ITGLOBAL.COM Security проведет детальный аудит секции платежных систем ПСРБ и поможет выявить, а также устранить нарушения Положения 747-П. Вы получите отчет с описанием вашей ИТ-инфраструктуры и процессов ИБ, а также подробные рекомендации по соблюдению требований Положения 747-П и ГОСТ Р 57580.
Краткое введение в регулирование 747-P
Положение 747 п заменяет Положение 672-П и описывает требования к информационной безопасности платежных систем российских банков. Помимо требований к документации и СКЗИ, регламент также содержит требования по оценке соответствия ГОСТ Р 57580.
- Соответствие ГОСТ Р 57580 уровень 3 к 1 июля 2021 года.
- К 1 января 2023 года он должен соответствовать ГОСТ Р 57580 на уровне 4
- Несоблюдение требований Положения 747-П влечет за собой административную ответственность.
Что нового в с 747-П?
Положение 747-П — это новый документ, зарегистрированный Министерством юстиции РФ 3 февраля 2021 года и содержащий требования по защите информации для Платежной системы Банка России (ПСБ). Ранее такие требования были изложены в Положении 672-П. Однако с выпуском 747-P предыдущие документы утратили силу.
Принципиальной разницы в составе и содержании требований этих двух регламентов нет. Если эти требования были ранее применимы к вашей организации, то они не изменились и для вас.
На кого он распространяется?
Требования Положения 747-П по информационной безопасности для ПСРБ распространяются на их прямых участников. Как и в 672-П, следующие организации должны соблюдать эти требования
Операционный центр
Другая платежная клиринговая палата для платежных систем, при предоставлении услуг по проведению транзакций и платежного клиринга с использованием SBCPs (SPCPs) для перевода средств.
С введением 747-P в этот список были добавлены операторы клиринговых услуг, предоставляющие клиринговые услуги участникам биржи при использовании услуг мгновенных платежей СБС (IPSS) для осуществления переводов средств.
Примечание: При проверке соответствия требованиям Положения 747-П необходимо учитывать соответствующие положения. Несоблюдение российского законодательства является свидетельством несоответствия (федеральные законы, другие нормативные акты упоминаются в требованиях).
Стоит отметить, что не все положения 747-П вступили в силу одновременно с публикацией документа. Некоторые требования вступают в силу позже.
В Положении 747-П можно провести различие между общими требованиями, содержащими технические и организационные меры по защите информации, и требованиями по соблюдению ГОСТ Р 57580 и проведению оценки соответствия.
В целом, общие требования следующие:
- Работа с электронной информацией с помощью зашифрованных средств.
- Необходимость размещения объектов SBP и SSNP (службы экстренной и неэкстренной передачи) в выделенной части сети организации.
- Процедуры информирования Банка России об инцидентах.