683‑П: Приведение в соответствие и оценка для банка

Мы предлагаем:

  • Обеспечение соответствия ГОСТ Р 57580.1-2017
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
  • Обеспечение соответствия основной части 683-П
  • Разработка организационно-распорядительной документации для соответствия 683-П и ГОСТ Р 57580.1-2017

Вы получаете:

Помимо оценки соответствия, мы окажем консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.

Важно:

Оценка соответствия по ГОСТ Р 57580 проводится один раз в два года.

683‑П: Приведение в соответствие и оценка для банка - услуги RTM Group
683‑П: Приведение в соответствие и оценка для банка - от RTM Group
Пройти оценку соответствия по 683‑П

Эксперты по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580 Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Положение № 683-П ЦБ РФ

Положение № 683-П ЦБ РФ от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.

Полное название документа:

Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента” (утв. Банком России 17.04.2019 N 683-П)

Скачать последнюю редакцию Положения 683-П можно по здесь (doc, pdf)

Аудит соответствия общим требованиям 683-П

Цель проведения работ

В соответствии с п. 3.1 Положения 683-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1-2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации.

Аудит соответствия системы защиты информации, в соответствии с требованиями положения 683-П, включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

п.1 – требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;

п.5. – требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;

п.6. – требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);

п.7. – доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;

п.8. – требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;

п.9 – требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.

В ходе аудита проводятся следующие работы:

  • осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • анализируется организационно-распорядительная документация;
  • анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации;
  • проводится интервью с сотрудниками проверяемой организации;
  • проводится визуальное наблюдение на объектах проверяемой организации (при необходимости);
  • оценивается соответствие проверяемой организации пунктам требований руководящих документов;
  • разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 683-П
  • проводится проверка устранения обнаруженных несоответствий;
  • повторно проводится аудит соответствия требований Положения 683-П к системе обеспечения информационной безопасности;
  • согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности.

Результат и отчетная документация:

  1. Отчет о проведенных работах по общим требованиям 683-П (без учета ОУД4);
  2. Обоснование и рекомендации по повышению уровня соответствия (если требуются).

 

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ

В соответствии с п. 3.1 Положения 683-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1–2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации и интервью.

В ходе оценки проводятся следующие работы:

  • определяется область оценки (перечень ИС, объектов доступа, персонала);
  • осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений;
  • анализируется организационно-распорядительная документация;
  • анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения;
  • проводится визуальное наблюдение на объектах Банка (в случае необходимости);
  • проводится интервью сотрудников проверяемой организации;
  • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017;
  • оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями);
  • рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»;
  • разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 (при необходимости, а также Модель угроз);
  • согласовывается полученный результат;
  • проводится оценка рисков информационной безопасности Банка.

Результат и отчетная документация:

  1. Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018 рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия;
  2. Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ;
  3. Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

    Узнать стоимость

    Суть 683-П

    Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 683-П действует наравне с другими требованиями ЦБ, в частности:

    Положением Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

    Важно: 683-П обладает более узкой областью применения в сравнении с 719-П.

    Также ключевыми документами становятся ГОСТ Р 57580.1 и ГОСТ Р 57580.2. Происходит это за счет прямых ссылок на ГОСТы и явное указание необходимости соответствовать им для банков.

    Аналогичное Положение под номером 757-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 757-П для НФО.

    Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции, необходимо четко разобрать содержание 683-П и выделить главное.

     

    Какая информация должна защищаться по 683-П?

    Информация, которая должна защищаться по 683-П

    • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
    • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
    • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
    • Информация об осуществленных банковских операциях

     

    На кого распространяются требования 683-П Банка России?

    На кого распространяются требования 683-П
    Все без исключения кредитные организации разделены на 2 группы:

    1. Системно значимые кредитные организации; кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем; кредитные организации, значимые на рынке платежных услуг
    2. Все остальные кредитные организации

    Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017. При этом первая группа (системно значимые банки и пр.) должна реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.

    Важно! Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации.

    Одним из первых требований 683-П, которое вступило в силу по истечении 10 дней после дня его официального опубликования, является требование обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

    Подробнее на странице услуги Пентест (анализ уязвимостей).

      Нужна консультация?

      Важные требования 683-П для банков

      В 683-П были дополнены требования в отношении применения СКЗИ и защиты электронных сообщений кредитными организациями. Со вступлением в силу Указания Банка России № 6071-У от 18 февраля 2022 требования к применению СКЗИ будут ужесточены.

      • П.5.1. Кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.

      В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

      Далеко не все применяемые в настоящий момент банками технологии позволяют обеспечить целостность. В частности, банками используются платежные архитектуры, в которых смс и push-уведомления не позволяют обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

      Подробнее в нашем исследовании: Анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

      • П.6. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

      Банк России в явном виде отразил необходимость оценки влияния аппаратных, программно-аппаратных и программных средств, совместно с которыми функционирует СКЗИ. Ранее многими банками данные работы игнорировались.

       

      Оценка по ГОСТ Р 57580.2 для банков

      Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

      683-П

      Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный или стандартный) не реже одного раза в два года.

       

      Когда 683-П вступает в силу?

      683-П вступает в силу
      Положение вступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

      • Пункт 4.1 (по сертификации и анализу уязвимостей в прикладном ПО ОУД4) вступил в силу с 1 января 2020 года (Временно дана отсрочка до 1 июня 2021 года)
      • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ Р 57580.2 — достижение третьего уровня соответствия (0.7)) вступает в силу с 1 января 2021 года
      • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ Р 57580.2 — достижение четвертого уровня соответствия (0.85)) вступает в силу с 1 января 2023 года

      Дополнительные услуги по 683-П

      Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

       

      Почему RTM Group?

      • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
      • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.1 .
      • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать услуги по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email:






      Видео по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

      Обратите внимание!
      Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Аудит соответствия общим требованиям 683-П (без ОУД4)

      Срок – от 6 недель

      Подробное описание
       

      от 600 000 руб.

      Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 683-П (без ОУД4)

      Срок – от 10 недель

      от 800 000 руб.

      Оценка соответствия по ГОСТ Р 57580

      Срок – от 10 недель

      Подробное описание
       

      от 600 000 руб.

      Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

      Срок – от 12 недель

      от 600 000 руб.

      Полный аудит соответствия требований 683-П и проведение оценки по ГОСТ Р 57580

      Срок – от 16 недель

      от 800 000 руб.

      Разработка ОРД по требованиям 683-П

      Срок – от 2 недель

      от 200 000 руб.

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наши преимущества

      719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

      Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

      Каждый 5-й российский банк - наш клиент

      Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

      Нами проведено более 800 аудитов

      Сотрудники компании провели более 700 аудитов по различным критериям

      3 лицензии

      ФСТЭК России и ФСБ России

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      Наши отзывы по приведению в соответствие требованиям 683-П и проведению оценки по ГОСТ Р 57580

      Благодарность от АО «НВКбанк»
      26.08.2019
      Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
      Благодарность от КБ «ОБР» (ООО)
      26.08.2019
      По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
      Благодарность от АО «Углеметбанк»
      28.06.2021
      Уважаемый Федор Александрович! АО "Углеметбанк" выражает благодарность компании «RTM Group» и, в частности, экспертам Кобецу Д.А. и Воронину В.Л. за высокий уровень профессионализма при выполнении работ, а также качественное проведение оценки соответствия информационной безопасности Банка требованиям ГОСТ Р 57580.1-2017, Положения 683-П и Положения 747-П. В рамках аудита была проведение тщательная проверка информационной инфраструктуры и, по её итогам, предоставлена исчерпывающая информация о защищенности всей информационной инфраструктуры, даны практические рекомендации по выявленным несоответствиям. В процессе проведения аудита эксперты «RTM Group» оказывали дополнительные консультационные услуги в разработке организационно-распределительной документации и оперативного повышения уровня соответствия требованиям информационной безопасности АО «Углеметбанк». С уважением, Председатель Правления Т.В. Бессмертных

      Услуги для вас

      Продукты и решения для вас

      Нам доверяют

      Полезные статьи

      FAQ: Часто задаваемые вопросы

      В чем отличие 382-П и 683-П? Нужно ли проводить два аудита?

      Самым главным отличием 382-П и 683-П является область применения и цели Положений.

      Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

      Для кредитных организаций 683-П делает ГОСТ Р 57580.1 обязательным. Таким образом обязательно проведение двух аудитов – по 382-П и по ГОСТ 57580.

      В ГОСТе фигурирует термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на уровне сети?

      В ГОСТе не указан способ реализации межсетевого экранирования, который обязателен к использованию. Если используемое ПО, коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Применение таких средств, имеющих, в соответствии с РЗИ11-13 класс защиты от 4 до 6 (в зависимости от реализуемого уровня защиты информации), необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

      Есть межсетевые экраны Fortinet, будут ли они учитываться в качестве средств защиты от вредоносного кода, например? Функционал у решения широкий. Аналогично IPS и прочее, что содержит функционал для борьбы с вредоносным кодом.

      Межсетевые экраны будут учитываться как средство от вредоносного кода только на уровне межсетевого трафика. Можно использовать МЭ Fortinet для обеспечения должной и целостной защиты от вредоносного кода только в сочетании с антивирусным средством, развернутым на уровне АРМ и уровне серверов. Необходимо подчеркнуть, что в организации должен применяться разновендорный подход и раздельная установка антивирусных средств. Отдельно МЭ Fortinet с функцией антивирусной защиты не обеспечивает антивирусную защиту организации.

      57580.1 говорит об использовании компенсирующих мер (пункт 6.4). Можно ли отказаться от каких-либо защитных мер, заменив их компенсирующими? Мы планируем использовать решения на OpenSource. Можно ли их учесть как компенсирующие меры для замены дорогих средств защиты?

      Замена на компенсирующие меры осуществляется при невозможности технической реализации отдельных выбранных мер защиты информации, содержащихся в ГОСТ 57580.1-2017. Применение компенсирующих мер должно быть обосновано.  Компенсирующие меры обязаны исключать реализацию угроз с той же эффективностью, что и при выполнении «компенсируемого» базового состава мер.

      Решения Open Source не обязательно являются компенсирующими, они могут выполнять функционал базовых мер по защите информации. Однако, у них, вероятнее всего, не будет выполняться требование о соответствии классу защиты (меры РЗИ.11-13), что немного снизит итоговую оценку.

      Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

      Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).

      Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ – 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ – 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

      Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

      Как реализовать меры СМЭ.14 и СМЭ.15 ГОСТа 57580.1? Все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне или выше, а в СМЭ.14 сказано, что не выше второго, канального. Возможно, речь идет о разграничении доступа и/или контроле на интерфейсах маршрутизатора?

      Здравствуйте.

      Данные меры можно реализовать при помощи управляемых коммутаторов (СМЭ.14) и маршрутизаторов (СМЭ.15) а также межсетевых экранов.

      Коммутаторы корпоративного уровня Cisco, Bay Networks (Nortel), 3Com и других производителей позволяют привязывать MAC-адреса сетевых карт компьютеров к определенным портам коммутатора. Более того, немало коммутаторов предоставляет возможность фильтрации информации на основе адреса сетевой платы отправителя или получателя, создавая при этом виртуальные сети (VLAN). Другие коммутаторы позволяют организовать VLAN на уровне портов самого коммутатора. Подобным функционалом обладает и большинство межсетевых экранов, при помощи которых также может быть выполнено данное требование.

      Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)? Как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает?

      Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

      Здравствуйте!
      Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

      Здравствуйте!

      Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

      Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

      Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

      Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

      Методологии тестирования защищенности:
      Open Source Security Testing Methodology Manual (OSSTMM);
      Information Systems Security Assessment Framework (ISSAF);
      NIST 800-42 Guideline on Network Security Testing;
      OWASP Testing Guide;
      Wireless Penetration Testing Framework.

      По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

      При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

      После проведения аудита по ГОСТ 57580, а конкретно, по 683-П в каком виде предоставятся рекомендации?

      Рекомендации составляются после проведения каждого аудита вне зависимости от нормативного акта, в соответствии с которым проводился аудит. Этот документ содержит меры, оценка которых была выставлена ниже показателя 1 в процессе проведения аудита, а также способы повышения оценки и снижения рисков ИБ. Следует отметить, что рекомендации не являются техническим заданием и решение о необходимости их реализации, выделении бюджета и проч. принимает руководство проверяемой организации.

      Как часто нужно делать оценку соответствия по ГОСТ 57580.1-2018, 672-П, 683-П?

      Какие из должны выполняться только с привлечением внешней организации и с какой периодичностью?

      Согласно абзацу первому подпункта 9.2 Положения №683-П необходимо обеспечить проведение оценки соответствия уровню не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 до 1 января 2021 года. Согласно пункту 9 Положения №683-П необходимо обеспечить проведение оценки не реже одного раза в два года, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение данных работ.

      В соответствии с пунктом 4 (вступает в силу с 01.07.2021 г.) Положения №672-П банки должны применять меры защиты информации по 2 (стандартному) уровню защиты ГОСТ Р 57580.1-2017. Таким образом, необходимо обеспечить проведение оценки соответствия (согласно пункту 20 Положения №672-П – не реже одного раза в два года, а также по требованию Банка России) по 672-П до 1 июля 2021 г.

      Когда использование ГОСТ2017 становится обязательным для банков? С какой даты перестает действовать ГОСТ2012?

      В соответствии с п.3.1 683-П применение ГОСТ 57580.2017 уже обязательно для банков. Так же, в соответствии с п.9.2, необходимо достичь третьего уровня соответствия к 01.01.2021 г. Согласно комментариям Банка России, достижение соответствия обозначает оценку не ниже 0.7 по каждому из процессов защиты информации, определенным ГОСТ 57580, и по величине итоговой оценки.

      По ОУД4 нужно ДБО или еще и АБС?

      Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 – ДБО точно, АБС возможно, в зависимости от архитектуры.

      Какова же стоимость такого тройного отчета может быть? И какой срок проведения?

      “Тройного отчета” нет.
      Отчет будет один, просто расширяется область оценки, но это решается в индивидуальном порядке.
      Для примера, если мы проводим работы по 719-П, то “тройной отчет” стоит столько же, сколько отчет по 719-П. Т.е. независимо от того вписываем 683-П, 672-П – область оценки одна и та же. А добавить на титульный лист 2 отдельные строчки денег в нашей компании не стоит.

      Банком приобретается новое мобильное приложение, когда надо проводить пентест?

      Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

      Есть ли перспективы у ЦБ по проверке банков на соответствие 683-П и ГОСТ Р 57580.1 в этом году?

      Есть не только перспективы, но и прецеденты. У одного из наших клиентов ЦБ уже запросил отчет по ГОСТ в рамках требований 683-П.

      Правильно понял, что делая оценку по ГОСТ, то можно сделать единый отчет как для 683-672-719-П?

      Да, про 683-П, 672-П ЦБ ответил “да”, про 719-П разумно предположить что тоже да, т.к. суть одна и таже.

      А если участок СБП выведен в отдельный контур, это не значит, что отчет должен быть отдельный?

      Участок СБП может быть выделен в отдельный сегмент в сети, но контур, с точки зрения ГОСТ 57580, — это совокупность средств автоматизации, к которым предъявляются одни и те же требования. Т.е. если у Вас участок СБП попадает в соответствии с 672-П под стандартный уровень защищенности и платежная инфраструктура в банке под стандартный уровень защищенности в соответствии с 683-П, 719-П, то с точки зрения ГОСТа это один и тот же контур.

      Для работ по 683-П требуется привлечение внешних организаций с лицензией на ТЗКИ?

      Да, требуется привлечение внешнего лицензиата.

      Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.

      С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
      Более подробно мы рассматривали на вебинаре “Внесение изменений в 4927 У: Новые формы отчётности 2022”. Доступен по ссылке https://youtu.be/P6i-Vi3IckY