+7 (495) 309-31-25 пн.-пт.: 10:00 - 17:00

Приведение в соответствие и оценка по 683-П для банка

Положение 683-П устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.

Полное название документа:

Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (утв. Банком России 17.04.2019 N 683-П)

Скачать последнюю редакцию Положения 683-П можно по здесь (doc, pdf)

Суть 683-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 683-П действует наравне с другими требованиями ЦБ, в частности:

Положением Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»

Важно 683-П не отменяет 382-П, а напротив дополняет и расширяет область применения.

Также ключевыми документами становятся ГОСТ Р 57580.1 и ГОСТ Р 57580.2. Происходит это за счет прямых ссылок на ГОСТы и явное указание необходимости соответствовать им для банков.

Аналогичное Положение под номером 684-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 684-П для НФО.

Для того чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 683-П и выделить главное.

Какая информация должна защищаться по 683-П?

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  • Информации об осуществленных банковских операциях

На кого распространяются требования 683-П?

Все без исключения кредитные организации разделены на 2 группы:

  1. Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг
  2. Все остальные кредитные организации

Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017. При этом, первая группа (системно значимые банки и пр.) должны реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.

Важно! Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации.

Одним из первых требований, которое вступает в силу по истечении 10 дней после дня его официального опубликования 683-П, это требование обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Подробнее на странице услуги Пентест по 382-П и 683-П.

Данный пункт согласуется с действующими требованиями Положения №382-П, который обязывает банки нанять внешнюю организацию для проведения пентеста и анализ уязвимостей и произвести их до 1 июля 2019 года.

Важные требования 683-П для банков

В числе большого количества требований, которые уже выполняются банками в рамках соответствия 382-П, в 683-П содержатся и новые требования, на которые необходимо обратить внимание.

  • П.5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Далеко не все применяемые в настоящий момент банками технологии позволяют обеспечить целостность. В частности, банками используются платежные архитектуры, в которых смс и push-уведомления не позволяют обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Подробнее в нашем исследовании: Анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

  • П.6. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

Банк России в явном виде отразил необходимость оценки влияния аппаратных, программно-аппаратных и программных средств, совместно с которыми функционирует СКЗИ. Ранее многими банками данные работы игнорировались.

Оценка по ГОСТ 57580.2 для банков

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный или стандартный) не реже одного раза в два года.

Когда 683-П вступает в силу?

Положение вступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 4 (по сертификации и анализу уязвимостей в прикладном ПО) вступает в силу с 1 января 2020 года
  • Пункт 3.1 (по реализации усиленного и стандартного уровня защиты информации) вступает в силу с 1 января 2021 года
  • Пункт 9 (по проведению внешней оценки соответствия по ГОСТ 57580.2) вступает в силу также с 1 января 2021 года

Дополнительные услуги по 683-П

Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Цена работ по 683-П для банков

Наименование экспертизы Стоимость

 Оценка соответствия по 683-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации)

от 250 000 рублей

Полное или частичное приведение в соответствие требованиям 683-П

от 100 000 рублей

Заказать работы по 683-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.