+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Внимание!

Предлагаем аудит ИБ компаний перешедших на удаленный режим работы

Подробнее...

8 основных ошибок внедрения требований по положению 684-П

8 основных ошибок внедрения 684-ППри проведении экспертиз, мы и наши заказчики сталкиваемся с рядом проблем. Эксперты RTM Group собрали основные ошибки НФО при внедрении требований 684-П.
И мы хотим поделиться с Вами, чтобы Вы могли их учесть не только во время аудита, но и в рабочем процессе.

При внедрении требований Положения 684-П чаще всего встречаются следующие ошибки:

1. Некорректное определение обязательных требований 684-П

НФО, не попадающие под стандартный либо усиленный уровни защиты (в соответствии с п.5) НЕ должны выполнять требования минимального уровня. Зачастую выполняются требования, которые не являются обязательными. Лучше внимательно отнестись к определению перечня обязательных требований, чтобы эффективно расходовать ресурсы.

2. Требования по защите ПДн, СКЗИ и антивирусная защита

Помимо требований ГОСТ 57580, Положение требует выполнять требования по защите персональных данных, антивирусной защите и ряд иных требований, определенных, в частности, в п.1-4 Положения. О выполнении этих требований многие забывают.

3. Ежегодное определение уровня защиты НФО

Всем некредитным финансовым организациям необходимо не реже одного раза в год определять, под какой уровень они попадают – делать это не позднее первого рабочего дня каждого года. Данный выбор должен быть регламентирован и документирован. Обязательное требование, которое незначительно само по себе, но его невыполнение является грубым нарушением.

4. Документация

При внедрении требований ГОСТ многие ограничиваются только техническими решениями, забывая о документации.

5. Комплексный подход

Реже, но так же ошибочно – делают акцент на документах. Полноценное внедрение требований ГОСТ заключается именно в комплексном подходе.

6. Сроки проведения оценки по положению 684-П

Проведение полноценной оценки, не оставляя задел на приведение в соответствие зачастую оказывается пустой тратой денег. Лучше провести предварительную оценку или даже GAP-анализ, после выполнить мероприятия по устранению, а потом уже финальную оценку.

7. ОУД4 — не надо ждать 01.01.2020

Многие ошибочно откладывают анализ уязвимостей прикладного ПО по ОУД4 на 01.01.2020 – а с этой даты уже должно выполняться данное требование. Лучше готовить сани летом.

8. Отсутствие лицензий для проведения оценки 684-П

Редко, но НФО привлекают организации, не имеющие требуемых в пп.6.1 Положения лицензий, либо вообще ограничиваются самооценкой. Это грубое нарушение.

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Связанные услуги

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

- Основные понятия
- Помощь в самооценке
- Заказать помощь в проведении самооценки по ГОСТ 57580

Приведение в соответствие и оценка по 684-П для НФО

Приведение в соответствие и оценка по 684-П для НФО

- Суть 684-П
- Какая информация должна защищаться по 684-П?
- На кого распространяются требования 684-П?
- Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
- Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
- Когда 684-П вступает в силу?
- Цена работ по 684-П для НФО
- Заказать работы по 684-П

Сопровождение организаций во время проверки ЦБ

Сопровождение организаций во время проверки ЦБ

— Что необходимо знать при проверке ЦБ
— Сроки проведения проверки
— Типы (виды) проверок