Положение Банка России от 17.08.2023 г. № 821-П

Положение Банка России от 17.08.2023 г. № 821-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”

Ключевые выдержки из Положения Банка России № 821-П от 17.08.2023 к компаниям из финансовой сферы:

- Компании ежегодно должны проводить тестирования на проникновение и анализ уязвимостей информационной инфраструктуры.
- Не реже раза в два года должна проводиться оценка соответствия уровня защиты информации. Отчеты оценки соответствия защиты информации должны храниться не менее 5 лет.
- Электронные сообщения между участниками процесса должны подписываться усиленной электронной подписью.
- Для обеспечения безопасности данных необходимо использовать сертифицированное программное обеспечение, в том числе прикладное.
- Организации должны информировать Банк России о мерах по защите информации и инцидентах, связанных с безопасностью.
- Должны соблюдаться требования 152-ФЗ в отношении защиты персональных данных.
- Необходимо фиксировать все действия, связанные с защитой информации.

Положение также:

- Определяет порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при переводе денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.
- Предъявляет требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.

Источник

Срок действия не ограничен

Ответственность:
В части законодательства о банках и банковской деятельности:
  • Статья 19 ФЗ "О банках и банковской деятельности": принятие Банком России мер в отношении организаций, допустивших нарушение, а именно штрафы, предписания, ограничения деятельности.
В части законодательства о национальной платежной системе:
  • Часть 2 ст.13.12 КоАП РФ: Нарушение правил защиты информации
  • Статья 13.14 КоАП РФ: Разглашение информации с ограниченным доступом
  • Часть 2 ст.15.26 КоАП РФ: Нарушение законодательства о банках и банковской деятельности
  • Статья 15.36 КоАП РФ: Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе

Ответственные лица
  • Руководители органов (организаций)
  • Зам.руководителя по ИБ

Дополнительные документы:
  • Федеральный закон № 63-ФЗ и Положение ПКЗ-2005 (защита информации при осуществлении переводов)
  • Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378. (защита информации с использованием СКЗИ)
  • Уровень защиты информации должен соответствовать ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
  • В случае сертификации прикладного программного обеспечения уровень доверия должен быть не ниже пятого в соответствии с приказом ФСТЭК России № 131

ИТ-решения, которые закрывают требования нормативных документов
  • Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
  • Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
  • Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
  • vGate превью Средство защиты компонентов виртуальной платформы.
  • Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
  • Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
  • Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
  • Соболь  превью Надежный программно-аппаратный комплекс, обеспечивающий доверенную загрузку операционной системы.
  • Jinn Server  превью Система массовой проверки и формирования электронной подписи в юридически значимом электронном документообороте.
  • ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
  • ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
  • ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
  • ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
  • ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
  • ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
  • ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
  • ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
  • ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
  • ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
  • ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
  • ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
  • ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.