+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Приведение в соответствие и оценка по 683-П для банка

Положение № 683-П ЦБ РФ от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.

Полное название документа:

Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (утв. Банком России 17.04.2019 N 683-П)

Скачать последнюю редакцию Положения 683-П можно по здесь (doc, pdf)

Приведение в соответствие и оценка по 683-П для банка

Эксперты по приведению в соответствие и аудиту по 683-П для банка

Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Воронин Владислав Леонидович

Воронин Владислав Леонидович

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты
Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты

Описание

Суть 683-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 683-П действует наравне с другими требованиями ЦБ, в частности:

Положением Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»

Важно 683-П не отменяет 382-П, а напротив, дополняет и расширяет область применения.

Также ключевыми документами становятся ГОСТ Р 57580.1 и ГОСТ Р 57580.2. Происходит это за счет прямых ссылок на ГОСТы и явное указание необходимости соответствовать им для банков.

Аналогичное Положение под номером 684-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 684-П для НФО.

Для того чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 683-П и выделить главное.

Какая информация должна защищаться по 683-П?

Информация, которая должна защищаться по 683-П

  • Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  • Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  • Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  • Информации об осуществленных банковских операциях

На кого распространяются требования 683-П Банка России?

На кого распространяются требования 683-П
Все без исключения кредитные организации разделены на 2 группы:

  1. Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг
  2. Все остальные кредитные организации

Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017. При этом, первая группа (системно значимые банки и пр.) должны реализовывать усиленный уровень защиты информации, а все остальные должны реализовывать стандартный уровень защиты информации.

Важно! Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации.

Одним из первых требований 683-П, которое вступило в силу по истечении 10 дней после дня его официального опубликования, это требование обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Подробнее на странице услуги Пентест по 382-П и 683-П.

Данный пункт согласуется с действующими требованиями Положения №382-П, который обязывает банки нанять внешнюю организацию для проведения пентеста и анализ уязвимостей и произвести их до 1 июля 2019 года.

Запрос коммерческого предложения

Важные требования 683-П для банков

В числе большого количества требований, которые уже выполняются банками в рамках соответствия 382-П, в 683-П содержатся и новые требования.

  • П.5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Далеко не все применяемые в настоящий момент банками технологии позволяют обеспечить целостность. В частности, банками используются платежные архитектуры, в которых смс и push-уведомления не позволяют обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Подробнее в нашем исследовании: Анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

  • П.6. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

Банк России в явном виде отразил необходимость оценки влияния аппаратных, программно-аппаратных и программных средств, совместно с которыми функционирует СКЗИ. Ранее многими банками данные работы игнорировались.

Оценка по ГОСТ 57580.2 для банков

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

683-П

Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный или стандартный) не реже одного раза в два года.

Когда 683-П вступает в силу?

683-П вступает в силу
Положение вступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 4.1 (по сертификации и анализу уязвимостей в прикладном ПО ОУД4) вступил в силу с 1 января 2020 года (Временно дана отсрочка до 1 июня 2021 года)
  • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ 57580.2 — достижение третьего уровня соответствия (0.7)) вступает в силу с 1 января 2021 года
  • Пункт 9.2 (по проведению внешней оценки соответствия по ГОСТ 57580.2 — достижение четвертого уровня соответствия (0.85)) вступает в силу с 1 января 2023 года

Дополнительные услуги по 683-П

Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать работы по 683-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по приведению в соответствие и аудиту по 683-П для банка

Наши преимущества

382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Нами проведено более 300 аудитов

Сотрудники компании провели более 300 аудитов по различным критериям

3 лицензии

ФСТЭК России и ФСБ России

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

Цены на услуги по приведению в соответствие и аудиту по 683-П для банка

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель
Опросный лист (анкета)

от 300 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

от 600 000 руб.

Оценка соответствия по ГОСТ Р 57580.1-2017 - от 10 недель

от 600 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по ГОСТ Р 57580.1-2017 - от 12 недель

от 800 000 руб.

Полный аудит соответствия по 683-П и ГОСТ Р 57580.1-2017 - от 16 недель

от 800 000 руб.

Разработка организационно-распорядительной документации (ОРД) для 683-П (от 2 недель)

от 200 000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

FAQ: Часто задаваемые вопросы

В чем отличие 382-П и 683-П? Нужно ли проводить два аудита?

Самым главным отличием 382-П и 683-П является область применения и цели Положений.

Положение № 382-П устанавливает требования к защите информации не только кредитных организаций, являющихся операторами по переводу денежных средств, но и иных субъектов национальной платежной системы, указанных в части 3 статьи 27 Федерального закона № 161-ФЗ.

Для кредитных организаций 683-П делает ГОСТ Р 57580.1 обязательным. Таким образом обязательно проведение двух аудитов – по 382-П и по ГОСТ 57580.

В ГОСТе фигурирует термин «межсетевое экранирование». Надо ли его трактовать буквально и для его реализации применять только специализированные межсетевые экраны или возможно применение любых технических средств, которые могут обеспечить разграничение доступа на уровне сети?

В ГОСТе не указан способ реализации межсетевого экранирования, который обязателен к использованию. Если используемое ПО, коммутаторы и маршрутизаторы имеют возможность фильтровать трафик, то их использование допустимо. Применение таких средств, имеющих, в соответствии с РЗИ11-13 класс защиты от 4 до 6 (в зависимости от реализуемого уровня защиты информации), необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Есть межсетевые экраны Fortinet, будут ли они учитываться в качестве средств защиты от вредоносного кода, например? Функционал у решения широкий. Аналогично IPS и прочее, что содержит функционал для борьбы с вредоносным кодом.

Межсетевые экраны будут учитываться как средство от вредоносного кода только на уровне межсетевого трафика. Можно использовать МЭ Fortinet для обеспечения должной и целостной защиты от вредоносного кода только в сочетании с антивирусным средством, развернутым на уровне АРМ и уровне серверов. Необходимо подчеркнуть, что в организации должен применяться разновендорный подход и раздельная установка антивирусных средств. Отдельно МЭ Fortinet с функцией антивирусной защиты не обеспечивает антивирусную защиту организации.

57580.1 говорит об использовании компенсирующих мер (пункт 6.4). Можно ли отказаться от каких-либо защитных мер, заменив их компенсирующими? Мы планируем использовать решения на OpenSource. Можно ли их учесть как компенсирующие меры для замены дорогих средств защиты?

Замена на компенсирующие меры осуществляется при невозможности технической реализации отдельных выбранных мер защиты информации, содержащихся в ГОСТ 57580.1-2017. Применение компенсирующих мер должно быть обосновано.  Компенсирующие меры обязаны исключать реализацию угроз с той же эффективностью, что и при выполнении «компенсируемого» базового состава мер.

Решения Open Source не обязательно являются компенсирующими, они могут выполнять функционал базовых мер по защите информации. Однако, у них, вероятнее всего, не будет выполняться требование о соответствии классу защиты (меры РЗИ.11-13), что немного снизит итоговую оценку.

Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).

Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

Как реализовать меры СМЭ.14 и СМЭ.15 ГОСТа 57580.1? Все представленные сегодня на рынке средства межсетевого экранирования, работают на третьем уровне или выше, а в СМЭ.14 сказано, что не выше второго, канального. Возможно, речь идет о разграничении доступа и/или контроле на интерфейсах маршрутизатора?

Здравствуйте.

Данные меры можно реализовать при помощи управляемых коммутаторов (СМЭ.14) и маршрутизаторов (СМЭ.15) а также межсетевых экранов.

Коммутаторы корпоративного уровня Cisco, Bay Networks (Nortel), 3Com и других производителей позволяют привязывать MAC-адреса сетевых карт компьютеров к определенным портам коммутатора. Более того, немало коммутаторов предоставляет возможность фильтрации информации на основе адреса сетевой платы отправителя или получателя, создавая при этом виртуальные сети (VLAN). Другие коммутаторы позволяют организовать VLAN на уровне портов самого коммутатора. Подобным функционалом обладает и большинство межсетевых экранов, при помощи которых также может быть выполнено данное требование.

Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)? Как обеспечить проверку целостности сообщений при использовании технологии, которая этого вообще не подразумевает?

Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

Здравствуйте!

Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.

По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

Наши отзывы по приведению в соответствие и аудиту по 683-П для банка

Отзыв о RTM Group от КБ «ОБР» (ООО)
По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
Отзыв о RTM Group от АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.

Услуги для вас

НАМ ДОВЕРЯЮТ