8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
info@rtmtech.ru Контакты Поиск
RTM Group » Услуги » Информационная безопасность » Приведение в соответствие и оценка по 684‑П для НФО

Приведение в соответствие и оценка по 684‑П для НФО

Положение 684-П ЦБ РФ устанавливает обязательные требования к защите информации для некредитных финансовых организаций.

Полное название документа:

Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 N 684-П) (Зарегистрировано в Минюсте России 16.05.2019 N 54634)

Скачать последнюю редакцию Положения 684-П можно по ссылке ( doc, pdf).

Приведение в соответствие и оценка по 684‑П для НФО
Нужна консультация?

Эксперты по приведению в соответствие и аудиту по 684-П для НФО

Эксперт по приведению в соответствие и аудиту по 684-П для НФО Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Воронин Владислав Леонидович

Воронин Владислав Леонидович

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие и аудиту по 684-П для НФО Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Консультант по информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты

Оглавление:

Суть 684-П Какая информация должна защищаться по 684-П? На кого распространяются требования 684-П? Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017? Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П? Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации? Оценка по ГОСТ 57580.2 для некредитных финансовых организаций Когда 684-П вступает в силу? Дополнительные услуги по 684-П10  Почему RTM Group?11  Заказать работы по 684-П

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

Какая информация должна защищаться по 684-П

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

    Нужна консультация?
    Задать вопрос

    Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

    Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.
    Попадают под усиленный и стандартный уровни защиты информации
    Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

    • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
    • Клиринговые организации
    • Организаторы торговли
    • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
    • Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
    • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
    • Репозитарии
    • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
    • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
    • Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
    • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
    • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

    Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

    Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.
    Не попадают под усиленный и стандартный уровни защиты информации
    К таковым относятся:

    • Бюро кредитных историй
    • Микрофинансовые организации
    • Рейтинговые агентства
    • Ломбарды
    • Кредитные потребительские кооперативы
    • Актуарии
    • Жилищные накопительные кооперативы
    • Сельскохозяйственные кредитные потребительские кооперативы
    • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
    • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
    • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
    • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
    • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
    • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
    • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

    Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

    Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

    Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580.2-2018

    Фактически нужно:

    1. Выделить и описать защищаемую информацию
    2. Довести до клиентов рекомендации по антивирусной защите
    3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
    4. Создать ежегодную процедуру определения уровня защиты информации
    5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

    Предложение 684-П

    Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

    Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

    Выполнение требований 684-П
    Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

    Проект №1 — Результатом которого будет частичное соответствие требованиям 684-П и ГОСТа 57580.1 и четкий план приведения в соответствие

    Данный проект оптимально разделить на 3 этапа:

    Предложение по этапам работ 684-П

    Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

    На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017

    Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

    На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

    • Политика информационной безопасности;
    • Частная политика (положение) по антивирусной защите;
    • Частная политика (положение) по криптографической защите;
    • Частная политика (положение) по защите сети Интернет;
    • Частная политика (положение) по управлению инцидентами информационной безопасности;
      И пр.

    Точный перечень документов определяется по результатам Этапа 1.

    Этап 3. Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

    На данном этапе:

    • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
    • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
    • оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

    По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017 и 684-П, а также план приведения в соответствие 684-П.

    Проект №2  — Итоговое приведение в соответствие требованиям 684-П и ГОСТа 57580.1 в соответствии с планом, разработанном в рамках проекта №1

    Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1)

    Оценка по ГОСТ 57580.2 для некредитных финансовых организаций

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

    684-П

    Внешняя оценка соответствия ГОСТ Р 57580.2-2018 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

    Когда 684-П вступает в силу?

    Когда 684-П вступает в силу?
    Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

    • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
    • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ 57580.2) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
    • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

    Дополнительные услуги по 684-П

    Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ 57580.Х проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по 684-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по приведению в соответствие и аудиту по 684-П для НФО

    Наши преимущества

    382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Нами проведено более 300 аудитов

    Сотрудники компании провели более 300 аудитов по различным критериям

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Аудиты и экспертизы

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    3 лицензии

    ФСТЭК России и ФСБ России

    Цены на услуги по приведению в соответствие и аудиту по 684-П для НФО

    Наименование услуги Стоимость

    Консультация

    бесплатно

    Оценка соответствия по 683-П (без ОУД4) - от 6 недель

    Опросный лист (анкета)

    от 300 000 руб.

    Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

    от 600 000 руб.

    Оценка соответствия по ГОСТ Р 57580.1-2017 - от 10 недель

    от 600 000 руб.

    Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по ГОСТ Р 57580.1-2017 - от 12 недель

    от 800 000 руб.

    Полный аудит соответствия по 683-П и ГОСТ Р 57580.1-2017 - от 16 недель

    от 800 000 руб.

    Разработка организационно-распорядительной документации (ОРД) для 684-П (от 2 недель)

    от 200 000 руб.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    FAQ: Часто задаваемые вопросы

    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера).

    Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ — 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

    Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

    Как выполнить ГОСТ 57580.1 страховой компании, если какой-то специальной документации мы не разрабатывали?

    В случае если у страховой компании нет специальной документации по ГОСТ 57580.1-2017 существует несколько подходов к решению данной проблемы:

    1. разрабатывать документы собственными силами страховой компании;
    2. заказать готовый комплект документации (RTM Group предоставляет такую услугу).

    Однако, купить или самостоятельно разработать документацию недостаточно, для соответствия ГОСТ Р 57580.1-2017, необходимо внедрение множества средств защиты информации, которые также определяются в документах по информационной безопасности и должны быть согласованы на этапе разработки документации, поэтому мы рекомендуем предварительное обследование организации на предмет соблюдения мер ГОСТ 57580.1-2017, и только после этого и только после этого разрабатывать организационно распорядительную документацию и внедрять технические средства защиты информации.

    Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?

    Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
    — Политику информационной безопасности;
    — Положение о службе информационной безопасности;
    — Положение по антивирусной защите;
    — Положение по обеспечению защиты информации при управлении доступом;
    — Положение по обеспечению защиты вычислительных сетей;
    — Положение по контролю целостности и защищенности информационной инфраструктуры
    — Положение по предотвращению утечек информации;
    — Положение по управлению инцидентами защиты информации;
    — Положение по защите среды виртуализации;
    — Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
    а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.

    Каким образом определить уровень защиты информации НФО в соответствии 684-П?

    Уровень защиты информации в организации определяется в соответствии с пп. 5.3. 684-П исходя из видов деятельности, объемов бизнеса либо по добровольному решению организации не позднее первого рабочего дня календарного года (пп. 5.1. 684-П).

    Технические продукты есть, но не все, возможно ли использовать компенсирующие меры, если да, то в каком количестве?

    Компенсирующие меры применяются в том случае, если у организации нет возможности реализовать техническую меру, так как это указано в ГОСТ Р 57580.1-2017 ввиду особенностей информационной инфраструктуры. В связи с этим организация применяет одну или несколько организационных компенсирующих мер опираясь на модель угроз, принятую в организации. Стоит отметить, что причиной отказа от выбора технической меры не может выступать стоимость ее реализации. В остальном же применение компенсирующих мер не ограничено.

    Добрый день!
    Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?

    Здравствуйте!
    Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
    С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
    До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
    Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
    Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.

    Наши отзывы по приведению в соответствие и аудиту по 684-П для НФО

    Отзыв о RTM Group от ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ»
    ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ» благодарит компанию ООО «РТМ ТЕХНОЛОГИИ» за проведённый аудит соответствия системы защиты информации требованиям Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» и помощь в разработке организационно-распорядительных документов. Со своей стороны хотим отметить высокую компетентность специалистов ООО «РТМ ТЕХНОЛОГИИ» по вопросам информационной безопасности. В рамках предварительного GAP-анализа специалисты ООО «РТМ ТЕХНОЛОГИИ» помогли сформировать пакет организационно-распорядительных документов и дали целевые, грамотно составленные рекомендации по ИБ. По результатам выполненных работ, надеемся на дальнейшее позитивное сотрудничество и рекомендуем компанию ООО «РТМ ТЕХНОЛОГИИ» как профессиональную аудиторскую компанию. С уважением, Генеральный директор А.Н. Бабичев

    Услуги для вас

    Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

    Помощь в проведении самооценки по ГОСТ 57580 (684-П и 683-П)

    - Основные понятия
    - Помощь в самооценке
    - Заказать помощь в проведении самооценки по ГОСТ 57580
    Аудит (оценка соответствия) по ГОСТ Р 57580

    Аудит (оценка соответствия) по ГОСТ Р 57580

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия по ГОСТ Р 57580.2. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия) по ГОСТ 57580.2?
    - Как оформляется отчет по результатам оценки соответствия по ГОСТ 57580.2?
    - Оценка по Приказу №321 Минкомсвязи (Биометрия)
    - Почему RTM Group?
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Тест на проникновение (пентест) и анализ уязвимостей

    Тест на проникновение (пентест) и анализ уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 382-П, 683-П, 684-П
    - Почему RTM Group?
    - Цена проведения пентеста
    Аудит информационной безопасности

    Аудит информационной безопасности

    — Цели аудита информационной безопасности
    — Процесс аудита информационной безопасности
    — Варианты аудитов информационной безопасности
    — Где заказать аудит информационной безопасности

    Полезные статьи

    Что такое ГОСТ 57580?

    Что такое ГОСТ 57580?

    - Понятие ГОСТ 57580
    - Краткий обзор ГОСТ 57580
    - Применение ГОСТа
    - Заключение
    8 основных ошибок внедрения требований по положению 684-П

    8 основных ошибок внедрения требований по положению 684-П

    При проведении экспертиз, мы и наши заказчики сталкиваемся с рядом проблем. Эксперты RTM Group собрали основные ошибки НФО при внедрении требований 684-П.
    И мы хотим поделиться с Вами, чтобы Вы могли их учесть не только во время аудита, но и в рабочем процессе.
    Что нужно сделать НФО до 2020 года

    Что нужно сделать НФО до 2020 года

    - Требования, которые уже требуется выполнять
    - Что добавится к требованиям для НФО в 2020 году
    Значимые изменения в регулировании ИБ Банком России 2020

    Значимые изменения в регулировании ИБ Банком России 2020

    Какие изменения произошли в 2019 году в регулировании процессов обеспечения информационной безопасности со стороны Центрального Банка. Положения для банков и НФО.
    Что такое пентест (pentest)?

    Что такое пентест (pentest)?

    - Что входит в тестирование на проникновение?
    - Примеры пентестинга
    - Что является результатом пентеста?
    - Заключение

    НАМ ДОВЕРЯЮТ