Положения Банка России №683-П и №684-П
Положения Банка России №683-П и №684-П от 17 апреля 2019 года устанавливают требования к обеспечению информационной безопасности для кредитных (№683-П) и некредитных финансовых организаций (№684-П). Можно смело назвать это очередным "знаком внимания" со стороны государства в сторону информационной безопасности. Теперь под внимание попали финансовые организации.
Какая информацию должна защищаться?
| Кредитные финансовые организации | Некредитные финансовые организации |
|---|---|
|
|
Данные положения по мимо общих требований к системе защиты информаций определяют необходимость проведения периодических мероприятий, которые должны проводиться с привлечением сторонних организаций, имеющих соответствующие лицензии:
- Тестирование объектов информационной инфраструктуры на предмет проникновения и анализ уязвимостей информационной безопасности объектов (пентест)
- Оценка уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защиты информации финансовых организаций. Методика соответствия»
Требования положений Банка России №683-П и №684-П вводятся поэтапно и ранжированы по уровню защиты и категории организации. Сводная таблица требований представлена ниже.
| № п/п | Уровень защиты | Категория организации | Требования к системе защите информации | Ссылка на положение | Вступает в силу |
|---|---|---|---|---|---|
| 1 | Кредитные финансовые организации (Положение №683-П) | ||||
| 1.1 | Усиленный |
|
Реализовать усиленный уровень защиты информации в соответствии с ГОСТ Р 57580.1-2017 | п. 3.1 Постановления 683-п | 1 января 2021 года |
| Ежегодное тестирование на проникновение и анализ уязвимостей. | п. 3.2 Постановления 683-п | Вступило в силу | |||
| Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. | п. 4 Постановления 683-п | с 1 января 2020 года. | |||
| Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя | п. 5.1 Постановления 683-п | Вступило в силу | |||
| Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации | п. 5.2 Постановления 683-п | Вступило в силу | |||
| Обеспечение защиты информации с помощью СКЗИ | п. 6 Постановления 683-п | Вступило в силу | |||
| Формирование для клиентов рекомендаций по защите информации от воздействия программных кодов | п. 7 Постановления 683-п | Вступило в силу | |||
| Регистрация инцидентов информационной безопасности | п. 8 Постановления 683-п | Вступило в силу | |||
| Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ | п. 8 Постановления 683-п | Вступило в силу | |||
| Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 2 года | п. 9 Постановления 683-п | с 1 января 2021 года | |||
| Обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ 57580.2-2018 |
п. 9.2 Постановления 683-п |
С 1 января 2021 | |||
| Обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ 57580.2-2018 |
п. 9.2 Постановления 683-п |
С 1 января 2023 | |||
| 1.2 | Стандартный | Кредитные организации, не попадающие в п. 1.1 | Реализовать стандарты уровня защиты информации в соответствии с ГОСТ Р 57580.1-2017 | п. 3.1 Постановления 683-п | 1 января 2021 года |
| Ежегодное тестирование на проникновение и анализ уязвимостей. | п. 3.2 Постановления 683-п | Вступило в силу | |||
| Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 2 года | п. 9 Постановления 683-п | 1 января 2021 года | |||
| Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. | п. 4 Постановления 683-п | с 1 января 2020 года. | |||
| Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя | п. 5.1 Постановления 683-п | Вступило в силу | |||
| Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации | п. 5.2 Постановления 683-п | Вступило в силу | |||
| Обеспечение защиты информации с помощью СКЗИ | п. 6 Постановления 683-п | Вступило в силу | |||
| Формирование для клиентов рекомендаций по защите информации от воздействия программных кодов | п. 7 Постановления 683-п | Вступило в силу | |||
| Регистрация инцидентов информационной безопасности | п. 8 Постановления 683-п | Вступило в силу | |||
| Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятих в отношении инцидентов ИБ | п. 8 Постановления 683-п | Вступило в силу | |||
| 2 | Некредитные финансовые организации (Положение №684-П) | ||||
| 2.1 | Усиленный |
|
Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в год. | п. 6 Положения №684-п | 1 января 2021 года |
| Тестирование на проникновение и анализ уязвимостей. | п. 5.4 Положения №684-п | 1 января 2021 года | |||
| Обеспечение уровня соответствия системы защиты информации не ниже 3 уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 | п. 8 Положения №684-п | с 1 января 2021 по 30 июня 2023 года | |||
| Обеспечение уровня соответствия системы защиты информации не ниже 4 уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018 | п .8 Положения №684-п | 1 июля 2023 года | |||
| Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. | п .8 Положения №684-п | 1 января 2020 года | |||
| Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя | п .10 Положения №684-п | Вступило в силу | |||
| Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации | п .11 Положения №684-п | Вступило в силу | |||
| Регистрация действия работников и клиентов, выполняемый с использованием ИС | п .12 Положения №684-п | Вступило в силу | |||
| Регистрация инцидентов, связанных с нарушением требований к обеспечению ИБ | п .13 Положения №684-п | Вступило в силу | |||
| Хранение информации о финансовых операциях, о регистрации данных, об инцидентах и прочую информацию | п .14 Положения №684-п | Вступило в силу | |||
| Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ | п .15 Положения №684-п | Вступило в силу | |||
| 2.2 | Стандартный |
|
Оценка соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018 не реже 1 раза в 3 года. | п. 6 Положения №684-п | 1 января 2021 года |
| Тестирование на проникновение и анализ уязвимостей. | п. 5.4 Положения №684-п | 1 января 2021 года | |||
| Обеспечение уровня соответствия системы защиты информации не ниже 3 уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 | п. 8 Положения №684-п | с 1 января 2021 по 30 июня 2023 года | |||
| Обеспечение уровня соответствия системы защиты информации не ниже 4 уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018 | п .8 Положения №684-п | 1 июля 2023 года | |||
| Сертификация или анализ уязвимостей в прикладном ПО и приложений, распространяемые своим клиентам. | п .8 Положения №684-п | 1 января 2020 года | |||
| Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя | п .10 Положения №684-п | Вступило в силу | |||
| Обеспечение подписание электронных сообщений способом, позволяющий обеспечить их целостность и возможность подтверждения отправителя | п .10 Положения №684-п | Вступило в силу | |||
| Регламентация, реализация, контроль (мониторинг) технологии безопасной обработки защищаемой информации | п .11 Положения №684-п | Вступило в силу | |||
| Регистрация действия работников и клиентов, выполняемый с использованием ИС | п .12 Положения №684-п | Вступило в силу | |||
| Регистрация инцидентов, связанных с нарушением требований к обеспечению ИБ | п .13 Положения №684-п | Вступило в силу | |||
| Хранение информации о финансовых операциях, о регистрации данных, об инцидентах и прочее | п .14 Положения №684-п | Вступило в силу | |||
| Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ | п .15 Положения №684-п | Вступило в силу | |||
| 2.3 | Не зависимо от уровня защиты | Все некредитные финансовые организации | Обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов | п. 2 Положение №684-п | Вступило в силу |
| В случае использования СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности. | п. 4 Положение №684-п | Вступило в силу | |||
| Определение уровня защиты информации ежегодно не позднее первого рабочего первого календарного года | п. 5.1 Положение №684-п | с 1 января 2021 года. | |||
| Определить необходимость сертификации или анализа уязвимости прикладного ПО (кроме усиленного и стандартного уровня защиты – им предписаны конкретные требования) | п. 9 Положение №684-п | Вступило в силу | |||
Отдельно стоит выделить целую группу некредитных финансовых организаций, для которых требования положения Банка России №684-П является обязательным, но при этом они не попадают под усиленный и стандартный уровни защиты, но, по нашему мнению, это временно. Это очень большой пласт организаций и поэтому для начала государство решило отработать процесс на относительно узком сегменте. К таким организациям некредитных финансовых организаций, для которых требования положения Банка России №684-П является обязательным, относятся:
- Бюро кредитных историй;
- Микрофинансовые организации;
- Рейтинговые агентства;
- Ломбарды;
- Кредитные потребительские кооперативы;
- Актуарии;
- Жилищные накопительные кооперативы;
- Сельскохозяйственные кредитные потребительские кооперативы;
- Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей;
- Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей;
- Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц;
- Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал;
- Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей;
- Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц;
- Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления;
- Выделить и описать защищаемую информацию;
- Довести до клиентов рекомендации по информационной безопасности;
- Обеспечить работу с криптографией в соответствии с законом об электронной подписи, приказом ФСБ РФ от 09.02.2005 N 66;
- Ежегодно проводить мероприятия по определению уровня защиты информации;
- Определить необходимость сертификации или анализа уязвимостей в прикладном программном обеспечении.
Мы пишем о том, что делаем!
Мы решим ваши задачи по выполнению требований Положений Банка России №683-П и №684-П:
- Разработаем полный комплект документации по результатам проведения оценки (самооценки) требований для направления в адрес Департамента информационной безопасности Банка России (согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019);
- Проведем анализ уязвимостей программного обеспечения по ОУД 4;
- Проведем оценку соответствия требованиям ГОСТ Р 57580.1-2017;
- Организуем тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (пентест).
- Модернизируем системы защиты информации по требованиям Положений Банка России №683-П и №684-П.