым центром СБП между собой, формируются участником СБП (ранее обязанности могли перекладываться на договорной основе между участником СБП и операционным платежным клиринговым центром СБП)
Важно!
Помимо перечисленных выше изменений, можно выделить новую формулировку пункта, определяющего алгоритм взаимодействия участников СБП и Банка России в области реагирования на инциденты информационной безопасности и порядок блокирования/разблокирования конечных клиентов организаций, являющихся участниками СБП: с введением 802-П информирование должно осуществляться при каждом случае блокирования идентификатора клиента, с предоставлением данных о проведенных мероприятиях по обнаружению, ликвидации последствий и предотвращению повторного возникновения инцидента на стороне участника СБП или организации-клиента участника СБП.(ранее информирование производилось только в случае вынесения организацией собственного решения о проведении разблокировки идентификатора собственного клиента или клиента организации-клиента).
Заключение
Внесенные в положение изменения говорят о пересмотре подхода к организации защиты данных о платежных операциях при передаче платежных сообщений. Перечисленные преобразования содержания основополагающего положения отражают необходимость повышения уровня информационной безопасности в платежной системе Банка России.
Обозначенные нововведения и установленные ограничения направлены на стандартизацию подхода к организации взаимодействия с системой быстрых платежей, в т.ч. на усиление контроля за использованием услуг платежной системы Банка России иностранными финансовыми компаниями и клиентами и компаниями непрямыми участниками СБП.
Источник: RTM GROUP