Необходимость проведение стороннего аудита обоснована следующими положениями:
-
Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
-
Положение Банка России от 23 декабря 2020 г. № 747-П «О требованиях к защите информации в платежной системе Банка России».
-
Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
-
Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Наименование документа/кому необходимо выполнять |
Минимальный |
Стандартный |
Усиленный |
Периодичность проведения/необходимый уровень соответствия |
Последствия невыполнения |
Оценка соответствия ГОСТ 57580 |
|||||
683-п |
Не предъявлено |
Согласно п.3.1 Положения 683-П
|
Согласно п.3.1 Положения 683-П |
Согласно п.9 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года. |
ст.74 ФЗ №86 [1] |
Уровень соответствия не ниже 3
Уровень соответствия не ниже 4 |
|||||
747-П |
Не предъявлено |
ССНП согласно п.3 Положения 747-П (с 01.06.2021 вступило в силу) СБП согласно п.4 Положения 747-П (с 01.06.2021 вступило в силу) ОУИО СБП согласно п.5 Положения 747-П (с 01.01.2022 вступает в силу) |
Сегмент ОПКЦ Согласно п.6 Положения 747-П должен реализовывать усиленный уровень (с 01.06.2021 вступило в силу) |
Согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года (с 01.06.2021 вступило в силу). |
ст. 34 ФЗ №161 [2] |
Уровень соответствия не ниже 4 согласно ГОСТ Р 57580.2-2018 с 01.01.23. |
|||||
719-П |
Для БПА Согласно п.3.5 Положения 719-П |
Для Операторов по переводу денежных средств согласно п.2.3 Положения 719-П Для ОУИО согласно п.4.3 Положения 719-П Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6 Положения 719-П |
Для Операторов по переводу денежных средств согласно п.2.3 Положения 719-П Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6 Положения 719-П |
Операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7) должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в 2 года. |
Согласно ст.74 ФЗ №86
Согласно ст. 34 ФЗ №161 |
Уровень соответствия не ниже 4 в соответствии с ГОСТ Р 57580.2-2018 с 01.01.22. |
|||||
757-П |
Согласно п. 1.4.4 Положения 757-П (с 1.07.2022 вступает в силу) |
Согласно п. 1.4.3 Положения 757-П |
Согласно п. 1.4.2 Положения 757-П |
Согласно п.1.5.3: |
Согласно ст.74 ФЗ №86 |
► Уровень соответствия не ниже 3 в соответствии с ГОСТ 57580.2-2018 с 01.01.2022 до 30.06.2023. |
|||||
Приказ Минкомсвязи от 10.09.2021 №930 |
|
► П.4 приложения №3 Приказа №930 |
|
Ежегодное проведение оценки соответствия 2- уровню защиты установленному национальным стандартом РФ ГОСТ Р 57580.1-2017 с передачей в ЦБ РФ результатов проведения оценки внешним аудитором: |
Согласно ст.74 ФЗ №86 |
ОУД |
|||||
719-П |
Прикладное ПО АС и приложения, распространяемые клиентам ОПДС для совершения действий, непосредственно связанных с осуществлением переводов денежных средств.
Прикладное ПО, эксплуатируемое на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде, к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет".
Для проведения оценки соответствия прикладного ПО АС и приложений операторы по переводу денежных средств БПА (субагенты) с учетом особенностей, предусмотренных п. 3.11 настоящего Положения, ОУИО, ОУПИ должны привлекать проверяющие организации. |
|
Согласно ст.74 ФЗ №86
Согласно ст. 34 ФЗ №161 |
[1] При невыполнении финансовая организация обязана сформировать резервы на возможные потери, связанные с инцидентами ИБ. Также несоблюдение требований ГОСТ Р 57580 может привести к:
► смене руководящих должностных лиц компании;
► приостановке деятельности предприятия;
► штрафу в размере до 0,1% от уставного капитала фирмы.
[2] В случае выявления нарушений в части реализации требований ЦБ РФ вправе:
► направить предписание об устранении нарушения с указанием срока для его устранения;
► ограничить (приостановить) предписанием оказание операционных услуг;
► вынести Решение об исключении оператора платежной системы из реестра операторов платежных систем.
Просим обратить внимание на то, что в документах, разработанных ЦБ, указаны требования, предъявляемые к Отчёту об оценке соответствия ГОСТ 57580. Для того, чтобы аудитор засчитал требование выполненным, необходимо предоставить исчерпывающие доказательства выполнения каждого из требований ГОСТ 57580.1-2017. Ниже представлены требования, предъявляемые ЦБ к Отчёту.
Согласно п.8.2 ГОСТ 57580.2-2018 Отчет с оценкой соответствия и Приложения к нему должны включать:
- сведения об Исполнителе;
- сведения о руководителе и членах проверяющей группы;
- сведения о Заказчике;
- цель оценки;
- сроки проведения оценки;
- область оценки;
- резюме для руководства Заказчика;
- перечень неоцениваемых областей оценки (процессов, подпроцессов, направлений, мер) с обоснованием их исключения из области оценки;
- обоснование применения компенсирующих мер защиты информации при невозможности реализации отдельных выбранных мер;
- краткое изложение процесса оценки соответствия;
- числовое значение итоговой оценки соответствия защиты информации определенному уровню защиты информации;
- неразрешенные разногласия между Исполнителем и Заказчиком;
- перечень представителей со стороны Заказчика, которые сопровождали Исполнителя;
- опись документов (копий документов), прилагаемых к отчету с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету (если есть).
Согласно п.8.3 ГОСТ 57580.2-2018 к Отчету прилагаются и являются неотъемлемой частью:
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов);
- перечень выявленных нарушений защиты информации;
- рекомендации по совершенствованию защиты информации и устранению выявленных нарушений, в т.ч. по доработке локальных актов Заказчика;
- таблицы, содержащие числовые значения оценок процессов (подпроцессов) и направлений системы защиты информации;
- копии документов, являющихся свидетельствами выполнения требований защиты информации;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения требований защиты информации (при наличии).