8-МР для 757-П - Контроль соответствия

Требования к технологическим мерам защиты информации
(Таблица 1.1. 8-МР)

Общие требования к обеспечению защиты информации

Технология обработки защищаемой информации, применяемая на технологических участках, должна обеспечивать целостность и неизменность защищаемой информации.
Требование подпункта 1.10.1 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций

Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение следующих мероприятий:

в случае использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации
- реализацию установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года N 28375, 25 апреля 2017 года N 46487, 8 июля 2020 года N 58877,
- приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620,
- технических и организационных мер в целях нейтрализации угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации;

Требование абзаца второго подпункта 1.10.2 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение следующих мероприятий:

В случае использования единой системы идентификации и аутентификации
- соблюдение требований к обеспечению защиты информации в соответствии Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 "Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия", зарегистрированным Министерством юстиции Российской Федерации 25 августа 2015 года N 38668, 2 июня 2017 года N 46934.

Требование абзаца третьего подпункта 1.10.2 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений

Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

проверку правильности формирования (подготовки) электронных сообщений (двойной контроль);

Требование абзаца второго подпункта 1.10.3 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

проверку правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль);

Требование абзаца третьего подпункта 1.10.3 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

контроль дублирования электронного сообщения;

Требование абзаца четвертого подпункта 1.10.3 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

структурный контроль электронных сообщений;

Требование абзаца пятого подпункта 1.10.3 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

защиту, в том числе криптографическую, защищаемой информации при ее передаче по каналам связи.

Требование абзаца шестого подпункта 1.10.3 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке удостоверения права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом

Технология обработки защищаемой информации, применяемая при удостоверении права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом, должна обеспечивать выполнение следующих мероприятий:

получение электронных сообщений клиента, подписанных им способом, указанным в пункте 1.9 настоящего Положения;

Требование абзаца второго подпункта 1.10.4 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при удостоверении права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом, должна обеспечивать выполнение следующих мероприятий:

получение от клиента подтверждения совершаемой финансовой операции.

Требование абзаца третьего подпункта 1.10.4 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления финансовой операции, учета результатов ее осуществления (при наличии учета)

Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий:

проверку соответствия (сверку) выходных электронных сообщений соответствующим входным электронным сообщениям;

Требование абзаца второго подпункта 1.10.5 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий:

проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях;

Требование абзаца третьего подпункта 1.10.5 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий:

направление клиентам некредитных финансовых организаций уведомлений об осуществлении финансовых операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, или договором.

Требование абзаца четвертого подпункта 1.10.5 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Некредитные финансовые организации должны реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который некредитной финансовой организацией направляются уведомления о совершаемых финансовых операциях, в том числе при предоставлении клиентам справок (выписок) по финансовым операциям.

Требование абзаца пятого подпункта 1.10.5 пункта 1.10

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к прикладному программному обеспечению автоматизированных систем и приложений
(Таблица 2.1. 8-МР)

Требование пункта 1.8 в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций:

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, в соответствии с требованиями

национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требование пункта 1.8 в отношении программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет":

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, в соответствии с требованиями

национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Методические рекомендации Банка России № 8-МР от 20.06.2023

Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 757-П

Группы областей

Список требований