А.Н. Бабичев
684‑П: Приведение в соответствие и оценка для НФО
Эксперты по приведению в соответствие требованиям 684-П для НФО
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Все экспертыЦарев Евгений Олегович
Эксперт в сфере информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Все экспертыКобец Дмитрий Андреевич
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Все экспертыГончаров Андрей Михайлович
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Все экспертыВидео по приведению в соответствие требованиям 684-П для НФО
Почему RTM Group
Цены на услуги по приведению в соответствие требованиям 684-П для НФО
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги | Стоимость |
---|---|
Консультация |
Бесплатно |
Оценка соответствия по 684-П (без ОУД4) Срок — от 6 недель |
от 300 000 руб. |
Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, финальная этап аудита общих требований 684-П (без ОУД4) Срок — от 10 недель |
от 600 000 руб. |
Оценка соответствия по ГОСТ Р 57580 Срок — от 10 недель |
от 600 000 руб. |
Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580 Срок — от 12 недель |
от 800 000 руб. |
Полный аудит соответствия требованиям 684-П и проведение оценки по ГОСТ Р 57580 Срок — от 16 недель |
от 800 000 руб. |
Разработка организационно-распорядительной документации (ОРД) на соответствие требованиям 684-П Срок — от 2 недель |
от 200 000 руб. |
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. |
Наши преимущества
Наши отзывы по приведению в соответствие требованиям 684-П для НФО
Наши кейсы
Услуги для вас
Продукты и решения для вас
Нам доверяют
Полезные статьи
FAQ: Часто задаваемые вопросы
Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)
Олег
Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).
Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».
Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации
Как выполнить ГОСТ 57580.1 страховой компании, если какой-то специальной документации мы не разрабатывали?
Людмила
В случае если у страховой компании нет специальной документации по ГОСТ 57580.1-2017 существует несколько подходов к решению данной проблемы:
- разрабатывать документы собственными силами страховой компании;
- заказать готовый комплект документации (RTM Group предоставляет такую услугу).
Однако, купить или самостоятельно разработать документацию недостаточно, для соответствия ГОСТ Р 57580.1-2017, необходимо внедрение множества средств защиты информации, которые также определяются в документах по информационной безопасности и должны быть согласованы на этапе разработки документации, поэтому мы рекомендуем предварительное обследование организации на предмет соблюдения мер ГОСТ 57580.1-2017, и только после этого и только после этого разрабатывать организационно распорядительную документацию и внедрять технические средства защиты информации.
Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?
Юлия
Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
— Политику информационной безопасности;
— Положение о службе информационной безопасности;
— Положение по антивирусной защите;
— Положение по обеспечению защиты информации при управлении доступом;
— Положение по обеспечению защиты вычислительных сетей;
— Положение по контролю целостности и защищенности информационной инфраструктуры
— Положение по предотвращению утечек информации;
— Положение по управлению инцидентами защиты информации;
— Положение по защите среды виртуализации;
— Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.
Каким образом определить уровень защиты информации НФО в соответствии 684-П?
Александр
Уровень защиты информации в организации определяется в соответствии с пп. 5.3. 684-П исходя из видов деятельности, объемов бизнеса либо по добровольному решению организации не позднее первого рабочего дня календарного года (пп. 5.1. 684-П).
Технические продукты есть, но не все, возможно ли использовать компенсирующие меры, если да, то в каком количестве?
Алина
Компенсирующие меры применяются в том случае, если у организации нет возможности реализовать техническую меру, так как это указано в ГОСТ Р 57580.1-2017 ввиду особенностей информационной инфраструктуры. В связи с этим организация применяет одну или несколько организационных компенсирующих мер опираясь на модель угроз, принятую в организации. Стоит отметить, что причиной отказа от выбора технической меры не может выступать стоимость ее реализации. В остальном же применение компенсирующих мер не ограничено.
Добрый день!
Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?
Сергей
Здравствуйте!
Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.
Что делать тем НФО кто не попадает под применение ГОСТА?
Сергей
Необходимо определить во внутренних документах (например, в политике информационной безопасности) перечень защищаемой информации, а также необходимо осуществлять защиту ПДн в соответствии со 152-ФЗ и доводить до клиентов рекомендации по информационной безопасности – письмами, приложением к договору или на сайте, ЦБ не регламентирует способ донесения информации. В случае, если вы применяете СКЗИ, то его вы должны применять в соответствии с ПКЗ-2005 и иными документами. Вы должны каждый год определять уровень защиты информации и определить необходимость применения ОУД4. Вот коротко все, что нужно делать тем, кто не попадает под требования ГОСТ.
Какие обязательные требования применимы к управляющей компании с минимальным уровнем защиты?
Александр
Если вы определили для себя минимальный уровень защиты информации, вы выполняете Защиту ПДн, доведение рекомендаций до клиентов, защиту информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4, плюс – дополнительно проводите оценку по минимальному уровню защиты ГОСТ.
С какого времени микрокредитная компания должна применять 684-П? Каким документом он должен оформляться (актами, приказами)? Каким числом (2020 год, 2021 год) должен быть самый первый акт об определения уровня защиты?
Владимир
Микрокредитная компания обязана выполнять пункты по Защите ПДн, доведения рекомендаций до клиентов, защиты информации с помощью СКЗИ, определения уровня ЗИ, анализа уязвимостей по ОУД4.
Основные пункты, перечисленные выше, вступили в силу 16 мая 2019 года, соответственно, к 1 января 2020 года должен быть первый акт об определении уровня защиты.
Из документов, которые должны быть:
- перечень защищаемой информации (акт, приказ, политика),
- документ, регламентирующий доведение рекомендаций до клиентов (политика, решение, акт),
- акт определения уровня ЗИ,
- акт применения анализа уязвимостей по ОУД4.
Здесь самое главное, что в число общих требований включается защита ПДн. Защита ПДн – это 152-ФЗ и 21-й приказ ФСТЭК, об этом не надо забывать, потому что это не только требование Банка России, но и Роскомнадзора, которые обязательны к выполнению.
Если Вы затрудняетесь с подготовкой набора документов – у нас есть экспресс-услуга оформления документации для тех, кто под ГОСТ не попадает.
Если у клиента нет личного кабинета в организации, взаимодействие заключается в переводе на р/с клиента, какие рекомендации нужно донести до клиентов?
Ольга
Необходимо понимание, каким образом клиент передает вам распоряжение и как идет информационное взаимодействие с клиентом. Например, если у клиента изменился расчетный счет, то каким образом он передает вам эту информацию? Вам надо сообщить клиенту о том, что передавать информацию об изменении расчетного счета надо личным визитом, цифровой подписью и так далее, чтобы исключить мошенничество. В любом случае, у вас всегда есть информационное взаимодействие с клиентом, и при этом взаимодействии Вы обязаны защищать информацию клиента.
Что нужно делать страховщикам по ГОСТУ?
Инна
Под ГОСТ попадают те страховые организации, у которых стоимость активов превышает 20 миллиардов рублей. До этой суммы страховые организации применяют ГОСТ на добровольной основе.
Соответственно, если у вас стоимость активов превышает 20 миллиардов рублей, то вы должны полноценно выполнять ГОСТ 57580 (8 процессов, 4 направления, жизненный цикл).
Ломбарды обязаны применять ГОСТ?
Анна
Ломбарды на текущий момент не обязаны применять ГОСТ.
У ломбардов остаются только общие требования:
- защита ПДн,
- доведение рекомендаций до клиентов,
- защита информации с помощью СКЗИ,
- определение уровня ЗИ,
- анализ уязвимостей по ОУД4.
При минимальном уровне защиты ГОСТ же всё равно применяется?
Наталья
На данный момент, минимальный уровень защиты в 684-П не предусмотрен — он может быть добровольно принят финансовой организацией в рамках пункта 5.1.
Есть стандартный и усиленный уровни защиты, и есть те организации, кому ГОСТ 57580 не нужен, не обязателен. Вы можете на основании своего желания применять минимальный уровень защиты.
Можно ли не создавать отдельное положение по 684-П микрокредитной компании, а сослаться на модель угроз и положение о защите информации, разработанное в рамках 152-фз?
Ольга
Обычно да, но все зависит от качества моделей угроз, и того положения, которое у вас есть сейчас.
С февраля 2021 года действует методичка ФСТЭК по моделированию угроз, в частности для персональных данных. И поскольку 152-ФЗ предусматривает ежегодный пересмотр системы защиты персональных данных, то в этом году модель придется переписывать по новой.
Мы микрофинансовая организация. У наших клиентов есть личный кабинет на сайте, через который они делают заявку на займ и получают его на свой расчетный счет. Какие документы/требования по 684-П должны выполняться в таком случае?
Елена
Микрофинансовая организация под ГОСТ 57580 не попадает, соответственно, у них остаются только общие требования (защита ПДн, доведение рекомендаций до клиентов, защита информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4).
Какие сроки исполнения требований 684-П для ломбардов?
Елена
Срок исполнения требований для ломбардов начался с 16 мая 2019 года.
Если мы не должны выполнять ГОСТ по положению, то что писать в документе по определению уровня защищённости?
Анна
Так и писать, что в соответствии с финансовыми показателями и видом деятельности применение ГОСТ 57580 не осуществляется – ни стандартный, ни усиленный уровень.
При определении уровня защиты надо четко определить вид деятельности (попадаете ли вы под 684-П), и в соответствии с пунктом 5 определить финансовые показатели (соответствуете ли вы какому-либо уровню защиты).
Защита информации с помощью СКЗИ. При передаче информации необходимо шифрование по ГОСТу или возможны иные протоколы? Аналогично при хранении?
Олег
Требований по применению сертифицированных СКЗИ на данный момент нет, ГОСТовское шифрование пока не обязательно. Аналогично при хранении тоже.
Что понимается под перспективным положением ЦБ? Это проект нового положения?
Инна
Перспективное положение — это проект нового положения (рассматривается с 16 ноября 2020 года), его статус — это конфиденциальная информация.
На данный момент документ опубликован на сайте «Гарант». Проект нового положения фактически переписывает 684-П и одним из последних пунктов он 684-П отменяет.
Если взаимодействие с клиентами КПК и МКК происходит непосредственно при их присутствии, необходимо ли доводить до клиента рекомендации и как доводить? Можно ли тогда вообще не устанавливать минимальный уровень?
Дмитрий
Установка минимального уровня ГОСТ 57580 не предусмотрена.
Если у вас взаимодействие с клиентами осуществляется только очное, то в любом случае у клиентов есть информация о том, что они являются вашими клиентами: они подписывают бумаги, а к этим бумагам можно приложить памятку — что эти бумаги надо хранить в недоступном месте, не показывать незнакомым людям и так далее.
То есть, информационное взаимодействие подразумевается не только через Интернет, но и через те документы, которыми вы с клиентами обмениваетесь.
Какие требования ГОСТ применяются при минимальном уровне?
Артем
Минимальный уровень по ГОСТ 57580 вы можете применять самостоятельно, и от этого зависит набор мер в ГОСТ 57580.
Разве в 684-П не такие же 3 уровня, как в ГОСТ?
Артем
В 684-П нет трех уровней, есть организации, которые применяют стандартный либо усиленный уровень ГОСТ.
Фактически 684-П не выделяет уровней, а просто делит некредитные финансовые организации на две категории: которые ГОСТ применяют и которые ГОСТ не применяют.
Есть понимание что проверяет ЦБ? Может ЦБ банки проверял?
Инна
ЦБ запрашивает всю организационно-распорядительную документацию, запрашивает доступ к информационным системам, проверяет насколько они защищены и настроены (сложность пароля, срок хранения архива и т.д.), после дают рекомендации.
Проверок именно по ГОСТ пока не было, запрашивали только отчет – провели аудит или нет, если да, то проводили проверку технологических мер, проверяли общие требования.
Стандартно по результатам выдается некое предписание, которое формально можно оспорить (есть отдельная услуга по сопровождению проверки Банка России и Роскомнадзора). На данный момент к организациям, которые мы сопровождали, санкций не применяли.
Если Ломбард не подпадает под исполнения ГОСТ, то он и не должен выполнять min уровень ГОСТ? Правильно?
Елена
Все верно.
Если НФО согласно 684-П не обязана применять стандартный и усиленный уровни, то она применяет минимальный уровень по ГОСТ, верно?
Артем
Нет, неверно: организации делятся на две категории – которые применяют ГОСТ и которые не применяют.
Те, которые применяют ГОСТ, делятся на те, которые применяют стандартный и усиленный.Обязательства по применению минимального уровня пока нет.
Если мы не подпадаем ни под усиленный, ни под стандартный, то и никакой внутренней документации — ни приказы, ни акты, по организации можно не издавать?
Дмитрий
Приказы и акты по определению уровня защиты в соответствии с 684-П нужно издавать, при этом если вы не попадаете ни под стандартный, ни под усиленный уровни, то требования ГОСТ можно не учитывать, но общее положение 684-П необходимо исполнять.
Если мы ГОСТ не применяем и приказом не выявили лояльность к Положению 684 и не установили приказом внутренним минимальный уровень, ответственности не последует или рекомендаций от ЦБ?
Дмитрий
Рекомендации последуют точно, но вы должны принять решение – будете ли вы рекомендации выполнять или нет.
Каким годом должен быть приказ для КПК и МКК — 01.01.20?
Дмитрий
Приказы, для не попадающих под ГОСТ 57580, должны быть от 1 января 2020 года.
Есть ли методики проверок ЦБ для МКК?
Михаил
Методики проверок ЦБ для микрокредитных компаний на данный момент не разработаны.
Прошлый год показал, что вместо проверок ЦБ может просто отправлять запросы со следующей формулировкой: «В течение двух дней предоставьте нам, пожалуйста, те или иные документы». И на основании предоставления или непредоставления уже выносят решение.
Если у страховщика меньше 20 млрд, ГОСТ нужно исполнять?
Иван
Если меньше данной суммы, то ГОСТ исполнять не нужно.
Какой перечень документов должен быть в ломбарде, который не попадает под ГОСТ?
Марина
Перечень документов, для организаций, которые не попадают под ГОСТ:
- должен быть определен перечень защищаемой информации;
- должен быть регламент доведения рекомендаций до клиентов;
- должен быть определен уровень защиты информации;
- определена необходимость проведения анализа уязвимостей.
Помимо этого, стандартный комплект документов по защите персональных данных, он на данный момент не маленький, и в случае если применяется криптография, должен быть комплект документов по СКЗИ.
Что подразумевает комплект по СКЗИ?
Денис
Под комплектом документов СКЗИ подразумеваются требования ПКЗ-2005.
Как определить уровень ЗИ для Ломбарда?
Елена
Для ломбарда определить уровень защиты информации очень просто: ломбарды не попадают под действие стандартного либо усиленного уровня ГОСТ 57580, соответственно, выполняют только общие требования 684-П.
СКЗИ применяется для взаимодействия с БКИ?
Денис
Нет, если СКЗИ применяется для взаимодействия с вашими клиентами.
Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.
Станислав
С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
Более подробно мы рассматривали на вебинаре «Внесение изменений в 4927 У: Новые формы отчётности 2022». Доступен по ссылке https://youtu.be/P6i-Vi3IckY