fbpx

Положение №684-П. План мероприятий по реализации требований Центробанка.

В выпущенном Положении №684-П Центробанк установил обязательные требования по защите информации для некредитных финансовых организаций. Данные требования различаются в зависимости от уровня защиты информации.

 

Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций. В предыдущем материале мы постарались систематизировать и показать в более доступном виде информацию из положений №683-П и №684-П. В этом материалы мы рассмотрим положение №684-П, а именно типовой план мероприятий по реализации положения Центробанка. Для вашего удобства мы систематизировали всю информацию в табличном виде. Документы, которые вам могут пригодится:

 

Этап Мероприятие Что делать? Основание Сроки/
периодичность
Примечание
1 Определение уровня защиты некредитной финансовой организации.

Определить уровень защиты некредитной финансовой организации:

  • усиленный уровень защиты;
  • стандартный уровень защиты;
  • не соответствует усиленному и стандартному уровню защиты.

Усиленный уровень защиты:

  • центральные контрагенты;
  • центральный депозитарий.

Стандартный уровень защиты:

  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые; организации
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению;
  • репозитарии;
  • брокеры;
  • дилеры;
  • депозитарии (в том числе расчетные депозитарии);
  • регистраторы;
  • управляющие.
п. 5.1 – 5.3 Положения №684-П

Де-юре – с 1 января 2021 года.

Де-факто – в кратчайшие сроки!

Периодичность – ежегодно не позднее первого рабочего дня календарного года.

Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации.

Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка!

2 Оценка текущего уровня соответствия требованиям ЦБ Необходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для:
1. Финансового планирования расходов на модернизацию системы защиты;
2. Планирования ресурсов для своевременного исполнения требований ЦБ.
Письмо ЦБ № 56-3-3/551 от 12.09.2019 г.   Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ.
Не зависимо от уровня защиты
3 Разработка рекомендаций по защите информации

Разработать рекомендации по информированию клиентов о мероприятиях по защите информации:

  • о рисках несанкционированного доступа, в том числе при утрате (потере, хищении) устройств, при осуществлении финансовых операций;
  • по антивирусной защите (своевременному обнаружению воздействия вредоносного кода).
п.2 Вступило в силу  
4 Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках п.13, п. 15 Вступило в силу.  
5 Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений

Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы.

Для остальных организаций необходимо самостоятельно определить потребность в данных услугах.

п. 9 С 1 января 2020 г.

Для какого ПО необходим анализ уязвимостей?

Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац)

По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации

6 Сертификация прочего ПО В отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимости п. 9 С 1 января 2020 г.  
7 Защита информации

Осуществлять защиту:

  • всех документов (в т.ч. сведения о транзакциях), составляемых при осуществлении финансовых операций;
  • информации, необходимой для авторизации клиентов;
  • информации о финансовых операциях;
  • ключевой информации СКЗИ, при работе с клиентами.

В т.ч. должна обеспечиваться целостность данной информации.

     
8 Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ

Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись.

Необходимо обеспечить выполнение требований технической документации на СКЗИ

п.3 (абзацы 1,2,5,6), п.11 Вступило в силу Невозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом».
Для усиленного и стандартного уровней защиты
9 Анализ уязвимостей ПО ДБО по ОУД 4 Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. п.9 С 1 января 2020 г.

Для какого ПО необходимо анализ уязвимостей?

Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац)

По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации

10 Оценка соответствия требованиям ГОСТ Р 57580.1-2017. Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 п.5, п.6.2, п.6.3

С 1 января 2021 г.

Усиленный уровень защиты – ежегодно.

Стандартный уровень защиты – не реже 1 раза в 3 года.

Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций!

Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7)

11 Пентест Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры. п.5.4

С 1 января 2021 г.

Проводить систематически

 
12 Модернизация системы защиты информации (1 этап) Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом “г” пункта 6.9 ГОСТ Р 57580.2-2018 п.8 С 1 января 2022 г. и действует по 30 июня 2023 г. включительно.  
13 Модернизация системы защиты информации (2 этап) Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом “д” пункта 6.9 ГОСТ Р 57580.2-2018. п.8 С 1 июля 2023 г.  

 

 

 

 


 

Мы решим ваши задачи по выполнению требований Положений Банка России №683-П и №684-П, а именно:

  • Разработаем полный комплект документации по результатам проведения оценки (самооценки) требований для направления в адрес Департамента информационной безопасности Банка России (согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019);
  • Проведем анализ уязвимостей программного обеспечения по ОУД 4;
  • Проведем оценку соответствия требованиям ГОСТ Р 57580.1-2017;
  • Организуем тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (пентест).
  • Модернизируем системы защиты информации по требованиям Положений Банка России №683-П и №684-П.
Отправить запрос

 


 

Назад