Положение 719-П: обзор, замена Положения 382-П

В последнее время дискурс о соблюдении Положения 719-П как-то уменьшился. Новые требования как будто стали повсеместно распространены, однако это совершенно не так — многие организации и не догадываются, что нарушают закон, а некоторые и вовсе спустя несколько лет не разобрались, в чем же разница между 719-П и 382-П.

В этой статье мы разберем основные принципы и отличия Положений, а также затронем вопрос того, как именно финансовой организации обеспечить соответствие закону.

Что содержится в Положении 382-П и зачем это Положение ЦБ РФ было необходимо?

09.06.2012 было принято Положение Банка России № 382-П. Оно было разработано для осуществления регулирования операций с отправкой денежных средств, особенно важным пунктом являлась защита информации, которая передает при переводе, а также способы подтверждения личности человека, который перевод осуществляет. Несложно догадаться, что причиной стало развитие технологий, а вместе с ними — способов мошеннических схем, которые применялись и применяются в настоящее время для получения денег.

Положение 382-П во время своего выхода заложило основу для введений современных мер безопасности Банков. Оно поднимало вопрос обязательности шифрования данных, предписывало дополнительные методы аутентификации и обращало особое внимание Банков на способы проверки подлинности каждой из транзакций, во многом именно для отслеживания транзакций оно вводило мониторинг, который должен был осуществлять проверки переводов.

Основные принципы 719-П и причины его введения

Положение Банка России № 719-П было введено, чтобы улучшить стандарты безопасности для Банков и сделать случаи мошенничества из-за недостаточной аутентификации/плохого шифрования и защиты данных реже.

С увеличением числа киберугроз и кибератак, включая попытки хищения средств и доступа к финансовой информации, стало ясно, что требования к безопасности данных и операций с денежными средствами должны быть усилены и актуализированы. Вместе с этим и с распространяющимися случаями мошенничества (стало особенно популярно мошенничество через телефонный звонок, особенно по отношению к уязвимым группам населения) внедрение новых технологий и методов в финансовой сфере, таких как мобильные приложения, электронные кошельки и онлайн-платежи, потребовали специализированного ответа со стороны Центрального Банка.

Изменения в Положении 719-П и различия с Положением 382-П

Многие до сих пор путают документы, однако Положение 719-П привнесло значительные новшества в сферу финансов и банковского управления. Требования, если обобщать, ужесточились, а еще стали распространяться на большее количество организаций, чем ранее.

Вот основные изменения, которые отличают устаревшее Положение 382-П от 719-П:

1. Список организаций, которые подпадают под требования, стал больше: одним из значительных изменений стало расширение перечня организаций, которые подпадают под требования Положения 719-П. Теперь оно включает операторов услуг информационного обмена и поставщиков платежных приложений. Это вынуждает эти организации уделить большее внимание соблюдению новых стандартов безопасности наряду с традиционными финансовыми институтами и требует от данных организаций соблюдения новых требований по защите информации наравне с остальными.
2. Безопасность информации претерпела значительные видоизменения, теперь она регулируется с помощью ГОСТ 57580: требования к повышению безопасности данных теперь прописаны не только в самом Положении, но и в ГОСТ, едином стандарте РФ. Использование ГОСТ по закону не обязательно только до тех пор, пока на него нет прямой ссылки от регулирующего органа, которым в данном случае выступает ЦБ РФ. Этот ГОСТ описывает самые основные меры, которые необходимо принять для защиты данных клиентов. В прошлом Положении основные способы защиты конфиденциальных сведений содержались внутри самого Положения, а теперь появилось более удобное разграничение.
3. Появилась методика, по которой можно проверить соответствие требованиям более просто: Положение вновь ссылается на ГОСТ Р 57580.2–2018. Он описывает основные пункты, по которым необходимо оценивать финансовую организацию на предмет нарушений.
4. Наличие сертификата у программ: для ПО, которые используются в обработке транзакций, от которых зависит система и организация в целом, необходимо достичь четвертого уровня доверия, а используемое в организации ПО, связанное с финансовыми операциями, должно быть сертифицировано.
5. Банковские платежные агенты и субагенты: внедрены дополнительные стандарты для банковских платежных агентов и субагентов, что подразумевает более тщательный контроль над их операциями и безопасностью данных.
6. Отслеживание переводов, которые совершаются вне ведома клиента: добавлена обязанность для финансовых организаций вычислять показатель, который оценивает уровень переводов денежных средств без согласия клиента. Это мероприятие нацелено на предотвращение мошенничества и незаконных действий.
7. Проверка заполнения поля электронной почты клиента: финансовым организациям теперь требуется проводить верификацию адреса электронной почты, принадлежащего клиенту и используемого для отправки выписок и подтверждений о переводах денежных средств.
8. Безопасность ПДн: вступили в силу правила, согласно которым необходимо обратить более пристальное внимание на защиту ПДн.
9. Регулирование электронной подписи (ЭП): внесены значительные изменения в требования к электронной подписи, что обеспечивает более высокий уровень безопасности и надежности в процессах аутентификации и подписания документов.

Нужно ли мне соблюдать требования Положения 719-П? Какие организации должны соблюдать требования 719-П?

Основные роли и участники, на которых распространяются требования Положения №719-П, включают:

• Операторы, которые занимаются осуществлением финансовых переводов (чаще всего — банки): Положение предназначено для них в первую очередь (как и старое), поэтому им стоит быть особенно аккуратными в исполнении его требований.
• Платежные агенты банка.
• Операторы, предоставляющие услуги информационного обмена.
• Ответственные за поставку приложений, обрабатывающих платежи: такие участники разрабатывают и предоставляют приложения для проведения платежей и также обязаны следовать стандартам безопасности, в особенности в отношении сертификации.
• Операторы систем, осуществляющих платежи.
• Операторы услуг платежной инфраструктуры: эта категория включает в себя организации, которые выполняют функции операторов централизованных систем расчетов, платежных коммуникаций и ресурсных центров.
• Положение №719-П также делает упоминание о банковских платежных агентах, осуществляющих операции в качестве платежных агрегаторов. Оно также учитывает операторов услуг платежной инфраструктуры, которые предоставляют услуги обслуживания операторов центральных счетов, платежных коммуникаций и ресурсных центров.

Как проверить соблюдение требований Положения ЦБ РФ? Где заказать услугу проверки (аудита) соответствия Положению 719-П (382-П)?

Основная цель проведения аудита — это оценка того, насколько система защиты информации соответствует требованиям, установленным в Положении 719-П. Текст Положения упоминает различные требования к защите информации. Эти требования включают в себя правила и стандарты, которые должны соблюдаться при использовании компьютерных систем, программного обеспечения, оборудования и технологий для защиты данных. Также рассматривается использование средств криптографической защиты информации. Без знаний профессионалов обойтись сложно, поэтому необходимо привлечь либо стороннюю компанию, которая способна заниматься вопросами ИБ и обеспечить юридическую подоплеку, либо иметь сильный штат ИБ внутри компании. Однако стоит отметить, что внутренние специалисты не смогут объективно оценить то, насколько требования Положения соблюдаются внутри организации, чаще всего специалисты не только не имеют достаточных юридических знаний для этого, но и не могут оценить систему с точки зрения того, что работают с ней каждый день и не замечают уже привычных ошибок.

Аудит включает в себя следующие этапы:

• Специалисты собирают различные документы и информацию, которые нужны для оценки системы защиты данных. Это может включать в себя технические спецификации, политики безопасности и другие документы.
• Документы и организационные материалы оцениваются, чтобы определить, соответствуют ли они требованиям безопасности.
• Проверяются настройки ПО и других средств, используемых для защиты информации, таких как антивирусное ПО и криптографические средства.
• Проводятся беседы с сотрудниками организации, чтобы понять, как система защиты информации используется на практике, умеют ли сотрудники ее использовать.
• Если необходимо, могут проводиться наблюдения на местах, чтобы проверить, как физически обеспечивается безопасность информации.
• Профессионалы оценивают, соответствует ли система требованиям, установленным в документах.
• Если в ходе аудита обнаружены проблемы или несоответствия, предлагаются пути и исправления.
• После исправления выявленных проблем проводится еще один аудит, чтобы убедиться, что система соответствует требованиям.
• Подготавливается отчет, который содержит не итоговые, а предварительные результаты по оценке соответствия в ходе аудита. Этот отчет согласовывается с организацией.
• Подготавливается окончательный отчет, который включает в себя результаты аудита и рекомендации по улучшению системы защиты информации.

После завершения аудита составляется отчет, который содержит информацию о выполненных работах и обоснование оценки соответствия системы требованиям Положения 719-П. Если выявлены недостатки или проблемы, в отчете также могут быть даны рекомендации по их устранению и улучшению системы защиты информации.