+7 (495) 309-31-25 пн.-пт.: 10:00 - 17:00

Приведение в соответствие и оценка по 684-П для НФО

Положение 684-П устанавливает обязательные требования к защите информации для некредитных финансовых организаций.

Полное название документа:

Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 N 684-П) (Зарегистрировано в Минюсте России 16.05.2019 N 54634)

Скачать последнюю редакцию Положения 684-П можно по ссылке ( doc, pdf).

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами критозащиты аналогичны банковским и требуют проведения значительный работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.

Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

  • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
  • Клиринговые организации
  • Организаторы торговли
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
  • Репозитарии
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.

К таковым относятся:

  • Бюро кредитных историй
  • Микрофинансовые организации
  • Рейтинговые агентства
  • Ломбарды
  • Кредитные потребительские кооперативы
  • Актуарии
  • Жилищные накопительные кооперативы
  • Сельскохозяйственные кредитные потребительские кооперативы
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018

Фактически нужно:

  1. Выделить и описать защищаемую информацию
  2. Довести до клиентов рекомендации по антивирусной защите
  3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
  4. Создать ежегодную процедуру определения уровня защиты информации
  5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

Предложение 684-П

Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие

Данный проект оптимально разделить на 3 этапа:

Предложение по этапам работ 684-П

Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017

Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

  • Политика информационной безопасности;
  • Частная политика (положение) по антивирусной защите;
  • Частная политика (положение) по криптографической защите;
  • Частная политика (положение) по защите сети Интернет;
  • Частная политика (положение) по управлению инцидентами информационной безопасности;
    И пр.

Точный перечень документов определяется по результатам Этапа 1.

Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе:

  • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
  • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
  • оценивается выполнение требований Положения Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.

Проект №2  — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1

Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)

Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

Когда 684-П вступает в силу?

Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
  • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
  • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

Дополнительные услуги по 684-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Цена работ по 684-П для НФО

 

Наименование экспертизы Стоимость

Оценка соответствия по 684-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации)

от 250 000 рублей

Приведение в соответствие 684-П НФО, не подпадающих под усиленный или стандартный уровень защиты информации

от 100 000 рублей

Приведение в соответствие требованиям 684-П НФО, подпадающих под усиленный или стандартный уровень защиты информации

от 100 000 рублей

Заказать работы по 684-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.