+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Приведение в соответствие и оценка по 684-П для НФО

Эксперты по приведению в соответствие и аудиту по 684-П для НФО

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

Какая информация должна защищаться по 684-П

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Запрос коммерческого предложения

Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.
Попадают под усиленный и стандартный уровни защиты информации
Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

  • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
  • Клиринговые организации
  • Организаторы торговли
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
  • Репозитарии
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.
Не попадают под усиленный и стандартный уровни защиты информации
К таковым относятся:

  • Бюро кредитных историй
  • Микрофинансовые организации
  • Рейтинговые агентства
  • Ломбарды
  • Кредитные потребительские кооперативы
  • Актуарии
  • Жилищные накопительные кооперативы
  • Сельскохозяйственные кредитные потребительские кооперативы
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018

Фактически нужно:

  1. Выделить и описать защищаемую информацию
  2. Довести до клиентов рекомендации по антивирусной защите
  3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
  4. Создать ежегодную процедуру определения уровня защиты информации
  5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

Предложение 684-П

Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

Выполнение требований 684-П
Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие

Данный проект оптимально разделить на 3 этапа:

Предложение по этапам работ 684-П

Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017

Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

  • Политика информационной безопасности;
  • Частная политика (положение) по антивирусной защите;
  • Частная политика (положение) по криптографической защите;
  • Частная политика (положение) по защите сети Интернет;
  • Частная политика (положение) по управлению инцидентами информационной безопасности;
    И пр.

Точный перечень документов определяется по результатам Этапа 1.

Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе:

  • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
  • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
  • оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.

Проект №2  — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1

Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)

Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

684-П

Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

Когда 684-П вступает в силу?

Когда 684-П вступает в силу?
Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
  • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
  • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

Дополнительные услуги по 684-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать работы по 684-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по приведению в соответствие и аудиту по 684-П для НФО

Наши преимущества

Наш ключевой профиль

Работы по направлению ИТ и кибербезопасности

3 лицензии

ФСТЭК России и ФСБ России

7 лет

Минимальный стаж экспертной работы

11

дипломированных экспертов

Цены на услуги по приведению в соответствие и аудиту по 684-П для НФО

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель
Опросный лист (анкета)

от 300 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

от 600 000 руб.

Оценка соответствия по ГОСТ Р 57580.1-2017 - от 10 недель

от 600 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по ГОСТ Р 57580.1-2017 - от 12 недель

от 800 000 руб.

Полный аудит соответствия по 683-П и ГОСТ Р 57580.1-2017 - от 16 недель

от 800 000 руб.

Разработка организационно-распорядительной документации (ОРД) для 684-П (от 2 недель)

от 200 000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

FAQ: Часто задаваемые вопросы

Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?

Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
— Политику информационной безопасности;
— Положение о службе информационной безопасности;
— Положение по антивирусной защите;
— Положение по обеспечению защиты информации при управлении доступом;
— Положение по обеспечению защиты вычислительных сетей;
— Положение по контролю целостности и защищенности информационной инфраструктуры
— Положение по предотвращению утечек информации;
— Положение по управлению инцидентами защиты информации;
— Положение по защите среды виртуализации;
— Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.

Добрый день!
Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?

Здравствуйте!
Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.

Услуги для вас

Полезные статьи

НАМ ДОВЕРЯЮТ