Новое Положение Банка России 719-П. Вопросов больше, чем ответов...

На днях Минюст зарегистрировал новое Положение Банка России 719-П, которое пришло на смену 382-П. У него есть несколько отличий от отменяемого с 1-го января 2022-го года 382-П:

• Расширен перечень лиц, на которых распространяется 719-П. Теперь это не только операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем и банковские платежные агенты и субагенты, но и операторы услуг информационного обмена и поставщики платежных приложений, для которых прописаны требования по защите информации.
• Технические требования по защите теперь прописаны в ГОСТ 57580.1, а не в самом Положении как раньше (хотя часть требований остались в самом Положении).
• Операторов по переводу денежных средств обязали выполнять 683-П (как будто они могли отказаться?).
• Оценка соответствия проводится по ГОСТ 57580.2.
• Операторы по переводу денежных средств обязаны провести сертификацию прикладного программного обеспечения автоматизированных систем и приложений (будем считать, что это, что было в устных разъяснениях ДИБ в связи с выходом профиля защиты) по уровню доверия не ниже 5-го, а для значимых и системно значимых кредитных организаций - не ниже 4-го уровня.
• Добавили жесткие требования к банковским платежных агентам и субагентам (ГОСТ 57580.1 и много чего еще, вплоть до сертификации ПО на 6-й уровень доверия).
• Добавили необходимость вычисления значения показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе
• Добавили обязанность подтверждать принадлежность клиентам e-mail, на которые отправляются выписки и подтверждения перевода денежных средств. 

Это не все, что я бы отметил. Недавно ЦБ выложил проект изменений в 683-П, в котором было сделано пару небольших, но важных изменений. Во-первых, к сертификации банковского ПО добавили еще и оценку соответствия (без уточнений). В 719-П этого нет - там "древняя" формулировка про оценку соответствия по ОУД4, которую уже и непонятно как выполнять. Как мы помним, просто сертификацию в ФСТЭК для такого ПО будет выполнить невозможно, а ОУД4... тоже. В итоге тупик. Во-вторых, в проекте изменений  683-П "лицензиат ФСТЭК" был заменен на "проверяющую организацию", а в 719-П старое требование про лицензиатов. В-третьих, в проекте нового 683-П допускается самостоятельная оценка соответствия банковского ПО, а в 719-П - нет. Учитывая, что 683-П и 719-П не только очень сильно пересекаются по сферам применения, но операторы по переводу денежных просто обязаны выполнять их оба, то как разруливвать эти коллизии (в случае принятия поправок в 683-П) не совсем понятно.

Вообще, иногда кажется, что в ЦБ выпуская новые нормативные акты, немного забывают про то, что уже было выпущено ранее. Я тут попробовал оценить сферы применения 382-П, 683-П, 719-П и 672-П и понял, что они очень сильно перекрываются даже по формальным признакам. 

А если брать в расчет практику надзора, когда проверяющий может вытащить операционистку на ресепшн и попросить подключиться к АБС, что по мнению проверяющих означает, что и компьютер на ресепшн попадает в область действия тех же 683-П и 719-П/382-П. А были ведь еще истории, когда таким образом и 672-П/552-П распространяли на весь банк, а не только на сегмент, прямо подключенный к платежной системе Банка России. В общем я вроде и в теме немного, но даже я уже перестал понимать, что делает ЦБ в части регулирования вопросов ИБ и в части соотнесения между собой своих же нормативных актов и почему они не могут синхронизировать их требования между собой, а также четко разнести их сферы действия.