fbpx

Обзор положений Банка России №683-П и №684-П.

Положения Банка России №683-П и №684-П

Положения Банка России №683-П и №684-П от 17 апреля 2019 года устанавливают требования к обеспечению информационной безопасности для кредитных (№683-П) и некредитных финансовых организаций (№684-П). Можно смело назвать это очередным “знаком внимания” со стороны государства в сторону информационной безопасности. Теперь под внимание попали финансовые организации.

 

Какая информацию должна защищаться?

Кредитные финансовые организации Некредитные финансовые организации
  • Информация, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде, формируемых сотрудниками и клиентами кредитных организаций.
  • Информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами.
  • Информация об осуществленных банковских операциях.
  • Ключевая информация средств криптографической защиты (СКЗИ), используемая при осуществлении банковских операций (криптографические ключи).
  • Информация, содержащиеся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками и клиентами некредитных финансовых организаций.
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом.
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях.
  • Ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (криптографические ключи).

 

Данные положения по мимо общих требований к системе защиты информаций определяют необходимость проведения периодических мероприятий, которые должны проводиться с привлечением сторонних организаций, имеющих соответствующие лицензии:

Требования положений Банка России №683-П и №684-П вводятся поэтапно и ранжированы по уровню защиты и категории организации. Сводная таблица требований представлена ниже.

№ п/п Уровень защиты Категория организации Требования к системе защите информации Ссылка на положение Вступает в силу
1 Кредитные финансовые организации (Положение №683-П)
1.1 Усиленный

1. Системно значимые кредитные организации.


2. Кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем.


3. Кредитные организации, значимые на рынке платежных услуг

Реализовать усиленный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017 п. 3.1 Постановления 683-п 1 января 2021 года
Ежегодное тестирование на проникновение и анализ уязвимостей. п. 3.2 Постановления 683-п Вступило в силу
Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. п. 4 Постановления 683-п с 1 января 2021 года.
Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя п. 5.1 Постановления 683-п Вступило в силу
Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации п. 5.2 Постановления 683-п Вступило в силу
Обеспечение защиты информации с помощью СКЗИ п. 6 Постановления 683-п Вступило в силу
Формирование для клиентов рекомендаций по защите информации от воздействия программных кодов п. 7 Постановления 683-п Вступило в силу
Регистрация инцидентов информационной безопасности п. 8 Постановления 683-п Вступило в силу
Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ п. 8 Постановления 683-п Вступило в силу
Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 2 года п. 9 Постановления 683-п с 1 января 2021 года
1.2 Стандартный Кредитные организации, не попадающие в п. 1.1 Реализовать стандарты уровня защиты информации в соответствии с ГОСТ Р 57580.1-2017 п. 3.1 Постановления 683-п 1 января 2021 года
Ежегодное тестирование на проникновение и анализ уязвимостей. п. 3.2 Постановления 683-п Вступило в силу
Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 2 года п. 9 Постановления 683-п Вступило в силу
Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. п. 4 Постановления 683-п с 1 января 2021 года.
Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя п. 5.1 Постановления 683-п Вступило в силу
Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации п. 5.2 Постановления 683-п Вступило в силу
Обеспечение защиты информации с помощью СКЗИ п. 6 Постановления 683-п Вступило в силу
Формирование для клиентов рекомендаций по защите информации от воздействия программных кодов п. 7 Постановления 683-п Вступило в силу
Регистрация инцидентов информационной безопасности п. 8 Постановления 683-п Вступило в силу
Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятих в отношении инцидентов ИБ п. 8 Постановления 683-п Вступило в силу
2 Некредитные финансовые организации (Положение №684-П)
2.1 Усиленный

1. Центральные контрагенты


2. Центральный депозитарий

Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в год. п. 6 Положения №684-п 1 января 2021 года
Тестирование на проникновение и анализ уязвимостей. п. 5.4 Положения №684-п 1 января 2021 года
Обеспечение уровня соответствия системы защиты информации не ниже 3 уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 п. 8 Положения №684-п с 1 января 2021 по 30 июня 2023 года
Обеспечение уровня соответствия системы защиты информации не ниже 4 уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018 п .8 Положения №684-п 1 июля 2023 года
Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. п .8 Положения №684-п 1 января 2020 года
Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя п .10 Положения №684-п Вступило в силу
Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации п .11 Положения №684-п Вступило в силу
Регистрация действия работников и клиентов, выполняемый с использованием ИС п .12 Положения №684-п Вступило в силу
Регистрация инцидентов, связанных с нарушением требований к обеспечению ИБ п .13 Положения №684-п Вступило в силу
Хранение информации о финансовых операциях, о регистрации данных, об инцидентах и прочую информацию п .14 Положения №684-п Вступило в силу
Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ п .15 Положения №684-п Вступило в силу
2.2 Стандартный

1. Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;

 

2. Клиринговые организации;

 

3. Организаторы торговли;

 

4. Страховые организации;*;

 

5. Негосударственные

пенсионные фонды;*;

 

6. Репозитарии;

 

7. Брокеры;*;

 

8. Дилеры;*;

 

9. Депозитарии;*;

 

10. Регистраторы;*


11. Управляющие;*

Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 3 года. п. 6 Положения №684-п 1 января 2021 года
Тестирование на проникновение и анализ уязвимостей. п. 5.4 Положения №684-п 1 января 2021 года
Обеспечение уровня соответствия системы защиты информации не ниже 3 уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 п. 8 Положения №684-п с 1 января 2021 по 30 июня 2023 года
Обеспечение уровня соответствия системы защиты информации не ниже 4 уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018 п .8 Положения №684-п 1 июля 2023 года
Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. п .8 Положения №684-п 1 января 2020 года
Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя п .10 Положения №684-п Вступило в силу
Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя п .10 Положения №684-п Вступило в силу
Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации п .11 Положения №684-п Вступило в силу
Регистрация действия работников и клиентов, выполняемый с использованием ИС п .12 Положения №684-п Вступило в силу
Регистрация инцидентов, связанных с нарушением требований к обеспечению ИБ п .13 Положения №684-п Вступило в силу
Хранение информации о финансовых операциях, о регистрации данных, об инцидентах и прочее п .14 Положения №684-п Вступило в силу
Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ п .15 Положения №684-п Вступило в силу
2.3 Не зависимо от уровня защиты Все некредитные финансовые организации Обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов п. 2 Положение №684-п Вступило в силу
В случае использования СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности. п. 4 Положение №684-п Вступило в силу
Определение уровня защиты информации ежегодно не позднее первого рабочего первого календарного года п. 5.1 Положение №684-п с 1 января 2021 года.
Определить необходимость сертификации или анализа уязвимости прикладного ПО (кроме усиленного и стандартного уровня защиты – им предписаны конкретные требования) п. 9 Положение №684-п Вступило в силу

 

Отдельно стоит выделить целую группу некредитных финансовых организаций, для которых требования положения Банка России №684-П является обязательным, но при этом они не попадают под усиленный и стандартный уровни защиты, но, по нашему мнению, это временно. Это очень большой пласт организаций и поэтому для начала государство решило отработать процесс на относительно узком сегменте. К таким организациям некредитных финансовых организаций, для которых требования положения Банка России №684-П является обязательным, относятся:

  • Бюро кредитных историй;
  • Микрофинансовые организации;
  • Рейтинговые агентства;
  • Ломбарды;
  • Кредитные потребительские кооперативы;
  • Актуарии;
  • Жилищные накопительные кооперативы;
  • Сельскохозяйственные кредитные потребительские кооперативы;
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей;
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей;
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц;
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал;
  • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей;
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц;
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления;

 

Данная категория финансовых организаций является наиболее многочисленной и для нее также определены требования по информационной безопасности (п. 2.3 таблицы). Для организаций из данной категории необходимо провести следующие мероприятия:

      1. 1. Выделить и описать защищаемую информацию;
      2. 2. Довести до клиентов рекомендации по информационной безопасности;
      3. 3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, приказом ФСБ РФ от 09.02.2005 N 66;
      4. 4. Ежегодно проводить мероприятия по определению уровня защиты информации;
      5. 5. Определить необходимость сертификации или анализа уязвимостей в прикладном программном обеспечении.

 

 

 


 

Мы решим ваши задачи по выполнению требований Положений Банка России №683-П и №684-П, а именно:

  • Разработаем полный комплект документации по результатам проведения оценки (самооценки) требований для направления в адрес Департамента информационной безопасности Банка России (согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019);
  • Проведем анализ уязвимостей программного обеспечения по ОУД 4;
  • Проведем оценку соответствия требованиям ГОСТ Р 57580.1-2017;
  • Организуем тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (пентест).
  • Модернизируем системы защиты информации по требованиям Положений Банка России №683-П и №684-П.
Отправить запрос

 


 

Материалы по теме:

Назад