Что нужно сделать НФО до 2020 года

С 16 мая 2019 года Министерством Юстиции Российской Федерации зарегистрировано положение 684-П.

Требования

Ниже перечислены требования, которые уже требуется выполнять:

1) Некредитные финансовые организации должны осуществить защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых организациями:

• информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками организаций и (или) клиентами организаций;
• информации, необходимой организациям для авторизации своих клиентов для осуществления финансовых операций и удостоверения права клиентов распоряжаться активами;
• информации об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях;
• ключевой информации средств криптографической защиты информации;
• информацию, содержащую персональные данные.

2. НФО должны доводить до своих клиентов рекомендации по защите информации в соответствии с 684-П.

3. НФО должны обеспечивать защиту информации с помощью СКЗИ, в соответствии с технической документацией на СКЗИ, а также с действующим законодательством.

4. НФО должны в случае наличия в технической документации на СКЗИ требований к оценке влияния средств конфиденциальной связи, совместно с которыми планируется штатное функционирование СКЗИ проводить оценку соответствия требованиям в соответствии с Положением ПКЗ-2005.

5. НФО должны в случае применения СКЗИ российского производства, иметь сертификаты соответствия СКЗИ.

6. НФО должны обеспечивать безопасность процессов изготовления криптографических ключей СКЗИ комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

7. НФО, реализующие усиленный и стандартный уровни защиты, должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации.

8. НФО, реализующие усиленный и стандартный уровни защиты, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, с соблюдением следующих требований.

Если этого выполнено не было – в 2020 году будет над чем поработать.

Далее перечислим, что добавится к этим требованиям в 2020 году.

Что добавится к требованиям для НФО в 2020 году

До 31 декабря 2019 года НФО должны самостоятельно определить уровень защиты информации организации в соответствии с 684-П (далее ежегодно не позднее первого рабочего дня календарного года).

В 2020 году до 31 декабря НФО, реализующие усиленный и стандартный уровни защиты, должны провести оценку соответствия определенного ими уровня защиты информации с привлечением сторонней организации в соответствии с ГОСТ Р 57580.1-2017. Уровень соответствия средств защиты информации, должен быть не ниже третьего, что соответствует оценке соответствия 0,70.

После проведения оценки соответствия средств защиты информации НФО, реализующие усиленный и стандартный уровни защиты, должны обеспечивать хранение отчета, составленного проверяющей организацией по результатам оценки определенного уровня защиты информации, в течение не менее чем пяти лет с даты его выдачи проверяющей организацией.

В 2020 году до 31 декабря НФО, реализующие усиленный и стандартный уровни защиты, должны обеспечить для осуществления финансовых операций использование программного обеспечения (предоставляемого клиентам организации, используемого самой организацией, а также программного обеспечения, обрабатывающего защищаемую информацию) сертифицированного ФСТЭК России на соответствие требованиям по ИБ или в отношении которых проведен анализ уязвимостей по требованиям не ниже чем ОУД 4.