Журнал "Information Security/ Информационная безопасность" #5, 2020

щий надзорный орган: если это ПО – в Минцифры России, если это оборудо- вание – в Минпромторг России. Рас- смотрение перечней ПО и /или оборудо- вания должно будет осуществляться совместно Минцифры России, Минпром- торгом России, ФСБ России и ФСТЭК России в течение 30 рабочих дней с момента поступления в уполномочен- ный орган перечней. В конечном итоге, с учетом сроков перехода на преимущественное исполь- зование российского ПО и оборудования, установленных проектами, субъекту КИИ необходимо будет до 1 июля 2021 г. подготовить и утвердить план перехода на преимущественное использование российского ПО и/или оборудования. Копию плана в течение 30 рабочих дней с момента его утверждения необходимо направить в Минцифры России и Мин- промторг России. Обеспечение безопасности операторами финансовых платформ 6 октября 2020 г. Банк России опубли- ковал проект указания "О ведении Бан- ком России реестра операторов финан- совых платформ, о требованиях к юри- дическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации и о требованиях к порядку регистрации Бан- ком России изменений в правила финан- совых платформ" (далее – проект ука- зания Банка России) 7 . Проект указания Банка России в том числе устанавливает требования по защи- те информации к юридическому лицу, намеревающемуся получить статус опе- ратора финансовой платформы, а также требования к документам по защите информации, подтверждающим их выпол- нение таким юридическим лицом. Опе- ратор финансовой платформы должен предоставить регламентированные про- ектом указания Банка России сведения, подтверждающие выполнение соискате- лем требований по защите информации. Заполнение сведений осуществляется по результатам проведения оценки соот- ветствия по следующим направлениям: l оценка выполнения требований к тех- нологическим мерам защиты информа- ции (направление "Технологические меры"); l оценка выполнения требований к без- опасности прикладного ПО автоматизи- рованных систем и приложений (направ- ление "Безопасность ПО"); l оценка выполнения требований к обеспечению защиты информации информационной инфраструктуры (направление "Безопасность информа- ционной инфраструктуры"). При этом заполнение сведений об оценке выполнения требований по направлению "безопасность инфор- мационной инфраструктуры" по про- екту указания Банка России должно осуществляться в соответствии с тре- бованиями к методике оценки соот- ветствия защиты информации, уста- новленными разделом 7 ГОСТ Р 57580.2–2018 "Безопасность финан- совых (банковских) операций. Защита информации финансовых организа- ций. Методика оценки соответствия" (далее – ГОСТ Р 57580.2–2018). В рамках направления "Безопасность информационной инфраструктуры" проводится оценка применения орга- низационных и технических мер про- цессов системы защиты информации, указанных в ГОСТ Р 57580.1–2017 "Безопасность финансовых (банков- ских) операций. Защита информации финансовых организаций. Базовый состав организационных и техниче- ских мер" (далее – ГОСТ Р 57580.1– 2017). По проекту указания Банка России оценка соответствия по направлению "Безопасность информационной инфра- структуры" должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Новое положение Банка России Банком России 2 октября 2020 г. офи- циально опубликовано положение Банка России от 4 июня 2020 г. № 719 "О требо- ваниях к обеспечению защиты информа- ции при осуществлении переводов денеж- ных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении перево- дов денежных средств" 8 (далее – 719-П). 719-П вступает в силу с 1 января 2022 г., за исключением положений, для которых установлены иные сроки вступления их в силу (1 января 2024 г. и 1 января 2031 г.). Со дня вступления в силу 719-П признается утратившим силу положение Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюде- нием требований к обеспечению защи- ты информации при осуществлении переводов денежных средств" (далее – 382-П). Согласно 719-П требования по обес- печению защиты информации при пере- воде денежных средств будут распро- страняться не только на операторов по переводу денежных средств, банковских платежных агентов (субагентов), опера- торов платежных систем, но и на опера- торов услуг информационного обмена и поставщиков платежных приложений. Из основных отличий 719-П от "старо- го" 382-П можно выделить следующие: l обязательная реализация уровней защиты информации для объектов информационной инфраструктуры, опре- деленных ГОСТ Р 57580.1–2017; l необходимость проведения сторонней организацией-лицензиатом оценки соот- ветствия уровням защиты информации в соответствии с ГОСТ Р 57580.2–2018; l обязанность операторов по переводу денежных средств выполнять требования положения Банка России от 17 апреля 2019 г. № 683-П; l для прикладного ПО автоматизиро- ванных систем и приложений, с учетом особенностей, проведение оценки соот- ветствия по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3–2013, либо сертификация в системе сертификации ФСТЭК России. При этом стоит отметить, что 719-П ссылается на требования к уровням доверия, установленные при- казом ФСТЭК России от 30.07.2018 г. № 131, который будет отменен в январе 2021 г.; l установлены требования к банковским платежных агентам и субагентам. l 8 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru 7 https://regulation.gov.ru/projects#npa=109072 8 https://cbr.ru/Queries/UniDbQuery/File/90134/1119