Положение №684-П. План мероприятий по реализации требований Центробанка.

8 октября 2019

// Информационная безопасность

Положение 684-П ЦБРФ + инфографика по реализации требований

В выпущенном Положении №684-П Центробанк установил обязательные требования по защите информации для НФО. Рассмотрим подробнее. Получить оценку защищенности

Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций. В предыдущем материале мы постарались систематизировать и показать в более доступном виде информацию из положений №683-П и №684-П. В этом материалы мы рассмотрим положение №684-П, а именно типовой план мероприятий по реализации положения Центробанка. Для вашего удобства мы систематизировали всю информацию в табличном виде. Документы, которые вам могут пригодится:

Этап	Мероприятие	Что делать?	Основание	Сроки/ периодичность	Примечание
1	Определение уровня защиты некредитной финансовой организации.	Определить уровень защиты некредитной финансовой организации: усиленный уровень защиты; стандартный уровень защиты; не соответствует усиленному и стандартному уровню защиты. Усиленный уровень защиты: центральные контрагенты; центральный депозитарий. Стандартный уровень защиты: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; клиринговые организации; организаторы торговли; страховые организации, стоимость активов, которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей; негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию; негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов, которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей; репозитарии; брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц; дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал; депозитарии (в том числе расчетные депозитарии), депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым - пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П 'О порядке открытия и ведения депозитариями счетов депо и иных счетов', зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей; регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц; управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2000 лиц, с которыми заключены договоры доверительного управления.	п. 5.1 – 5.3 Положения №684-П	Де-юре – с 1 января 2021 года. Де-факто – в кратчайшие сроки! Периодичность – ежегодно не позднее первого рабочего дня календарного года.	Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации. Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка!
2	Оценка текущего уровня соответствия требованиям ЦБ.	Необходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для: 1. Финансового планирования расходов на модернизацию системы защиты; 2. Планирования ресурсов для своевременного исполнения требований ЦБ.	Письмо ЦБ № 56-3-3/551 от 12.09.2019 г.		Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ.
Не зависимо от уровня защиты
3	Разработка рекомендаций по защите информации.	Разработать рекомендации по информированию клиентов о мероприятиях по защите информации: о рисках несанкционированного доступа, в том числе при утрате (потере, хищении) устройств, при осуществлении финансовых операций; по антивирусной защите (своевременному обнаружению воздействия вредоносного кода).	п.2	Вступило в силу.
4	Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках.	Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках.	п.13, п. 15	Вступило в силу.
5	Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений.	Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы. Для остальных организаций необходимо самостоятельно определить потребность в данных услугах.	п. 9	С 1 января 2020 г.	Для какого ПО необходим анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации.
6	Сертификация прочего ПО.	В отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимости.	п. 9	С 1 января 2020 г.
7	Защита информации.	Осуществлять защиту: всех документов (в т.ч. сведения о транзакциях), составляемых при осуществлении финансовых операций; информации, необходимой для авторизации клиентов; информации о финансовых операциях; ключевой информации СКЗИ, при работе с клиентами. В т.ч. должна обеспечиваться целостность данной информации.
8	Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ.	Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись. Необходимо обеспечить выполнение требований технической документации на СКЗИ.	п.3 (абзацы 1,2,5,6), п.11	Вступило в силу.	Невозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом».
Для усиленного и стандартного уровней защиты
9	Анализ уязвимостей ПО ДБО по ОУД 4	Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4.	п.9	С 1 января 2020 г.	Для какого ПО необходимо анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации.
10	Оценка соответствия требованиям ГОСТ Р 57580.1-2017.	Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018	п.5, п.6.2, п.6.3	С 1 января 2021 г. Усиленный уровень защиты – ежегодно. Стандартный уровень защиты – не реже 1 раза в 3 года.	Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций! Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7)
11	Пентест	Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры.	п.5.4	С 1 января 2021 г. Проводить систематически.
12	Модернизация системы защиты информации (1 этап).	Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом "г" пункта 6.9 ГОСТ Р 57580.2-2018	п.8	С 1 января 2022 г. и действует по 30 июня 2023 г. включительно.
13	Модернизация системы защиты информации (2 этап).	Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 ГОСТ Р 57580.2-2018.	п.8	С 1 июля 2023 г.

Для удобства, представляем краткую информацию по реализации положения № 684-П ЦБ РФ в виде инфографики:

Чтобы информация всегда была у вас под рукой, вы можете с качать инфографику в высоком разрешении и распечатать до формата А3.

Мы пишем о том, что делаем!

Мы решим ваши задачи по выполнению требований Положений Банка России №683-П и №684-П:

разработаем полный комплект документации по результатам проведения оценки (самооценки) требований для направления в адрес Департамента информационной безопасности Банка России (согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019);
проведем анализ уязвимостей программного обеспечения по ОУД 4;
проведем оценку соответствия требованиям ГОСТ Р 57580.1-2017;
организуем тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (пентест).
модернизируем системы защиты информации по требованиям Положений Банка России №683-П и №684-П.

Услуги

Оценка и приведение к требованиям по Положению 684-П для НФО

Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций

Положение № 684-П является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ). Положение 684-П устанавливает обязательные к выполнению требования к защите информации для НФО.

Аудит информационной безопасности

Аудит информационной безопасности — это процесс получения объективных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами. В рамках данного мероприятия проводится комплекс работ по определению уязвимостей IT инфраструктуры, анализ защищенности веб приложений и предотвращению потенциальных кабератак.

Комментарии

Загрузка комментариев...

Назад к списку Следующая статья

Категории

Это интересно