8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Материалы вебинара по реализации требований Центробанка к ИБ в некредитных финансовых организациях.

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Материалы вебинара по реализации требований Центробанка к ИБ в некредитных финансовых организациях.
      2 июня 2020
      // Информационная безопасность
      Видео вебинара для некредитных финансовых организаций по реализации требований Центробанка к информационной безопасности организации. Материалы для ознакомления: запись вебинара, доклады, вопросы и ответы, которые обсуждались на вебинаре и бонусом - инфографика "План по реализации требований Центробанка".

      Получить оценку защищенности

      Запись вебинара «Эффективные методы реализации требований Центробанка к ИБ в некредитных финансовых организациях»


      Презентации к докладам

      1. ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ
      2. iDSystems
      3. Код Безопасности

      Ответы на вопросы заданные во время вебинара

      Практика в части санкций ЦБ по отношению к некредитным финансовым организациям, которые нарушают требования положений в сфере ИБ, в настоящий момент отсутствует.

      Сам ЦБ имеет широкие полномочия для «принуждения» финансовых организаций к реализации собственных требований – начиная от предписания и заканчивая лишением лицензии некредитной финансовой организации.

      Сказать за ЦБ какие меры воздействия он предпримет в отношении того или иного нарушения мы не можем. Кстати, ДИБ ЦБРФ Артем Сычев на одном из вебинаров обозначил, что ЦБ не планирует проводить выездные проверки финансовых организаций в период пандемии.

      А также обращаем на свежее информационное письмо ЦБ РФ, в котором сообщается, что регулятор до 1 июля 2021 года не будет применять санкций к финансовым организациям за нарушение ОУД.

      Согласно п.9 Положения №684 анализу уязвимостей по требованию ОУД (либо сертификации по требованиям ФСТЭК) подлежит следующее программное обеспечение:

      • ПО автоматизированных систем и приложений, распространяемых некредитной организацией своим Клиентам для совершения транзакций.
      • ПО, обрабатывающего защищаемую информацию (перечень ЗИ в п.1) при приеме электронных сообщений к исполнению в АС и приложениях с использованием Интернет.
      Тут важно определиться про какое программное обеспечение мы сейчас говорим. Если Вы имеете ввиду приложение банка, клиентом которого являетесь некредитная финансовая организация, то анализ уязвимостей для данного ПО проводить не нужно. 

      Но, если Вы распространяете своим Клиентам программное обеспечение для проведения транзакций, разработанное сторонней организацией, то для такого ПО нужно провести либо анализ уязвимостей, либо сертификацию в системе ФСТЭК.

      Теперь к вопросу о том, кто именно должен проводить данные работы. Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. Если разработчик, с которым заключен договор на разработку и сопровождение программного обеспечения, не готов:

      • передать исходные коды программного продукта;
      • реализовать у себя и задокументировать процесс безопасной разработки;
      • разработать документацию на программное обеспечение;
      • исправлять выявленные уязвимости в документации и исходном коде;
      то успешно пройти анализ уязвимости программного обеспечения у НФО не получится, а Центробанк будет спрашивать именно с НФО, как с финансовой организации, использующей ПО, которая должна выполнять требования законодательства.

      В такой ситуации возможны 2 пути:

      1. Договориться с разработчиком о предоставлении необходимой документации и информации.
      2. Предложить разработчику ПО от своего лица провести анализ уязвимостей к оценочному уровню доверия.
      В противном случае использование ПО, не прошедшего анализ уязвимостей к оценочному уровню доверия (ОУД) является прямым нарушение требований Банка России со всеми вытекающими последствиями. Обратите внимание и на то, что даже если разработчик ПО самостоятельно проведет анализ уязвимостей по требованиям ОУД, то Вам в конечном итоге все равно придется провести ОУД повторно (такое требование указано в ГОСТ 15408). Но в данном случае объем работ по ОУД будет существенно меньше. Вам (с привлечением лицензиата) нужно лишь подтвердить отсутствие отличий в ПО и инфраструктуре от той версии, для которой разработчик провел ОУД.

      Сроки проведения самого анализа уязвимостей по требованию к оценочному уровню доверия (ОУД) могут достигать – 120-160 рабочих дней в зависимости от объема поверки. Также финансовой организации перед проведением проверки уязвимостей по требованиям ОУД необходимо провести подготовительные работы значительного объема – к примеру, корректировка существующей и разработка недостающей документации.

      Подробнее о подготовке к проведению анализа уязвимости по требованиям к ОУД4 можно ознакомиться в нашем материале (ссылка). Там же приведен перечень документов и стандарты, которые нужно учесть при разработке документации. Помимо этого не стоит забывать и о возможной корректировке ПО и документации по результатам проверки. В итоге суммарно длительность работ от начала до получения положительного заключения может составить календарный год. Наиболее логичным выходом из сложившейся ситуации мы видим в оперативном заключением договора с лицензиатом о проведении подобных работ.

      Самостоятельно без привлечения разработчика (без разницы – собственный или внешний) провести анализ уязвимостей по требованиям ОУД Вам не получится. Разработчик ПО должен:

      • передать исходные коды программного продукта;
      • реализовать у себя и задокументировать процесс безопасной разработки;
      • разработать документацию на программное обеспечение;
      • исправлять выявленные уязвимости в документации и исходном коде.
      Также обращаю Ваше внимание на то, что Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. И вопрос о проведении подобного анализа по требованиям ОУД силами разработчика лежит в плоскости Ваших с ним договоренностей. Обратите внимание и на то, что даже если разработчик ПО самостоятельно проведет анализ уязвимостей по требованиям ОУД, то Вам в конечном итоге все равно формально придется провести ОУД повторно (такое требование указано в ГОСТ 15408). Но в данном случае объем работ по ОУД будет существенно меньше. Вам (с привлечением лицензиата) нужно лишь подтвердить отсутствие отличий в ПО и инфраструктуре от той версии, для которой разработчик провел ОУД.

      Исполнения АПКШ «Континента» были нужны для оптимизации процесса сертификации. Сейчас все заказчики получают шестое, наиболее полное исполнение. Класс защиты СКЗИ для обработки ПДн определяется постановлением правительства №1119 и приказом ФСБ №278. В целом, если речь не идет о обработке биометрических персональных данных, рекомендуется использовать СКЗИ класса не ниже КС2.

      Сертификация Континент 4 ожидается в первом полугодии 2021 года.

      Методика описана в ГОСТ Р 57580.2-2018. По сути, надо взять требования из ГОСТ Р 57580.1, расставить им значения соответствия/не соответствия/частичного соответствия (раздел 8 и 9, далее полученные результаты считаются по формулам из ГОСТ О 57580.2. Но имейте ввиду то, что оценку соответствия может проводить только лицензиат ФСТЭК (п.6.1 Положения 684-П).

      Да. В рабочей беседе с представителями ДИБ ЦБ РФ было сказано, что Web-приложения попадают под требования ОУД, если распространяются клиентам и используются для проведения финансовой операции.

      Инфографика

      Представляем краткую информацию по реализации положения № 684-П ЦБ РФ в виде инфографики. Чтобы информация всегда была у вас под рукой, вы можете скачать инфографику в высоком разрешении и распечатать до формата А3.



      Остались вопросы? Нужна консультация?
      Мы всегда готовы помочь!

      Спросить

      Услуги
      Оценка и приведение к требованиям по Положению 684-П для НФО
      Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
      Положение № 684-П является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ). Положение 684-П устанавливает обязательные к выполнению требования к защите информации для НФО.

      Пентест (Pentest) — анализ защищенности информационной системы
      PENTEST – анализ реальной защищенности информационной системы

      Самый эффективный способ провести анализ защищенности сетевых ресурсов компании.
      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Кибербезопасность: как защитить себя и свой бизнес
        30 сентября 2022
      • Проектирование ЦОД
        26 мая 2022
      • Управление IT инфраструктурой компании
        20 мая 2022
      • Инцидент информационной безопасности
        26 апреля 2022
      • Угрозы безопасности информации
        19 апреля 2022
      • Стратегии построения СУИБ
        4 апреля 2022
      • Информационная безопасность в образовательной организации
        29 марта 2022
      • Анализ и оценка информационной безопасности
        22 марта 2022
      • Кибер атаки на сервисы гос предприятий! Что делать в новых реалиях?!
        15 марта 2022
      • Защитим от проникновения вирусов-шифровальщиков в сеть
        9 марта 2022
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.