Все организации, деятельность которых связана с переводом денежных средств, должны соблюдать ряд положений ЦБ РФ, в том числе 382-П. Это относится как к банковским организациям и расчетным центрам, так и к операторам национальных и международных платежных систем и платежным агентам. Соблюдать их необходимо, чтобы обеспечить безопасность данных при переводе средств.
В январе 2022 года на смену 382-П придет новое Положение 719-П. К этому моменту организациям нужно познакомиться с текстом нового документа и привести свою работу в соответствие с ним.
Подробнее о 719-П
В октябре 2020 года Минюст зарегистрировал новое Положение ЦБ РФ под номером 719-П. В нем представлен расширенный список требований к уровню защиты информации о финансовых операциях.
Большая его часть вступит в силу 1 января 2022 года. 719-П станет модернизированной версией 382-П. У ряда требований (из пункта 5.5) есть отсрочка: они начнут действовать 1 января 2024 г. и 1 января 2031 г., но будут касаться лишь некоторых значимых платежных систем.
719-П — довольно обширный документ со множеством новых требований и уточнений. Несмотря на это стоит отметить, что его структура стала намного логичнее и проще для восприятия по сравнению с 382-П. Важно также учитывать, что новое положение не призвано дополнить старое. После вступления в силу 1 января 2022 года оно станет его полноценной заменой .
На кого распространяется
Одно из первых заметных отличий нового положения от 382-П — большее число организаций, на которых оно распространяется. Теперь список выглядит так:
- операторы по переводу денежных средств;
- операторы услуг платежной инфраструктуры;
- операторы платежных систем;
- банковские платежные агенты и субагенты;
- операторы услуг информационного обмена (новая категория);
- поставщики платежных приложений (новая категория).
В число операторов услуг информационного обмена (ОУИО) вошли организации, которые помогают российским кредитным компаниям обмениваться информацией во время перевода денег при помощи ЭСП (электронных средств платежа).
Поставщики платежных приложений (ППП) — это разработчики, которые предоставляют клиентам отечественных банков софт для переводов при помощи банковских карт.
Что нового
Поскольку Положение 719-П стало новой версией 382-П, некоторые требования были перенесены из одного в другое без изменений. Тем не менее в новом документе появился ряд нововведений.
- В Положении теперь не указаны конкретные технические требования по защите информации. Их нужно искать в ГОСТ 57580.1 (но часть все же осталась в 719-П).
- Банки (или операторы по переводу денежных средств) должны сертифицировать прикладное программное обеспечение автоматизированных систем и приложений по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций — не ниже 4-го уровня.
- Оценка соответствия Положению теперь проводится по ГОСТ 57580.2.
- Деятельность банковских платежных агентов и субагентов регулируется новыми требованиями.
- Введена необходимость ежеквартально вычислять значение показателя, который характеризует уровень переводов денежных средств без согласия клиента.
- Операторы обязаны подтверждать адреса электронной почты клиентов.
- Список требований к использованию технологий обработки информации стал еще шире.
- Появилось условие о применении мер по обеспечению безопасности персональных данных.
Зачем соблюдать
Положения ЦБ РФ регулируют сферу финансовых отношений и обеспечивают нормальное функционирование экономической системы в целом. Центральный банк проводит проверки, чтобы убедиться в их соблюдении. В том случае, если деятельность организации не соответствует положениям, к ней применяется ряд санкций в соответствии с Федеральными законами № 86 и № 161:
- Предупреждение/предписание.
- Штраф до 0,1% от уставного капитала.
- Замена высшего руководящего состава организации.
- Приостановка деятельности.
- Отзыв лицензии.
Как подготовиться
Во-первых, не стоит забывать, что оценку соответствия 719-П при любых условиях нужно проводить 1 раз в 2 года. Это основной способ, который позволяет определить реальный уровень информационной безопасности у финансовых организаций.
Во-вторых, организациям необходимо с 1 января 2022 года соответствовать ГОСТ 57580.1 не ниже четвертого уровня. Такую оценку должна проводить компания с лицензией ФСТЭК. Для проведения предварительной проверки по соблюдению технических требований не обязательно привлекать стороннего подрядчика. Однако в процессе может понадобиться экспертиза специалистов высокого уровня, которые не всегда есть в штате банка или организации. В таком случае можно воспользоваться услугами компании , которая специализируется на информационной безопасности. Ее эксперты проведут аудит и необходимые проверки, а также оценку соответствия 719-П.
