Приведение в соответствие и оценка по 684-П для НФО

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

• Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
• Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
• Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
• Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.

Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

• Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
• Клиринговые организации
• Организаторы торговли
• Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
• Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
• Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
• Репозитарии
• Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
• Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
• Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
• Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
• Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.

К таковым относятся:

• Бюро кредитных историй
• Микрофинансовые организации
• Рейтинговые агентства
• Ломбарды
• Кредитные потребительские кооперативы
• Актуарии
• Жилищные накопительные кооперативы
• Сельскохозяйственные кредитные потребительские кооперативы
• Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
• Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
• Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
• Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
• Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
• Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
• Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018

Фактически нужно:

1. Выделить и описать защищаемую информацию
2. Довести до клиентов рекомендации по антивирусной защите
3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
4. Создать ежегодную процедуру определения уровня защиты информации
5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие

Данный проект оптимально разделить на 3 этапа:

Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017

Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

• Политика информационной безопасности;
• Частная политика (положение) по антивирусной защите;
• Частная политика (положение) по криптографической защите;
• Частная политика (положение) по защите сети Интернет;
• Частная политика (положение) по управлению инцидентами информационной безопасности;
  И пр.

Точный перечень документов определяется по результатам Этапа 1.

Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе:

• составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
• оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
• оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.

Проект №2  — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1

Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)

Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

Когда 684-П вступает в силу?

Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

• Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
• Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
• Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

Дополнительные услуги по 684-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

• Проведение комплекса работ по обеспечению защиты информации для некредитных финансовых организаций
• Тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры (п.5.4 684-П)

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Заказать работы по 684-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Заказать услугу

×Close

Нажимая на кнопку, вы даете согласие на обработку персональных данных.

Заполните форму и наш специалист свяжется с Вами в самое ближайшее время.

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.