Положения Банка России №683-П, 719-П, 757-П и 802-П 

от

«Все думают, что проверки по положениям Банка России — это про заполнение сотен отчётов. Но на деле регулятор ищет не бумажки, а конкретные провалы в безопасности, которые уже можно использовать для взлома. Эти документы — не абстрактные требования, а чек-лист уязвимостей, которые хакеры ищут в первую очередь. Если ты знаешь, на что смотрят аудиторы, ты знаешь, что чинить прямо сейчас.»

От документов к реальным уязвимостям

Положения Банка России — это не просто бюрократические инструкции. Каждый пункт в них появился как реакция на конкретные инциденты или векторы атак, актуальные для финансового сектора. Когда говорят о проверке по 683-П, 719-П, 757-П или 802-П, имеют в виду не формальное соответствие, а поиск брешей, которые уже эксплуатируются или будут эксплуатированы в ближайшее время.

Аудит по этим положениям давно перестал быть проверкой на наличие документов. Регулятор и его уполномоченные структуры смотрят на практическую реализацию требований: как настроены системы, кто имеет доступ к критичным операциям, куда утекают логи и как быстро можно обнаружить аномалию. Фокус сместился с бумажного compliance на операционную безопасность.

683-П: информационная безопасность — ядро проверок

Положение 683-П — это база. Его часто проверяют первым, потому что оно задаёт общие рамки защиты информации для кредитных организаций. Что ищут аудиторы, когда приходят с проверкой по этому документу?

  • Реальность политик ИБ. Не просто наличие документа «Политика информационной безопасности», а его актуальность, доведение до всех сотрудников и, главное, механизмы контроля её исполнения. Проверяющий может запросить журналы ознакомления или задать случайным сотрудникам вопросы об основных правилах.
  • Функционирование СУИБ (Системы управления информационной безопасностью). Ключевое слово — «функционирование». Аудиторы смотрят на протоколы заседаний рабочей группы по ИБ, планы мероприятий и, что важнее, отчёты об их выполнении. Бумажный СУИБ, который собирается раз в год для галочки, будет сразу расценен как неработающий.
  • Классификация информации. Проверяется не сам факт присвоения грифа «коммерческая тайна», а то, как это работает на практике. Как маркируются документы, как контролируется их копирование и уничтожение, кто и на каком основании получает к ним доступ. Случайно найденный на общем сетевом диске неприкрытый файл с паролями будет серьёзным нарушением.
  • Актуальность и реалистичность оценки рисков. Плохо, если оценка рисков не проводилась. Ещё хуже, если она проводилась три года назад и с тех пор не обновлялась, несмотря на внедрение новых систем или изменение бизнес-процессов. Аудиторы будут сверять заявленные в отчёте риски с текущей инфраструктурой.

[ИЗОБРАЖЕНИЕ: Схема основных компонентов СУИБ по 683-П и их связь с практическими контрольными точками]

719-П: защита персональных данных как приоритет

В эпоху утечек и запросов от граждан 719-П находится под особым вниманием. Проверки здесь часто инициируются не только планово, но и по факту жалоб в Роскомнадзор или сам Банк России. На что делают упор?

  • Законность обработки. Проверяется наличие и корректность всех документов-оснований: согласий клиентов на обработку ПДн, договоров с операторами. Особое внимание — к автоматизированным процессам рассылки и кросс-селлингу, где согласие должно быть явным и информированным.
  • Техническая реализация защиты. Аудитор не будет читать исходный код, но запросит отчёты о настройках СЗПДн (системы защиты персональных данных): акты категорирования, модели угроз, аттестаты соответствия средств защиты информации. Критически важно, чтобы эти документы соответствовали реально используемым системам.
  • Доступ и учёт. Кто из сотрудников имеет доступ к массивам ПДн? Как этот доступ разграничен (по принципу необходимости для выполнения задач)? Ведутся ли журналы доступа и проводятся ли их регулярные анализы на аномалии? Отсутствие таких журналов — прямое нарушение.
  • Реакция на инциденты. Есть ли регламент реагирования на утечки ПДн? Проводились ли учения? Если утечка уже произошла, проверяется вся цепочка действий: от обнаружения до уведомления регулятора и субъектов данных. Промедление или сокрытие карается строже всего.

757-П и 802-П: фокус на платежи и технологии

Эти положения — наиболее технически ориентированные. 757-П касается передачи финансовых сообщений, а 802-П — обеспечения устойчивости и восстановления IT-систем. Здесь проверки максимально прикладные.

Что проверяют по 757-П:

  • Целостность и конфиденциальность платёжных сообщений. На практике это проверка использования ГОСТ-шифрования и электронной подписи во всех каналах передачи (СПФФР, СБП, корпоративный клиент-банк). Аудиторы могут запросить криптографические журналы или провести тестовый платёж, анализируя его трафик.
  • Защита от мошеннических операций. Проверяется не просто наличие системы фрод-мониторинга, а её эффективность: статистика срабатываний, процент ложных positives, скорость реакции на инцидент. Регулятора интересует, сколько средств система реально спасла от увода.
  • Контроль доступа к системам перевода средств. Критически важные операции (например, подтверждение крупного платежа) должны быть защищены двухфакторной аутентификацией с аппаратными токенами или криптоключами. Проверяется журнал назначения и изъятия таких токенов.

Что проверяют по 802-П:

  • Актуальность и реалистичность планов восстановления. План восстановления после сбоя (DRP), которому пять лет и который никогда не тестирова9лся, — это отсутствие плана. Аудиторы требуют ежегодные практические учения с измерением времени восстановления (RTO, RPO) и актами по их результатам.
  • Резервирование и отказоустойчивость. Проверяется не на бумаге, а через запрос схем размещения оборудования, контрактов на резервные каналы связи, графиков переключения на резервный ЦОД. Внезапный вопрос: «Что произойдёт, если откажет магистральный канал связи с вашим процессинговым центром?»
  • Защита критичной ИТ-инфраструктуры. Сюда входит физическая охрана ЦОД, контроль доступа в серверные, системы видеонаблюдения и управления инженерной инфраструктурой. Аудитор может провести фактический осмотр помещений.

[ИЗОБРАЖЕНИЕ: Диаграмма связей между требованиями 757-П, 802-П и компонентами типичной банковской ИТ-инфраструктуры]

Типичные находки, которые ведут к предписаниям

Есть ряд повторяющихся нарушений, которые аудиторы выявляют чаще всего. Их наличие почти гарантированно приводит к выдаче предписания.

Нарушение К какому положению относится Что проверяют на месте
Устаревшие или формальные политики ИБ 683-П Дата последнего обновления, подписи сотрудников об ознакомлении, вопросы сотрудникам на знание правил.
Отсутствие анализа журналов доступа к ПДн и критичным системам 719-П, 757-П Запрос отчётов по анализу логов за последний квартал. Проверка, настроены ли автоматические алерты на аномальные действия.
Неразграниченный доступ администраторов 683-П, 757-П Проверка учётных записей в Active Directory/привилегированных системах. Наличие общих учёток типа «admin».
План восстановления (DRP) не тестировался 802-П Запрос актов учений по восстановлению за последние 2-3 года. Отчёты с измерением RTO/RPO.
Нарушения в работе с криптоключами (ЭП) 757-П Проверка журналов выдачи и учёта ключевых носителей. Отсутствие регламента уничтожения скомпрометированных ключей.

Как подготовиться: от бумаги к практике

Подготовка к проверке не должна сводиться к созданию папки с документами за неделю до визита. Эффективная стратегия — внедрить непрерывный цикл compliance, где требования положений становятся частью ежедневной операционной деятельности.

  • Внутренний аудит по чек-листам регулятора. Регулярно (раз в квартал) проводите самообследование, используя не общие формулировки, а конкретные вопросы: «Можем ли мы предоставить журнал анализа подозрительных доступов к SQL-серверу с платёжными данными за последний месяц?».
  • Интеграция требований в процессы разработки и эксплуатации. Требования по безопасности (например, из 757-П) должны быть частью требований к каждой новой IT-системе с самого начала её проектирования (security by design).
  • Симуляция проверки. Раз в год привлекайте внешних специалистов для имитации полноценной проверки. Пусть они задают неудобные вопросы и пытаются получить доступ к данным, как это сделал бы реальный аудитор. Это лучший способ найти слабые места.
  • Фокус на доказательной базе. Любое действие по безопасности должно оставлять след. Настройки, назначение прав, анализ инцидентов, обучение сотрудников — всё должно фиксироваться в системах учёта, откуда можно быстро сформировать выгрузку для проверяющего.

Главный сдвиг в мышлении: положения ЦБ — это не абстрактные «требования регулятора», а конкретный перечень уязвимостей, закрывать которые выгоднее и проще до проверки, чем после выдачи предписания с жёсткими сроками и угрозой штрафов. Понимание того, что именно и как проверяют, превращает compliance из затратной статьи в инструмент повышения реальной безопасности.

Оставьте комментарий