8 основных ошибок внедрения требований по положению 684-П
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияОбщая информация
При проведении экспертиз, мы и наши заказчики сталкиваемся с рядом проблем. Эксперты RTM Group собрали основные ошибки НФО при внедрении требований 684-П. И мы хотим поделиться с Вами, чтобы Вы могли их учесть не только во время аудита, но и в рабочем процессе.
При внедрении требований Положения 684-П чаще всего встречаются следующие ошибки:
1. Некорректное определение обязательных требований 684-П
НФО, не попадающие под стандартный либо усиленный уровни защиты (в соответствии с п.5) НЕ должны выполнять требования минимального уровня. Зачастую выполняются требования, которые не являются обязательными. Лучше внимательно отнестись к определению перечня обязательных требований, чтобы эффективно расходовать ресурсы.
2. Требования по защите ПДн, СКЗИ и антивирусная защита
Помимо требований ГОСТ 57580, Положение требует выполнять требования по защите персональных данных, антивирусной защите и ряд иных требований, определенных, в частности, в п.1-4 Положения. О выполнении этих требований многие забывают.
3. Ежегодное определение уровня защиты НФО
Всем некредитным финансовым организациям необходимо не реже одного раза в год определять, под какой уровень они попадают – делать это не позднее первого рабочего дня каждого года. Данный выбор должен быть регламентирован и документирован. Обязательное требование, которое незначительно само по себе, но его невыполнение является грубым нарушением.
4. Документация
При внедрении требований ГОСТ многие ограничиваются только техническими решениями, забывая о документации.
5. Комплексный подход
Реже, но так же ошибочно – делают акцент на документах. Полноценное внедрение требований ГОСТ заключается именно в комплексном подходе.
6. Сроки проведения оценки по положению 684-П
Проведение полноценной оценки, не оставляя задел на приведение в соответствие зачастую оказывается пустой тратой денег. Лучше провести предварительную оценку или даже GAP-анализ, после выполнить мероприятия по устранению, а потом уже финальную оценку.
7. ОУД4 — не надо ждать 01.01.2020
Многие ошибочно откладывают анализ уязвимостей прикладного ПО по ОУД4 на 01.01.2020 – а с этой даты уже должно выполняться данное требование. Лучше готовить сани летом.
8. Отсутствие лицензий для проведения оценки 684-П
Редко, но НФО привлекают организации, не имеющие требуемых в пп.6.1 Положения лицензий, либо вообще ограничиваются самооценкой. Это грубое нарушение.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram