+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Внимание!

Предлагаем аудит ИБ компаний перешедших на удаленный режим работы

Подробнее...

Приведение в соответствие и оценка по 684-П для НФО

Эксперты по приведению в соответствие и аудиту по 684-П для НФО

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами критозащиты аналогичны банковским и требуют проведения значительный работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Запрос коммерческого предложения

Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.

Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

  • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
  • Клиринговые организации
  • Организаторы торговли
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
  • Репозитарии
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.

К таковым относятся:

  • Бюро кредитных историй
  • Микрофинансовые организации
  • Рейтинговые агентства
  • Ломбарды
  • Кредитные потребительские кооперативы
  • Актуарии
  • Жилищные накопительные кооперативы
  • Сельскохозяйственные кредитные потребительские кооперативы
  • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
  • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
  • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
  • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
  • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
  • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
  • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018

Фактически нужно:

  1. Выделить и описать защищаемую информацию
  2. Довести до клиентов рекомендации по антивирусной защите
  3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
  4. Создать ежегодную процедуру определения уровня защиты информации
  5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

Предложение 684-П

Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие

Данный проект оптимально разделить на 3 этапа:

Предложение по этапам работ 684-П

Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017

Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

  • Политика информационной безопасности;
  • Частная политика (положение) по антивирусной защите;
  • Частная политика (положение) по криптографической защите;
  • Частная политика (положение) по защите сети Интернет;
  • Частная политика (положение) по управлению инцидентами информационной безопасности;
    И пр.

Точный перечень документов определяется по результатам Этапа 1.

Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

На данном этапе:

  • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
  • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
  • оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.

Проект №2  — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1

Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)

Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

Когда 684-П вступает в силу?

Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

  • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
  • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
  • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

Дополнительные услуги по 684-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group
 

Заказать работы по 684-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.



Видео по приведению в соответствие и аудиту по 684-П для НФО

Наши преимущества

Профиль деятельности RTM Group

Проведение экспертиз по направлению ИТ и кибербезопасности

Лицензии

Мы обладаем лицензиями ФСТЭК и ФСБ России

7 лет

минимальный стаж экспертной работы

11

дипломированных экспертов

Цены на услуги по приведению в соответствие и аудиту по 684-П для НФО

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 684-П (ГОСТ Р 57580.1 для 2 и 1 уровня защиты информации)

от 250000 руб.

Приведение в соответствие 684-П НФО, не подпадающих под усиленный или стандартный уровень защиты информации
Опросный лист (анкета)

от 100000 руб.

Приведение в соответствие требованиям 684-П НФО, подпадающих под усиленный или стандартный уровень защиты информации

от 100000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

Вопрос-Ответ

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Ответы экспертов

Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в НПФ?

Добрый день!
Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?

Здравствуйте!
Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течении 2020 года).
До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.

Другие услуги

Связанные статьи

НАМ ДОВЕРЯЮТ