Скачать последнюю редакцию Положения 684-П можно по ссылке ( doc, pdf).
Суть 684-П
Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).
Аналогичное Положение под номером 683-П принято в отношении банков.
Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.
Какая информация должна защищаться по 684-П?
Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях
На кого распространяются требования 684-П?
Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.
Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.
Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.
Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?
Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.
Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:
Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
Репозитарии
Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым – пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П “О порядке открытия и ведения депозитариями счетов депо и иных счетов”, зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления
Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?
Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.
К таковым относятся:
Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым – пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П “О порядке открытия и ведения депозитариями счетов депо и иных счетов”, зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления
Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.
Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).
Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580
Фактически нужно:
Выделить и описать защищаемую информацию
Довести до клиентов рекомендации по антивирусной защите
Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
Создать ежегодную процедуру определения уровня защиты информации
Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)
Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.
Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?
Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.
Проект №1 – Результатом которого будет частичное соответствие требованиям ГОСТа 57580.1 и четкий план приведения в соответствие
Данный проект оптимально разделить на 3 этапа:
Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.
На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017.
Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”
На данном этапе:
составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.
По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017, а также план приведения в соответствие.
Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)
На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:
Политика информационной безопасности;
Частная политика (положение) по антивирусной защите;
Частная политика (положение) по криптографической защите;
Частная политика (положение) по защите сети Интернет;
Частная политика (положение) по управлению инцидентами информационной безопасности;
И пр.
Точный перечень документов определяется по результатам Этапа 1.
Этап 3. На данном этапе:
Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
По результатам проведенных работ оформляется отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018, в частности, содержащий, в том числе:
перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
Предоставленный отчет может быть предъявлен Банку России.
Ниже представлен пример коммерческого предложения (Проект №1) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580.
Проект №2 – Итоговое приведение в соответствие требованиям 684-П.
Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1).
Ниже представлен пример коммерческого предложения (Проект №2) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580. Для тех, кому ГОСТ не нужен, объем работ будет значительно меньше (как было указано выше).
Оценка по ГОСТ Р 57580.2 для некредитных финансовых организаций
Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).
Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.
Внешняя оценка соответствия по ГОСТ Р 57580 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).
Когда 684-П вступает в силу?
Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:
Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ Р 57580) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.
Дополнительные услуги по 684-П
Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:
Проведение комплекса работ по обеспечению защиты информации для некредитных финансовых организаций
Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
Мы обладаем лицензиями:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать работы по 684-П
Для уточнения стоимости и сроков звоните или пишите нам:
Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, финальная этап аудита общих требований 684-П (без ОУД4)
Срок – от 10 недель
от 600 000 руб.
Оценка соответствия по ГОСТ Р 57580
Срок – от 10 недель
от 600 000 руб.
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580
Срок – от 12 недель
от 800 000 руб.
Полный аудит соответствия требованиям 684-П и проведение оценки по ГОСТ Р 57580
Срок – от 16 недель
от 800 000 руб.
Разработка организационно-распорядительной документации (ОРД) на соответствие требованиям 684-П
Срок – от 2 недель
от 200 000 руб.
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Для Вашего удобства и экономии времени предлагаем Вам заполнить
Опросный лист (анкету)
и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.
Наши преимущества
719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.
Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка
Нами проведено более 700 аудитов
Сотрудники компании провели более 700 аудитов по различным критериям
100% удовлетворенность заказчиков
Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"
Каждый 5-й российский банк - наш клиент
Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку
2700+ аудитов и экспертиз
Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз
3 лицензии
ФСТЭК России и ФСБ России
Наши отзывы по приведению в соответствие требованиям 684-П для НФО
Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)
Олег
Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).
Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ – 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ – 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».
Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации
Гончаров Андрей Михайлович
20.07.2020
Как выполнить ГОСТ 57580.1 страховой компании, если какой-то специальной документации мы не разрабатывали?
Людмила
В случае если у страховой компании нет специальной документации по ГОСТ 57580.1-2017 существует несколько подходов к решению данной проблемы:
разрабатывать документы собственными силами страховой компании;
заказать готовый комплект документации (RTM Group предоставляет такую услугу).
Однако, купить или самостоятельно разработать документацию недостаточно, для соответствия ГОСТ Р 57580.1-2017, необходимо внедрение множества средств защиты информации, которые также определяются в документах по информационной безопасности и должны быть согласованы на этапе разработки документации, поэтому мы рекомендуем предварительное обследование организации на предмет соблюдения мер ГОСТ 57580.1-2017, и только после этого и только после этого разрабатывать организационно распорядительную документацию и внедрять технические средства защиты информации.
Воронин Владислав Леонидович
24.08.2020
Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?
Юлия
Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
– Политику информационной безопасности;
– Положение о службе информационной безопасности;
– Положение по антивирусной защите;
– Положение по обеспечению защиты информации при управлении доступом;
– Положение по обеспечению защиты вычислительных сетей;
– Положение по контролю целостности и защищенности информационной инфраструктуры
– Положение по предотвращению утечек информации;
– Положение по управлению инцидентами защиты информации;
– Положение по защите среды виртуализации;
– Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.
Музалевский Федор Александрович
07.07.2020
Каким образом определить уровень защиты информации НФО в соответствии 684-П?
Александр
Уровень защиты информации в организации определяется в соответствии с пп. 5.3. 684-П исходя из видов деятельности, объемов бизнеса либо по добровольному решению организации не позднее первого рабочего дня календарного года (пп. 5.1. 684-П).
Гончаров Андрей Михайлович
20.09.2020
Технические продукты есть, но не все, возможно ли использовать компенсирующие меры, если да, то в каком количестве?
Алина
Компенсирующие меры применяются в том случае, если у организации нет возможности реализовать техническую меру, так как это указано в ГОСТ Р 57580.1-2017 ввиду особенностей информационной инфраструктуры. В связи с этим организация применяет одну или несколько организационных компенсирующих мер опираясь на модель угроз, принятую в организации. Стоит отметить, что причиной отказа от выбора технической меры не может выступать стоимость ее реализации. В остальном же применение компенсирующих мер не ограничено.
Воронин Владислав Леонидович
02.09.2020
Добрый день!
Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?
Сергей
Здравствуйте!
Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.
Кобец Дмитрий Андреевич
13.03.2020
Что делать тем НФО кто не попадает под применение ГОСТА?
Сергей
Необходимо определить во внутренних документах (например, в политике информационной безопасности) перечень защищаемой информации, а также необходимо осуществлять защиту ПДн в соответствии со 152-ФЗ и доводить до клиентов рекомендации по информационной безопасности – письмами, приложением к договору или на сайте, ЦБ не регламентирует способ донесения информации. В случае, если вы применяете СКЗИ, то его вы должны применять в соответствии с ПКЗ-2005 и иными документами. Вы должны каждый год определять уровень защиты информации и определить необходимость применения ОУД4. Вот коротко все, что нужно делать тем, кто не попадает под требования ГОСТ.
Музалевский Федор Александрович
05.05.2021
Какие обязательные требования применимы к управляющей компании с минимальным уровнем защиты?
Александр
Если вы определили для себя минимальный уровень защиты информации, вы выполняете Защиту ПДн, доведение рекомендаций до клиентов, защиту информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4, плюс – дополнительно проводите оценку по минимальному уровню защиты ГОСТ.
Музалевский Федор Александрович
05.05.2021
С какого времени микрокредитная компания должна применять 684-П? Каким документом он должен оформляться (актами, приказами)? Каким числом (2020 год, 2021 год) должен быть самый первый акт об определения уровня защиты?
Владимир
Микрокредитная компания обязана выполнять пункты по Защите ПДн, доведения рекомендаций до клиентов, защиты информации с помощью СКЗИ, определения уровня ЗИ, анализа уязвимостей по ОУД4.
Основные пункты, перечисленные выше, вступили в силу 16 мая 2019 года, соответственно, к 1 января 2020 года должен быть первый акт об определении уровня защиты.
Из документов, которые должны быть:
перечень защищаемой информации (акт, приказ, политика),
документ, регламентирующий доведение рекомендаций до клиентов (политика, решение, акт),
акт определения уровня ЗИ,
акт применения анализа уязвимостей по ОУД4.
Здесь самое главное, что в число общих требований включается защита ПДн. Защита ПДн – это 152-ФЗ и 21-й приказ ФСТЭК, об этом не надо забывать, потому что это не только требование Банка России, но и Роскомнадзора, которые обязательны к выполнению.
Если Вы затрудняетесь с подготовкой набора документов – у нас есть экспресс-услуга оформления документации для тех, кто под ГОСТ не попадает.
Музалевский Федор Александрович
05.05.2021
Если у клиента нет личного кабинета в организации, взаимодействие заключается в переводе на р/с клиента, какие рекомендации нужно донести до клиентов?
Ольга
Необходимо понимание, каким образом клиент передает вам распоряжение и как идет информационное взаимодействие с клиентом. Например, если у клиента изменился расчетный счет, то каким образом он передает вам эту информацию? Вам надо сообщить клиенту о том, что передавать информацию об изменении расчетного счета надо личным визитом, цифровой подписью и так далее, чтобы исключить мошенничество. В любом случае, у вас всегда есть информационное взаимодействие с клиентом, и при этом взаимодействии Вы обязаны защищать информацию клиента.
Музалевский Федор Александрович
05.05.2021
Что нужно делать страховщикам по ГОСТУ?
Инна
Под ГОСТ попадают те страховые организации, у которых стоимость активов превышает 20 миллиардов рублей. До этой суммы страховые организации применяют ГОСТ на добровольной основе.
Соответственно, если у вас стоимость активов превышает 20 миллиардов рублей, то вы должны полноценно выполнять ГОСТ 57580 (8 процессов, 4 направления, жизненный цикл).
Музалевский Федор Александрович
05.05.2021
Ломбарды обязаны применять ГОСТ?
Анна
Ломбарды на текущий момент не обязаны применять ГОСТ.
У ломбардов остаются только общие требования:
защита ПДн,
доведение рекомендаций до клиентов,
защита информации с помощью СКЗИ,
определение уровня ЗИ,
анализ уязвимостей по ОУД4.
Музалевский Федор Александрович
05.05.2021
При минимальном уровне защиты ГОСТ же всё равно применяется?
Наталья
На данный момент, минимальный уровень защиты в 684-П не предусмотрен – он может быть добровольно принят финансовой организацией в рамках пункта 5.1.
Есть стандартный и усиленный уровни защиты, и есть те организации, кому ГОСТ 57580 не нужен, не обязателен. Вы можете на основании своего желания применять минимальный уровень защиты.
Кобец Дмитрий Андреевич
05.05.2021
Можно ли не создавать отдельное положение по 684-П микрокредитной компании, а сослаться на модель угроз и положение о защите информации, разработанное в рамках 152-фз?
Ольга
Обычно да, но все зависит от качества моделей угроз, и того положения, которое у вас есть сейчас.
С февраля 2021 года действует методичка ФСТЭК по моделированию угроз, в частности для персональных данных. И поскольку 152-ФЗ предусматривает ежегодный пересмотр системы защиты персональных данных, то в этом году модель придется переписывать по новой.
Музалевский Федор Александрович
05.05.2021
Мы микрофинансовая организация. У наших клиентов есть личный кабинет на сайте, через который они делают заявку на займ и получают его на свой расчетный счет. Какие документы/требования по 684-П должны выполняться в таком случае?
Елена
Микрофинансовая организация под ГОСТ 57580 не попадает, соответственно, у них остаются только общие требования (защита ПДн, доведение рекомендаций до клиентов, защита информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4).
Музалевский Федор Александрович
05.05.2021
Какие сроки исполнения требований 684-П для ломбардов?
Елена
Срок исполнения требований для ломбардов начался с 16 мая 2019 года.
Музалевский Федор Александрович
05.05.2021
Если мы не должны выполнять ГОСТ по положению, то что писать в документе по определению уровня защищённости?
Анна
Так и писать, что в соответствии с финансовыми показателями и видом деятельности применение ГОСТ 57580 не осуществляется – ни стандартный, ни усиленный уровень.
При определении уровня защиты надо четко определить вид деятельности (попадаете ли вы под 684-П), и в соответствии с пунктом 5 определить финансовые показатели (соответствуете ли вы какому-либо уровню защиты).
Музалевский Федор Александрович
05.05.2021
Защита информации с помощью СКЗИ. При передаче информации необходимо шифрование по ГОСТу или возможны иные протоколы? Аналогично при хранении?
Олег
Требований по применению сертифицированных СКЗИ на данный момент нет, ГОСТовское шифрование пока не обязательно. Аналогично при хранении тоже.
Музалевский Федор Александрович
05.05.2021
Что понимается под перспективным положением ЦБ? Это проект нового положения?
Инна
Перспективное положение — это проект нового положения (рассматривается с 16 ноября 2020 года), его статус — это конфиденциальная информация.
На данный момент документ опубликован на сайте «Гарант». Проект нового положения фактически переписывает 684-П и одним из последних пунктов он 684-П отменяет.
Музалевский Федор Александрович
05.05.2021
Если взаимодействие с клиентами КПК и МКК происходит непосредственно при их присутствии, необходимо ли доводить до клиента рекомендации и как доводить? Можно ли тогда вообще не устанавливать минимальный уровень?
Дмитрий
Установка минимального уровня ГОСТ 57580 не предусмотрена.
Если у вас взаимодействие с клиентами осуществляется только очное, то в любом случае у клиентов есть информация о том, что они являются вашими клиентами: они подписывают бумаги, а к этим бумагам можно приложить памятку — что эти бумаги надо хранить в недоступном месте, не показывать незнакомым людям и так далее.
То есть, информационное взаимодействие подразумевается не только через Интернет, но и через те документы, которыми вы с клиентами обмениваетесь.
Музалевский Федор Александрович
05.05.2021
Какие требования ГОСТ применяются при минимальном уровне?
Артем
Минимальный уровень по ГОСТ 57580 вы можете применять самостоятельно, и от этого зависит набор мер в ГОСТ 57580.
Музалевский Федор Александрович
05.05.2021
Разве в 684-П не такие же 3 уровня, как в ГОСТ?
Артем
В 684-П нет трех уровней, есть организации, которые применяют стандартный либо усиленный уровень ГОСТ.
Фактически 684-П не выделяет уровней, а просто делит некредитные финансовые организации на две категории: которые ГОСТ применяют и которые ГОСТ не применяют.
Музалевский Федор Александрович
05.05.2021
Есть понимание что проверяет ЦБ? Может ЦБ банки проверял?
Инна
ЦБ запрашивает всю организационно-распорядительную документацию, запрашивает доступ к информационным системам, проверяет насколько они защищены и настроены (сложность пароля, срок хранения архива и т.д.), после дают рекомендации.
Проверок именно по ГОСТ пока не было, запрашивали только отчет – провели аудит или нет, если да, то проводили проверку технологических мер, проверяли общие требования.
Стандартно по результатам выдается некое предписание, которое формально можно оспорить (есть отдельная услуга по сопровождению проверки Банка России и Роскомнадзора). На данный момент к организациям, которые мы сопровождали, санкций не применяли.
Музалевский Федор Александрович
05.05.2021
Если Ломбард не подпадает под исполнения ГОСТ, то он и не должен выполнять min уровень ГОСТ? Правильно?
Елена
Все верно.
Музалевский Федор Александрович
05.05.2021
Если НФО согласно 684-П не обязана применять стандартный и усиленный уровни, то она применяет минимальный уровень по ГОСТ, верно?
Артем
Нет, неверно: организации делятся на две категории – которые применяют ГОСТ и которые не применяют.
Те, которые применяют ГОСТ, делятся на те, которые применяют стандартный и усиленный.
Обязательства по применению минимального уровня пока нет.
Музалевский Федор Александрович
05.05.2021
Если мы не подпадаем ни под усиленный, ни под стандартный, то и никакой внутренней документации – ни приказы, ни акты, по организации можно не издавать?
Дмитрий
Приказы и акты по определению уровня защиты в соответствии с 684-П нужно издавать, при этом если вы не попадаете ни под стандартный, ни под усиленный уровни, то требования ГОСТ можно не учитывать, но общее положение 684-П необходимо исполнять.
Кобец Дмитрий Андреевич
05.05.2021
Если мы ГОСТ не применяем и приказом не выявили лояльность к Положению 684 и не установили приказом внутренним минимальный уровень, ответственности не последует или рекомендаций от ЦБ?
Дмитрий
Рекомендации последуют точно, но вы должны принять решение – будете ли вы рекомендации выполнять или нет.
Музалевский Федор Александрович
05.05.2021
Каким годом должен быть приказ для КПК и МКК – 01.01.20?
Дмитрий
Приказы, для не попадающих под ГОСТ 57580, должны быть от 1 января 2020 года.
Музалевский Федор Александрович
05.05.2021
Есть ли методики проверок ЦБ для МКК?
Михаил
Методики проверок ЦБ для микрокредитных компаний на данный момент не разработаны.
Прошлый год показал, что вместо проверок ЦБ может просто отправлять запросы со следующей формулировкой: “В течение двух дней предоставьте нам, пожалуйста, те или иные документы”. И на основании предоставления или непредоставления уже выносят решение.
Музалевский Федор Александрович
05.05.2021
Если у страховщика меньше 20 млрд, ГОСТ нужно исполнять?
Иван
Если меньше данной суммы, то ГОСТ исполнять не нужно.
Музалевский Федор Александрович
05.05.2021
Какой перечень документов должен быть в ломбарде, который не попадает под ГОСТ?
Марина
Перечень документов, для организаций, которые не попадают под ГОСТ:
должен быть определен перечень защищаемой информации;
должен быть регламент доведения рекомендаций до клиентов;
должен быть определен уровень защиты информации;
определена необходимость проведения анализа уязвимостей.
Помимо этого, стандартный комплект документов по защите персональных данных, он на данный момент не маленький, и в случае если применяется криптография, должен быть комплект документов по СКЗИ.
Музалевский Федор Александрович
05.05.2021
Что подразумевает комплект по СКЗИ?
Денис
Под комплектом документов СКЗИ подразумеваются требования ПКЗ-2005.
Музалевский Федор Александрович
05.05.2021
Как определить уровень ЗИ для Ломбарда?
Елена
Для ломбарда определить уровень защиты информации очень просто: ломбарды не попадают под действие стандартного либо усиленного уровня ГОСТ 57580, соответственно, выполняют только общие требования 684-П.
Музалевский Федор Александрович
05.05.2021
СКЗИ применяется для взаимодействия с БКИ?
Денис
Нет, если СКЗИ применяется для взаимодействия с вашими клиентами.
Музалевский Федор Александрович
05.05.2021
Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.
Станислав
С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
Более подробно мы рассматривали на вебинаре “Внесение изменений в 4927 У: Новые формы отчётности 2022”. Доступен по ссылке https://youtu.be/P6i-Vi3IckY
