+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Приведение в соответствие и оценка по 683-П для банка

Положение № 683-П ЦБ РФ от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.

Полное название документа:

Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (утв. Банком России 17.04.2019 N 683-П)

Скачать последнюю редакцию Положения 683-П можно по здесь (doc, pdf)

Приведение в соответствие и оценка по 683-П для банка

Эксперты по приведению в соответствие и аудиту по 683-П для банка

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты

Описание

Суть 683-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 683-П действует наравне с другими требованиями ЦБ, в частности:

Положением Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»

Важно 683-П не отменяет 382-П, а напротив, дополняет и расширяет область применения.

Также ключевыми документами становятся ГОСТ Р 57580.1 и ГОСТ Р 57580.2. Происходит это за счет прямых ссылок на ГОСТы и явное указание необходимости соответствовать им для банков.

Аналогичное Положение под номером 684-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 684-П для НФО.

Для того чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 683-П и выделить главное.

Какая информация должна защищаться по 683-П?

Информация, которая должна защищаться по 683-П

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  • Информации об осуществленных банковских операциях

На кого распространяются требования 683-П Банка России?

На кого распространяются требования 683-П
Все без исключения кредитные организации разделены на 2 группы:

  1. Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг
  2. Все остальные кредитные организации

Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017. При этом, первая группа (системно значимые банки и пр.) должны реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.

Важно! Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации.

Одним из первых требований 683-П, которое вступило в силу по истечении 10 дней после дня его официального опубликования, это требование обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Подробнее на странице услуги Пентест по 382-П и 683-П.

Данный пункт согласуется с действующими требованиями Положения №382-П, который обязывает банки нанять внешнюю организацию для проведения пентеста и анализ уязвимостей и произвести их до 1 июля 2019 года.

Запрос коммерческого предложения

Важные требования 683-П для банков

В числе большого количества требований, которые уже выполняются банками в рамках соответствия 382-П, в 683-П содержатся и новые требования.

  • П.5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Далеко не все применяемые в настоящий момент банками технологии позволяют обеспечить целостность. В частности, банками используются платежные архитектуры, в которых смс и push-уведомления не позволяют обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Подробнее в нашем исследовании: Анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

  • П.6. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

Банк России в явном виде отразил необходимость оценки влияния аппаратных, программно-аппаратных и программных средств, совместно с которыми функционирует СКЗИ. Ранее многими банками данные работы игнорировались.

Оценка по ГОСТ 57580.2 для банков

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

683-П

Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный или стандартный) не реже одного раза в два года.

Когда 683-П вступает в силу?

683-П вступает в силу
Положение вступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 4.1 (по сертификации и анализу уязвимостей в прикладном ПО ОУД4) вступил в силу с 1 января 2020 года (Временно дана отсрочка до 1 июня 2021 года)
  • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ 57580.2 — достижение третьего уровня соответствия (0.7)) вступает в силу с 1 января 2021 года
  • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ 57580.2 — достижение четвертого уровня соответствия (0.85)) вступает в силу с 1 января 2023 года

Дополнительные услуги по 683-П

Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать работы по 683-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по приведению в соответствие и аудиту по 683-П для банка

Наши преимущества

Наш ключевой профиль

Работы по направлению ИТ и кибербезопасности

3 лицензии

ФСТЭК России и ФСБ России

11

дипломированных экспертов

7 лет

Минимальный стаж экспертной работы

Цены на услуги по приведению в соответствие и аудиту по 683-П для банка

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель
Опросный лист (анкета)

от 300 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

от 600 000 руб.

Оценка соответствия по ГОСТ Р 57580.1-2017 - от 10 недель

от 600 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по ГОСТ Р 57580.1-2017 - от 12 недель

от 800 000 руб.

Полный аудит соответствия по 683-П и ГОСТ Р 57580.1-2017 - от 16 недель

от 800 000 руб.

Разработка организационно-распорядительной документации (ОРД) для 683-П (от 2 недель)

от 200 000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

FAQ: Часто задаваемые вопросы

Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)? Как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает?

Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

Здравствуйте!

Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.

По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

Наши отзывы по приведению в соответствие и аудиту по 683-П для банка

Отзыв о RTM Group от КБ «ОБР» (ООО)
По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
Отзыв о RTM Group от АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.

Услуги для вас

НАМ ДОВЕРЯЮТ