Защита финансовых организаций

Защита финансовых организаций
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Необходимость проведение стороннего аудита обоснована следующими положениями:

  • Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

  • Положение Банка России от 25 июля 2022 г. № 802-П «О требованиях к защите информации в платежной системе Банка России».

  • Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

  • Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Наименование документа/кому необходимо выполнять

Минимальный
(3 уровень ЗИ)

Стандартный
(2 уровень ЗИ)

Усиленный
(1 уровень ЗИ)

Периодичность проведения/необходимый уровень соответствия

Последствия невыполнения

Оценка соответствия ГОСТ 57580

 

 683-п
(кредитные организации)

 Не предъявлено

 Согласно п.3.1 Положения 683-П

 Согласно п.3.1 Положения 683-П

 Согласно п.9 оценка соответствия ГОСТ 57580 не реже одного раза в 2 года.

 ст.74 ФЗ №86 [1]

 Уровень соответствия не ниже 4 (Ei > 0,85) в соответствии с ГОСТ 57580.2-2018

 802-П
Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП

 Не предъявлено

 

 ССНП согласно п.3 Положения 802-П

 СБП согласно п.4 Положения 802-П 

 ОУИО СБП согласно п.6 Положения 802-П


 ОПКЦ согласно п.5 Положения 802-П 

 Согласно п.19 оценка соответствия ГОСТ 57580 не реже одного раза в 2 года

 ст. 34 ФЗ №161 [2]

 Уровень соответствия не ниже 4 (Ei > 0,85) в соответствии с ГОСТ 57580.2-2018

 719-П
ОПДС, БПА, ОПС, ОУИО, Поставщик платежных приложений (ППП); Платежный агрегатор (ПА) ОУПИ, осуществляющие:
 ► деятельность операционных центров (ОЦ)
 ► деятельность платежных клиринговых центров (ПКЦ)
 ► деятельность расчетных центров (РЦ)

 БПА Согласно п.3.5 Положения 719-П

 

 ОПДС согласно п.2.3 Положения 719-П

 ОУИО согласно п.4.3 Положения 719-П

 Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6 Положения 719-П

 

 ОПДС согласно п.2.3 Положения 719-П

 Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6 Положения 719-П

 Операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7) должны обеспечить оценку соответствия ГОСТ 57580 не реже одного раза в 2 года.

 ст.74 ФЗ №86

 ст. 34 ФЗ №161

 Уровень соответствия не ниже 4 (Ei > 0,85) в соответствии с ГОСТ 57580.2-2018

 757-П
(некредитные финансовые организации)

 Согласно п. 1.4.4 Положения 757-П 

 Согласно п. 1.4.3 Положения 757-П

 Согласно п. 1.4.2 Положения 757-П

 Согласно п.1.5.3:
► Организации, реализующие 1 уровень защиты должны обеспечить оценку соответствия ГОСТ 57580 ежегодно;

► Организации, реализующие 2 уровень должны обеспечить оценку соответствия ГОСТ 57580 не реже одного раза в 3 года

 Согласно ст.74 ФЗ №86

► Уровень соответствия не ниже 4 в соответствии с ГОСТ 57580.2-2018

 Приказ Минкомсвязи от 10.09.2021 №930  Не предъявлено  ► П.4 приложения №3 Приказа №930  Не предъявлено  Согласно п. 7.2 приложения № 1 оценка соответствия ГОСТ 57580 ежегодно  Согласно ст.74 ФЗ №86

Оценка соответствия требования к ОУД 4

 683-П 

(кредитные организации)

 
Прикладное ПО АС и приложения, распространяемые кредитной организацией клиентам для совершения действий в целях осуществления банковских операций.

 Прикладное ПО, обрабатывающее защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет».

 ст.74 ФЗ №86
 757-П
(некредитные финансовые организации)
 
 Прикладное ПО АС и приложения, распространяемые некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций.

 Прикладное ПО, обрабатывающее защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет».

 ст.74 ФЗ №86
 
719-П

ОПДС, БПА, ОПС, ОУИО, поставщик платежных приложений (ППП), платежный агрегатор (ПА), ОУПИ, осуществляющие:

 - деятельность операционных центров (ОЦ)
 - деятельность платежных клиринговых центров (ПКЦ)
 - деятельность расчетных центров (РЦ)
 Прикладное ПО АС и приложения, распространяемые клиентам ОПДС для совершения действий, непосредственно связанных с осуществлением переводов денежных средств.

 Прикладное ПО, эксплуатируемое на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет».  
 ст.74 ФЗ №86
 ст. 34 ФЗ №161

[1] При невыполнении финансовая организация обязана сформировать резервы на возможные потери, связанные с инцидентами ИБ. Также несоблюдение требований ГОСТ Р 57580 может привести к:
► смене руководящих должностных лиц компании;
► приостановке деятельности предприятия;
► штрафу в размере до 0,1% от уставного капитала фирмы. 

[2] В случае выявления нарушений в части реализации требований ЦБ РФ вправе:
► направить предписание об устранении нарушения с указанием срока для его устранения;
► ограничить (приостановить) предписанием оказание операционных услуг;
► вынести Решение об исключении оператора платежной системы из реестра операторов платежных систем.


Просим обратить внимание на то, что в документах, разработанных ЦБ, указаны требования, предъявляемые к Отчету об оценке соответствия ГОСТ 57580. Для того, чтобы аудитор засчитал требование выполненным, необходимо предоставить исчерпывающие доказательства выполнения каждого из требований ГОСТ 57580.1-2017. Ниже представлены требования, предъявляемые ЦБ к Отчету.


Согласно п.8.2 ГОСТ 57580.2-2018 Отчет с оценкой соответствия и Приложения к нему должны включать:

  • Сведения об Исполнителе;
  • Сведения о руководителе и членах проверяющей группы;
  • Сведения о Заказчике;
  • Цель оценки;
  • Сроки проведения оценки;
  • Область оценки;
  • Резюме для руководства Заказчика;
  • Перечень неоцениваемых областей оценки (процессов, подпроцессов, направлений, мер) с обоснованием их исключения из  области оценки;
  • Обоснование применения компенсирующих мер защиты информации при невозможности реализации отдельных выбранных мер;
  • Краткое изложение процесса оценки соответствия;
  • Числовое значение итоговой оценки соответствия защиты информации определенному уровню защиты информации;
  • Неразрешенные разногласия между Исполнителем и Заказчиком;
  • Перечень представителей со стороны Заказчика, которые сопровождали Исполнителя;
  • Опись документов (копий документов), прилагаемых к отчету с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
  • Опись машинных носителей информации, прилагаемых к отчету (если есть).

Согласно п.8.3 ГОСТ 57580.2-2018 к Отчету прилагаются и являются неотъемлемой частью:

  • Заполненные листы для сбора свидетельств оценки процессов (подпроцессов);
  • Перечень выявленных нарушений защиты информации;
  • Рекомендации по совершенствованию защиты информации и устранению выявленных нарушений, в т.ч. по доработке локальных актов Заказчика;
  • Таблицы, содержащие числовые значения оценок процессов (подпроцессов) и направлений системы защиты информации;
  • Копии документов, являющихся свидетельствами выполнения требований защиты информации;
  • Машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения требований защиты информации (при наличии).

Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.