Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций

Анализ уязвимостей программного обеспечения

по требованиям к оценочному уровню доверия, не ниже чем ОУД 4
Заказать
Тестирование информационной инфраструктуры НФО

на предмет проникновений и анализа уязвимостей информационной безопасности и объектов информационной инфраструктуры
Заказать

Положение № 684-П является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ). Положение 684-П устанавливает обязательные к выполнению требования к защите информации для НФО.

Гарантия качества Сертифицированы по стандартам ISO 9001-2015

Практический опыт 10 лет опыта
в информационной безопасности

География работ Выполняем работы
в любых регионах РФ

Выполнение работ Проектируем, внедряем, сопровождаем

Решения для некредитных финансовых организаций (684-П, 187-ФЗ «КИИ», 152-ФЗ «ПДн»)

Финансовая сфера одна из наиболее регламентированных сфер в части информационной безопасности. Помимо Банка России свои требования по информационной безопасности для некредитных финансовых организаций устанавливают ФСТЭК, ФСБ, платежные системы. В результате получается целый массив требований, обязательных к исполнению. Невыполнение требований может привести к различным санкциям со стороны регулятора – начиная от предписаний, штрафов, лишения лицензии и заканчивая уголовной ответственностью ответственных лиц.

Подробно о Положении Центробанка №684-П

НФО по уровням распределения требований защиты информации по Положению 684-П

Требования к защите информации, применяемые к НФО, условно разделяются на три уровня: усиленный, стандартный и третий уровень – входящие в него НФО не попадают под требования усиленного и среднего уровня защиты информации.

Под усиленный уровень защиты попадают:

центральные контрагенты
центральный депозитарий.

Стандартному уровню защиты должны соответствовать:

специализированные депозитарии инвестиционных и негосударственных пенсионных фондов; клиринговые организации; организаторы торговли; страховые организации (при стоимости активов за 6 календарных месяцев подряд превышающей 20 млрд руб.);
негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
негосударственные пенсионные фонды (при размере средств пенсионных резервов за последние 6 календарных месяцев превышающем 10 млрд руб.);
репозитории;
брокеры, которые в течение 3 последних кв. заключили сделки купли-продажи ценных бумаг более 100 000 млн руб. и (или) осуществили брокерское обслуживание более чем 100 000 лиц;
дилеры, которые в течение последних 3 кв. заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 млн руб. в квартал;
депозитарии, осуществляющие в течение 3 последних кварталов учет ценных бумаг стоимость которых превышала 500 000 млн руб.;
регистраторы, которые в течение 3 последних кв. открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
управляющие, которые в течение 3 последних кварталов заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 млн руб. в квартал и (или) которые в течение 3 последних кварталов осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2000 лиц по договорам доверительного управления.

Некредитные Финансовые Организации, для которых 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017:

бюро кредитных историй;
микрофинансовые организации;
рейтинговые агентства;
ломбарды;
кредитные потребительские кооперативы;
актуарии;
жилищные накопительные кооперативы;
сельскохозяйственные кредитные потребительские кооперативы;
страховые организации, стоимость активов которых в течение последних 6 календарных месяцев НЕ превышала 20 миллиардов рублей;
негосударственные пенсионные фонды, брокеры, дилеры, депозитарии, регистраторы, управляющие стоимость сделок и договоров которых по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации НЕ более допустимой для НФО, попадающих под требования стандартного уровня защиты.

Информация, которая подлежит защите по 684-П

Некредитные финансовые организации (НФО) должны осуществлять защиту информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах НФО:

электронные сообщения – информация, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций;
информации, необходимая для авторизации с целью осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами и др. имуществом;
информации об осуществленных финансовых операциях; криптографические ключи – ключевая информация средств криптографической защиты информации (СКЗИ), используемая некредитными финансовыми организациями.

Требования защиты, которые должны соблюдать НФО

Некредитные финансовые организации, реализующие усиленный и стандартный уровень защиты информации, должны осуществлять тестирование объектов информационной инфраструктуры на проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации, с соблюдением следующих требований:

Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение подобных работ и услуг.
Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018.
Для НФО реализующими усиленный уровень защиты информации оценка должна производиться не реже одного раза в год.
Для НФО реализующими стандартный уровень защиты информации оценка должна производиться не реже одного раза в три года.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать хранение отчета, составленного проверяющей организацией по результатам оценки уровня защиты информации, в течение не менее чем пяти лет с даты его выдачи проверяющей организацией.
НФО реализующие усиленный и стандартный уровень защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей (далее - сертификация), или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия.
НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это. Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей №6 Федерального закона "Об электронной подписи".
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регламентацию, реализацию и контроль технологии безопасной обработки защищаемой информации.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, ПО, с соблюдением следующих требований по регистрации информации о действиях своих работников и клиентов, выполняемых с использованием ПО:
- дату и время осуществления финансовой операции, а для клиентов – совершение действий в целях
осуществления финансовой операции;
- ID (идентификатор), позволяющий идентифицировать работника (клиента) в автоматизированной системе;
- код, соответствующий технологическому участку; результат осуществления финансовой операции – для
работника, совершение действий в целях осуществления финансовой операции – для клиента;
- IP или другую идентификационную информацию, используемую для определения устройства, с
использованием которого был осуществлен доступ к автоматизированной системе, программному обеспечению
с целью осуществления финансовых операций.
НФО, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, а также представлять сведения о выявленных инцидентах защиты информации.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;
- планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации
на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Нормативная база по регулированию информационной безопасности для НФО

Можно выделить основные нормативные документы, устанавливающие требования по информационной безопасности для финансовых организаций:

Обязательные для некредитных организаций требований по обеспечению информационной безопасности (Положение 684-П)
Защита персональных данных (ФЗ-152, Приказ ФСТЭК №21, Постановление Правительства №1119)
О безопасности критической информационной инфраструктуры (ФЗ-187, Постановление Правительства №127, Приказ ФСТЭК №235, №239)

Закрываем требования регуляторов для НФО

Применительно для отдельно взятой финансовой организации данные требования пересекаются в той или иной мере. Для выполнения требований Положения №684-П, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 и других требований регуляторов и нормативной документации в области информационной безопасности, компания ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ» предлагают следующие услуги:

Оценка уровня защиты информации согласно ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 (Положение 684-П)
Разработка комплекта документов по результату проведения оценки (самооценки) соответствия требованиям для направления в адрес Департамента информационной безопасности Банка России, согласно Письму Центрального Банка РФ № 56-3-3/551 от 12.09.2019;
Анализ уязвимостей программного обеспечения по требованиям к оценочному уровню доверия, не ниже чем ОУД 4;
Тестирование объектов информационной инфраструктуры на предмет проникновений и анализа уязвимостей информационной безопасности и объектов информационной инфраструктуры (П ентест). Модернизация системы защиты информации по требованиям Банка России;
Реализация требований по защите персональных данных (Проектирование ИСПДн, разработка организационно- распорядительной документации, аттестация объектов информатизации ИСПДн);
Выполнение работ по категорированию объектов критической информационной инфраструктуры;
Разработка комплекта документов по самооценке (SAQ) по требованиям стандарта PSI DSS, оказание помощи в проведении самооценки по требованиям стандарта PCI DSS

Почему мы сделаем лучше других:

Состоим в техническом комитете Центробанка;
10 лет занимаемся информационной безопасностью;
Обладаем практическим опытом работы с некредитными финансовыми организациями (Группа компаний «Алор+», АО "Специализированный депозитарий "ИНФИНИТУМ", АО «Национальный негосударственный пенсионный фонд», АНО «Негосударственный пенсионный фонд «Оборонно-промышленный фонд им. В. В. Ливанова» и др.);
Знаем, что нужно регуляторам;
Работы и консультации выполняем до полного принятия документов регулятором;
Бесплатно подготовим рекомендации по построению системы защиты информации для вашей организации.