8 основных ошибок внедрения требований по положению 684-П

Автор статьи:

8 основных ошибок внедрения 684-П

Общая информация

При проведении экспертиз, мы и наши заказчики сталкиваемся с рядом проблем. Эксперты RTM Group собрали основные ошибки НФО при внедрении требований 684-П. И мы хотим поделиться с Вами, чтобы Вы могли их учесть не только во время аудита, но и в рабочем процессе.

При внедрении требований Положения 684-П чаще всего встречаются следующие ошибки:

Основные ошибки при внедрении требований Положения 684-П

1. Некорректное определение обязательных требований 684-П

НФО, не попадающие под стандартный либо усиленный уровни защиты (в соответствии с п.5) НЕ должны выполнять требования минимального уровня. Зачастую выполняются требования, которые не являются обязательными. Лучше внимательно отнестись к определению перечня обязательных требований, чтобы эффективно расходовать ресурсы.

2. Требования по защите ПДн, СКЗИ и антивирусная защита

Помимо требований ГОСТ 57580, Положение требует выполнять требования по защите персональных данных, антивирусной защите и ряд иных требований, определенных, в частности, в п.1-4 Положения. О выполнении этих требований многие забывают.

3. Ежегодное определение уровня защиты НФО

Всем некредитным финансовым организациям необходимо не реже одного раза в год определять, под какой уровень они попадают – делать это не позднее первого рабочего дня каждого года. Данный выбор должен быть регламентирован и документирован. Обязательное требование, которое незначительно само по себе, но его невыполнение является грубым нарушением.

4. Документация

При внедрении требований ГОСТ многие ограничиваются только техническими решениями, забывая о документации.

5. Комплексный подход

Реже, но так же ошибочно – делают акцент на документах. Полноценное внедрение требований ГОСТ заключается именно в комплексном подходе.

6. Сроки проведения оценки по положению 684-П

Проведение полноценной оценки, не оставляя задел на приведение в соответствие зачастую оказывается пустой тратой денег. Лучше провести предварительную оценку или даже GAP-анализ, после выполнить мероприятия по устранению, а потом уже финальную оценку.

7. ОУД4 — не надо ждать 01.01.2020

Многие ошибочно откладывают анализ уязвимостей прикладного ПО по ОУД4 на 01.01.2020 – а с этой даты уже должно выполняться данное требование. Лучше готовить сани летом.

8. Отсутствие лицензий для проведения оценки 684-П

Редко, но НФО привлекают организации, не имеющие требуемых в пп.6.1 Положения лицензий, либо вообще ограничиваются самооценкой. Это грубое нарушение.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги