Переход действующего Положения от № 382-П к № 719-П в России повлек за собой изменения в критериях соответствия для кредитных организаций в отношении прикладного ПО и ИБ. Многие не совсем понимают, какие именно различия привнесло новое Положение и пытаются сэкономить на проверках и процедурах, однако сэкономить можно и вполне законными путями, если разобраться в пришедших изменениях подробно.
Основные изменения, которые принесло Положение № 719-П
Первым изменением, которое принесло Положение 719-п и которое может значительно облегчить понимание затрат, является внесение ясности в требования к сертификации и анализу уязвимостей. Хотя необходимость в таких оценках все еще сохраняется, программное обеспечение, подлежащее сертификации/анализу уязвимостей, теперь четко определено (оно выделено списком, тогда как в прошлом документе для этого использовалось сплошное предложение). В соответствии с Положением 719-P, следующее программное обеспечение подпадает под действие требований, согласно которым необходима сертификация или же анализ уязвимостей для четвертого оценочного уровня доверия:
- Программные средства, предоставляемые пользователям для осуществления операций, связанных с перемещением (переводом) финансовых средств;
- Программы, напрямую принимающее заказы пользователей онлайн (с помощью Интернета).
Это разграничение упрощает понимание того, какие компоненты программного обеспечения требуют прохождения процесса сертификации или анализа уязвимостей, и устраняет двусмысленность. Вам не нужно проводить лишних проверок и тратить на это деньги, достаточно провести анализ используемого ПО и его назначения для пользователей.
Положение 719-П вводит детальный подход к сертификации и анализу уязвимостей путем проведения различия между типами субъектов в финансовом секторе, это позволяет оценивать УД более логично, так как, очевидно, у разных субъектов разные характеристики и уровень критической значимости. Основные различия заключаются в следующем:
- Для ОПДС (операторы по переводу денежных средств, которые являются системно значимыми) сертификация является строго обязательной и ее необходимо выполнять по всем требованиям, которые обозначены для уровня доверия 4;
- Различные другие ОПДС тоже должны проходить обязательную сертификацию, но уже по требованиям, которые соответствуют пятому уровню доверия;
- В случае с банковскими БПА (банковские платежные агенты) уровень доверия должен соответствовать шестому, при этом сертификация проводится при запросе со стороны ОПДС;
- Достаточно лояльно Положение определяет требования к ОУИО (операторам услуг информационного обмена), так как они проходят процесс оформления сертификата по желанию и им нужно соответствовать шестому уровню доверия;
- Похожая ситуация с ОУПИ (операторы услуг платежной инфраструктуры, которые являются значимыми), для них тоже предусмотрена сертификация, которая осуществляется в добровольном порядке, однако соответствие должно быть с УД4;
- Для каких-либо других ОУПИ предусмотрена все та же сертификация на добровольной основе с соответствием уровню доверия 5.
Такой тонкий подход гарантирует, что различные организации финансового сектора смогут адаптировать свои усилия по соблюдению требований в соответствии со своими конкретными ролями и обязанностями, а не выполнять бессмысленные действия, если они не требуются для них. Если организация понимает эти отличия или обращается к грамотным специалистам за помощью, то это поможет избежать ненужных мер и услуг. Добровольность исполнения соответствия предполагает, что можно провести анализ уязвимостей по ОУД4, заменив этим сертификацию, которая может являться достаточно дорогостоящей.
Стоит отметить, что в 719-П не упоминается напрямую разработанный ЦБ профиль обеспечения безопасности приложений, используемых для осуществления платежей. Вместо этого в нем сохраняется отсылка к более старому ГОСТ Р 15408-3-2013, согласно которому построены требования, необходимые для проведения анализа уязвимостей. Это означает, что, хотя анализ уязвимостей остается возможным, сертификация должна соответствовать новым требованиям, изложенным в приказе ФСТЭК России № 131. Это значительный шаг навстречу, особенно учитывая потенциальные финансовые последствия сертификации.
Впервые Центральный банк вводит определенную и обозначенную систему наказаний за несоблюдение положения 719-П. Согласно пункту 7.3 Положения 719-П, а именно статьям в нем (статья 74 86-ФЗ для КО и статья 32 161-ФЗ для НФО), Центральный банк уполномочен принимать меры в случаях несоблюдения. Это дополнение подчеркивает, что теперь за соблюдением правил будут следить строже, поэтому гораздо выгоднее исполнить их, чем столкнуться с последствиями, которые могут наступить. К примеру, в статье 74 86-ФЗ содержится информация о том, что ЦБ РФ вправе отозвать лицензию на осуществления деятельности у КО.
Переход к Положению № 719-П
Финансовые учреждения, особенно те, которые имеют платежные приложения в веб-версии, используют различные программные платформы для осуществления банкинга в онлайн-режиме и обрабатывают карты, должны оперативно адаптироваться к этим новым правилам. Требование соответствия ОУД4 ГОСТ 15408 для определенных программных компонентов требует стратегического подхода.
Одним из важных факторов является стоимость, связанная с оценкой соответствия ГОСТ 57580. Центральный банк Российской Федерации разъяснил, что ни Регламент, ни ГОСТ 57580 не налагают ограничений на выдачу единого отчета, охватывающего различные требования. На практике сторонние организации, проводящие оценку соответствия, могут существенно снизить трудозатраты за счет объединения этих отчетов. Поскольку сфера оценки, предусмотренная положением 719-П, уже охватывает информационные системы, подпадающие под действие положений 683-П и 747-П, финансовые учреждения могут выполнять все эти требования, не растрачивая усилия на дополнительные инвестиции. Такой подход соответствует как экономической эффективности, так и соблюдению нормативных требований.
Используя гибкость, допускаемую нормативно-правовой базой, и консолидируя оценки соответствия, финансовые учреждения могут экономить расходы, выполняя при этом требования положений 719-П, 683-П и 747-П. Такой подход не только демонстрирует соответствие нормативным требованиям, но и предоставляет стратегическое управление финансами — нет лишних трат не только в виде штрафов и санкций, но и в виде лишних проверок.
Реклама. ООО «РТМ ТЕХНОЛОГИИ». rtmtech.ru