+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Значимые изменения в регулировании ИБ Банком России 2020

Значимые изменения в регулировании ИБ Банком России 2019В 2019 году произошли существенные изменения в регулировании процессов обеспечения информационной безопасности со стороны Банка России. Были разработаны и опубликованы следующие документы:

Рассмотрим их подробнее в хронологическом порядке.

Положение № 672-П

Положение Банка России от 09.01.2019 №672-П «О требованиях к защите информации в платежной системе Банка России», которое вступило в силу с 06.04.2019 и фактически заменило собой 552-П. Это положение распространяется на коммерческие банки и на другие организации, которые являются участниками платежной системы Банка России и имеют договор об обмене электронными сообщениями с ЦБ РФ.

672-П содержит собственные и отсылочные требования, последние представляют собой ссылки на другие нормативные акты, выполнение которых является обязательным (382-П, 2831-У, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018). Получается, 672-П органично вписано в систему регулирования информационной безопасности со стороны Центробанка.

Методические рекомендации 4-МР

14 февраля Банк России выпустил методические рекомендации 4-МР для кредитных организаций по обеспечению информационной безопасности при работе с Единой биометрической системой. В документе указано, как должны быть защищены ИТ-инфраструктура банка и каналы связи при сборе биометрических данных и удаленной идентификации клиентов в мобильном и онлайн-банкинге. Для всех технологических участков, на которые поделены оба процесса, установлены меры защиты от киберугроз.

К основным рекомендациям, которые содержит документ, относятся соблюдение требований ГОСТ Р 57580.1-2017, использование сертифицированных средств защиты информации, установку АРМ сбора ПДн.

Положение № 684-П

17 апреля 2019 было утверждено Положение №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Появление Положения 684-П является ключевым элементом в системе регулирования информационной безопасности НФО со стороны Банка России, т.к. фактически до появления 684-П Центробанк не регулировал информационную безопасность некредитных финансовых организаций.
Положение выделяет 2 группы НФО, которые попадают под стандартный и усиленный уровень защиты информации по ГОСТ 57580.1-2017 и обязывает проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018, при этом некредитные финансовые организации, соответствующие усиленному уровню защиты информации – не реже одного раза в год, стандартному уровню – не реже одного раза в три года.

Положение №683-П

21 мая 2019 года Банк России опубликовал Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», которое вступило в силу с 01 июня.

Как становится ясно из названия, положение устанавливает обязательные требования по защите информации для противодействия переводам денежных средств, которые осуществляются без согласия клиента. В документе присутствуют прямые ссылке на ГОСТ 57580.1-2017 и ГОСТ 57580.2-2018, что делает их ключевыми документами. Само же Положение № 683-П во многом схоже с Положением № 684-П, которое разработал ЦБ для некредитных финансовых организаций и является дополнением к 382-П для банков.

 

Обобщая, за 2019 год произошли существенные изменения в регулировании информационной безопасности. Во-первых, регулятор разработал 684-П, и таким образом обратил свое внимание на некредитные финансовые организации, так как до этого НФО фактически им не регулировались. Во-вторых, с помощью Положений 684-П, 683-П, 672-П сделал обязательным исполнение ГОСТа 57580.

Вопросы эксперту

logo RTM Group

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку персональных данных.

Связанные услуги

Приведение в соответствие и оценка по 683-П для банка

Приведение в соответствие и оценка по 683-П для банка

- Суть 683-П
- Какая информация должна защищаться по 683-П?
- На кого распространяются требования 683-П?
- Важные требования 683-П для банков
- Оценка по ГОСТ 57580.2 для банков
- Когда 683-П вступает в силу?
- Дополнительные услуги по 683-П
- Почему RTM Group?
- Цена работ по 683-П для банков
- Заказать работы по 683-П

Приведение в соответствие и оценка по 684-П для НФО

Приведение в соответствие и оценка по 684-П для НФО

- Суть 684-П
- Какая информация должна защищаться по 684-П?
- На кого распространяются требования 684-П?
- Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
- Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
- Когда 684-П вступает в силу?
- Цена работ по 684-П для НФО
- Заказать работы по 684-П

Приведение в соответствие и оценка соответствия по 672-П

Приведение в соответствие и оценка соответствия по 672-П

— Суть 672-П
— ГОСТ Р 57580 как часть 672-П
— Что нужно сделать для выполнения 672-П?
— Список документов для соответствия 672-П?
— Сроки приведения в соответствие 672-П и ГОСТ 57580
— Оценка соответствия (аудит) по ГОСТ Р 57580 (672-П)
— Как оценить выполнение 672-П и ГОСТ?

Экспертиза информационной безопасности в банках

Экспертиза информационной безопасности в банках

— Наиболее значимые требования к обеспечению защиты информации в банках
— Какие последствия предусмотрены законодательством в случае нарушения 382-П?
— Позиция банков в судебных спорах с клиентами