СДЕЛАТЬ ЗАКАЗ

Заказать экспертизу Получить письмо для суда

Приведение в соответствие и оценка по 684-П для НФО

Положение 684-П устанавливает обязательные требования к защите информации для некредитных финансовых организаций.

Полное название документа:

Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 N 684-П) (Зарегистрировано в Минюсте России 16.05.2019 N 54634)

Скачать последнюю редакцию Положения 684-П можно по здесь (doc, pdf).

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами критозащиты аналогичны банковским и требуют проведения значительный работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.

Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей;
  • репозитарии;
  • брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц;
  • дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
  • депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым - пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П "О порядке открытия и ведения депозитариями счетов депо и иных счетов", зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
  • регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
  • управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

Когда 684-П вступает в силу?

Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
  • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
  • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

Дополнительные услуги по 684-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты
Лицензии RTM Group

Цена работ по 684-П для НФО

Наименование экспертизы Стоимость
 

Оценка соответствия по 684-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации)

 
от 250 000 рублей
 

Полное или частичное приведение в соответствие требованиям 684-П

 
от 100 000 рублей

Заказать работы по 684-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25 Время работы: пн-пт 10:00 — 17:00 (мск) email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму - от 1 до 7 часов. Заявки принимаются круглосуточно.