Оценка соответствия положениям Банка России
Ваша операционная надежность и информационная безопасность под контролем: от 719-П до ФЗ-572
Для кого требуется оценка соответствия
Основная цель оценки соответствия — убедиться, что финансовая организация адекватно защищает критически важную информацию: данные клиентов, информацию о финансовых сообщениях, информацию о транзакциях, а также о несанкционированных переводов денежных средств. Оценка проводится в соответствии с национальным стандартом ГОСТ Р 57580.1-2017 «Защита информации финансовых организаций» и методикой ГОСТ Р 57580.2-2018.
Требования Положений ЦБ РФ применяются к широкому спектру финансовых организаций:
Положения Банка России
В условиях стремительной цифровизации и роста киберугроз, информационная безопасность (ИБ) является основой устойчивости финансовой системы. Центральный банк Российской Федерации и национальные стандарты устанавливают строгие, обязательные требования, которые формируют "цифровой иммунитет" отрасли.
Положение № 719-П
Положение Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.
Документ, который на протяжении нескольких лет был основным стандартом для кредитных организаций в части защиты информации и противодействия мошенничеству.
Положение № 742-П
Положение Банка России от 3 декабря 2020 г. № 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы".
Специализированный документ, регулирующий требования к ИБ для желающих стать оператором финансовой платформы (ОФП) — организаций, предоставляющих онлайн-доступ к финансовым продуктам (например, "Финуслуги").
Положение № 802-П
Положение Банка России от 25 июля 2022 г. № 802-П "О требованиях к защите информации в платежной системе Банка России".
Регулирует требования к защите информации, которые должны соблюдать прямые участники Платежной системы Банка России (ПС БР)
Положение № 757-П
Положение Банка России от 20 апреля 2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
Устанавливает требования к защите информации для некредитных финансовых организаций (НФО), таких как страховые компании, управляющие компании, брокеры, операторы инвестиционных платформ и т.д.
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер".
Это национальный стандарт, который является методологической основой для всех Положений Банка России в сфере ИБ. Он определяет уровни защиты информации (УЗ) и соответствующий им базовый набор мер защиты, которые должны применять финансовые организации.
ОУД-4
Оценочный уровень доверия не ниже четвертого (ОУД-4) в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.
Уровень оценки, который применяется к программному обеспечению (чаще всего платежному) для подтверждения его надежности и безопасности. Он требует проведения комплексного анализа уязвимостей и соответствия строгим требованиям к проектированию и разработке ПО.
Положение № 719-П
Положение Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.
Документ, который на протяжении нескольких лет был основным стандартом для кредитных организаций в части защиты информации и противодействия мошенничеству.
Положение № 742-П
Положение Банка России от 3 декабря 2020 г. № 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы".
Специализированный документ, регулирующий требования к ИБ для желающих стать оператором финансовой платформы (ОФП) — организаций, предоставляющих онлайн-доступ к финансовым продуктам (например, "Финуслуги").
Положение № 802-П
Положение Банка России от 25 июля 2022 г. № 802-П "О требованиях к защите информации в платежной системе Банка России".
Регулирует требования к защите информации, которые должны соблюдать прямые участники Платежной системы Банка России (ПС БР)
Положение № 757-П
Положение Банка России от 20 апреля 2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
Устанавливает требования к защите информации для некредитных финансовых организаций (НФО), таких как страховые компании, управляющие компании, брокеры, операторы инвестиционных платформ и т.д.
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер".
Это национальный стандарт, который является методологической основой для всех Положений Банка России в сфере ИБ. Он определяет уровни защиты информации (УЗ) и соответствующий им базовый набор мер защиты, которые должны применять финансовые организации.
ОУД-4
Оценочный уровень доверия не ниже четвертого (ОУД-4) в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.
Уровень оценки, который применяется к программному обеспечению (чаще всего платежному) для подтверждения его надежности и безопасности. Он требует проведения комплексного анализа уязвимостей и соответствия строгим требованиям к проектированию и разработке ПО.
Положение № 719-П
Положение Банка России от 4 июня 2020 г. № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.
Документ, который на протяжении нескольких лет был основным стандартом для кредитных организаций в части защиты информации и противодействия мошенничеству.
Этапы проведения оценки
Наша методология адаптирована под специфику финансовых организаций и фокус Банка России на управлении операционным риском.
Согласование границ оценки и требований
Определяем, какие именно положения Банка России необходимо выполнять, и формируем перечень проверяемых бизнес-процессов.
Результат: План проведения интервью, утвержденный клиентом.
Интервью и анализ процессов по обеспецению ИБ
Изучаем внутренние политики и регламенты по обеспечению ИБ. Оцениваем зрелость системы менеджмента информационной безопасности.
Результат: Собранные свидетельства оценки соответствия
Изучение настроек компонентов ИТ-инфраструктуры и СЗИ
Проверяем реализацию требований на практике: настройки СЗИ, сегментацию сети, систему мониторинга, резервное копирование, итд.
Результат: Скриншоты и подтверждения необходимые для оценки соответсвия
Консолидация и отчет об оценки соответствия необходимый для Банка России
Формируем отчет об оценки соответствия по форме ГОСТ 57580.2 - и необходимые рекомендации для повышения уровня соответствия
Результат: Итоговый отчет об оценке соответствия.
Согласование границ оценки и требований
Определяем, какие именно положения Банка России необходимо выполнять, и формируем перечень проверяемых бизнес-процессов.
Результат: План проведения интервью, утвержденный клиентом.
Интервью и анализ процессов по обеспецению ИБ
Изучаем внутренние политики и регламенты по обеспечению ИБ. Оцениваем зрелость системы менеджмента информационной безопасности.
Результат: Собранные свидетельства оценки соответствия
Изучение настроек компонентов ИТ-инфраструктуры и СЗИ
Проверяем реализацию требований на практике: настройки СЗИ, сегментацию сети, систему мониторинга, резервное копирование, итд.
Результат: Скриншоты и подтверждения необходимые для оценки соответсвия
Консолидация и отчет об оценки соответствия необходимый для Банка России
Формируем отчет об оценки соответствия по форме ГОСТ 57580.2 - и необходимые рекомендации для повышения уровня соответствия
Результат: Итоговый отчет об оценке соответствия.
Результаты и выгоды для финансовой организации
Мы фокусируемся на результатах, которые важны как для регулятора, так и для бизнеса.
Заключение о соответствии ГОСТ 57580 и положениям ЦБ
Структурированный отчет по форме, необходимой для надзорного органа.
Карта киберрисков
Наглядная визуализация ключевых рисков несоответствия и их потенциального воздействия.
Приоритизированная программа улучшений
Реалистичный план работ по устранению замечаний с учетом ресурсов организации.
Материалы для руководства финансовой организации
Готовые презентации и выжимки для отчетности перед руководством.
Заключение о соответствии ГОСТ 57580 и положениям ЦБ
Структурированный отчет по форме, необходимой для надзорного органа.
Карта киберрисков
Наглядная визуализация ключевых рисков несоответствия и их потенциального воздействия.
Приоритизированная программа улучшений
Реалистичный план работ по устранению замечаний с учетом ресурсов организации.
Материалы для руководства финансовой организации
Готовые презентации и выжимки для отчетности перед руководством.
Преимущества ITG Security
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580.
Подтвержденный опыт
10 лет практической работы, реальные кейсы клиентов и все необходимые лицензии ФСБ и ФСТЭК России.
Следование международным и отраслевым стандартам
Соответствие PCI DSS, 719-П, 719-П, 757-П, 742-П, 802-П, 821-П и ГОСТ Р 57580.
Часто задаваемые вопросы
Вы помогаете в непосредственном взаимодействии с Банком России?
Да, мы можем оказать консультационную поддержку при подготовке ответов на запросы и предписания регулятора, а также смоделировать вопросы проверки.
Можно ли оценить соответствие только одному положению, например, 742-П?
Конечно. Мы проводим как комплексную оценку, так и точечный аудит отдельного регуляторного требования.
Учитываете ли вы отраслевую специфику?
Наши эксперты имеют опыт работы в финансовом секторе. Мы хорошо понимаем бизнес-процессы банков и НФО, что позволяет давать практичные рекомендации.
Как часто нужно проводить такую оценку?
Большинство положений обязывают проводить ее не реже раза в год или перед значимыми изменениями в ИТ-инфраструктуре, а также в рамках подготовки к отчетности перед ЦБ.
Наша экспертиза в финансовом секторе
Наши специалисты имеют сертификаты в области управления рисками (FRM, PRM), аудита (CISA) и защиты информации.
