Приведение в соответствие и оценка по 684-П для НФО
Эксперты по приведению в соответствие и аудиту по 684-П для НФО
-
Музалевский Федор Александрович
-
Царев Евгений Олегович
-
Кобец Дмитрий Андреевич
-
Гончаров Андрей Михайлович
-
Алтухов Артём Валерьевич
-
Воронин Владислав Леонидович
-
Федюнина Анастасия Валерьевна
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все эксперты
Царев Евгений Олегович
Управляющий
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Все эксперты
Кобец Дмитрий Андреевич
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все эксперты
Гончаров Андрей Михайлович
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все эксперты
Алтухов Артём Валерьевич
Консультант по информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года
Все эксперты
Воронин Владислав Леонидович
Консультант по информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года
Все эксперты
Федюнина Анастасия Валерьевна
Консультант по информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года
Все экспертыОписание
Суть 684-П
Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).
Аналогичное Положение под номером 683-П принято в отношении банков.
Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.
Какая информация должна защищаться по 684-П?
- Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
- Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
- Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
- Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях
На кого распространяются требования 684-П?
Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.
Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.
Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.
Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.
Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:
- Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
- Клиринговые организации
- Организаторы торговли
- Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
- Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
- Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
- Репозитарии
- Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
- Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
- Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
- Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
- Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления
Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?
Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.
К таковым относятся:
- Бюро кредитных историй
- Микрофинансовые организации
- Рейтинговые агентства
- Ломбарды
- Кредитные потребительские кооперативы
- Актуарии
- Жилищные накопительные кооперативы
- Сельскохозяйственные кредитные потребительские кооперативы
- Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
- Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
- Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
- Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
- Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
- Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
- Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления
Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.
Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).
Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018
Фактически нужно:
- Выделить и описать защищаемую информацию
- Довести до клиентов рекомендации по антивирусной защите
- Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
- Создать ежегодную процедуру определения уровня защиты информации
- Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)
Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.
Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?
Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.
Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие
Данный проект оптимально разделить на 3 этапа:
Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”
На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017
Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)
На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:
- Политика информационной безопасности;
- Частная политика (положение) по антивирусной защите;
- Частная политика (положение) по криптографической защите;
- Частная политика (положение) по защите сети Интернет;
- Частная политика (положение) по управлению инцидентами информационной безопасности;
И пр.
Точный перечень документов определяется по результатам Этапа 1.
Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”
На данном этапе:
- составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
- оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
- оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.
По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.
Проект №2 — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1
Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)
Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).
Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.
Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).
Когда 684-П вступает в силу?
Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:
- Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
- Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
- Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.
Дополнительные услуги по 684-П
Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:
- Проведение комплекса работ по обеспечению защиты информации для некредитных финансовых организаций
- Тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры (п.5.4 684-П)
Почему RTM Group?
- Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
- Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
- Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
- Мы обладаем лицензиями:
- Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
- Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
- Лицензия ФСБ России на работу со средствами криптозащиты
Заказать работы по 684-П
Для уточнения стоимости и сроков звоните или пишите нам:
Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru
Также можете заполнить форму ниже.
Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.
Видео по приведению в соответствие и аудиту по 684-П для НФО
Наши преимущества
Цены на услуги по приведению в соответствие и аудиту по 684-П для НФО
| Наименование услуги | Стоимость |
|
Консультация |
бесплатно |
|
Оценка соответствия по 683-П (без ОУД4) - от 6 недель |
от 300 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель |
от 600 000 руб. |
|
Оценка соответствия по ГОСТ Р 57580.1-2017 - от 10 недель |
от 600 000 руб. |
|
Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по ГОСТ Р 57580.1-2017 - от 12 недель |
от 800 000 руб. |
|
Полный аудит соответствия по 683-П и ГОСТ Р 57580.1-2017 - от 16 недель |
от 800 000 руб. |
|
Разработка организационно-распорядительной документации (ОРД) для 684-П (от 2 недель) |
от 200 000 руб. |
Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.
FAQ: Часто задаваемые вопросы
Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)
Олег
Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).
Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».
Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации
Баранов Александр Николаевич
Как выполнить ГОСТ 57580.1 страховой компании, если какой-то специальной документации мы не разрабатывали?
Людмила
В случае если у страховой компании нет специальной документации по ГОСТ 57580.1-2017 существует несколько подходов к решению данной проблемы:
- разрабатывать документы собственными силами страховой компании;
- заказать готовый комплект документации (RTM Group предоставляет такую услугу).
Однако, купить или самостоятельно разработать документацию недостаточно, для соответствия ГОСТ Р 57580.1-2017, необходимо внедрение множества средств защиты информации, которые также определяются в документах по информационной безопасности и должны быть согласованы на этапе разработки документации, поэтому мы рекомендуем предварительное обследование организации на предмет соблюдения мер ГОСТ 57580.1-2017, и только после этого и только после этого разрабатывать организационно распорядительную документацию и внедрять технические средства защиты информации.
Воронин Владислав Леонидович
Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?
Юлия
Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
— Политику информационной безопасности;
— Положение о службе информационной безопасности;
— Положение по антивирусной защите;
— Положение по обеспечению защиты информации при управлении доступом;
— Положение по обеспечению защиты вычислительных сетей;
— Положение по контролю целостности и защищенности информационной инфраструктуры
— Положение по предотвращению утечек информации;
— Положение по управлению инцидентами защиты информации;
— Положение по защите среды виртуализации;
— Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.
Музалевский Федор Александрович
Каким образом определить уровень защиты информации НФО в соответствии 684-П?
Александр
Уровень защиты информации в организации определяется в соответствии с пп. 5.3. 684-П исходя из видов деятельности, объемов бизнеса либо по добровольному решению организации не позднее первого рабочего дня календарного года (пп. 5.1. 684-П).
Гончаров Андрей Михайлович
Технические продукты есть, но не все, возможно ли использовать компенсирующие меры, если да, то в каком количестве?
Алина
Компенсирующие меры применяются в том случае, если у организации нет возможности реализовать техническую меру, так как это указано в ГОСТ Р 57580.1-2017 ввиду особенностей информационной инфраструктуры. В связи с этим организация применяет одну или несколько организационных компенсирующих мер опираясь на модель угроз, принятую в организации. Стоит отметить, что причиной отказа от выбора технической меры не может выступать стоимость ее реализации. В остальном же применение компенсирующих мер не ограничено.
Воронин Владислав Леонидович
Добрый день!
Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?
Сергей
Здравствуйте!
Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.
Кобец Дмитрий Андреевич
