684‑П: Приведение в соответствие и оценка для НФО

Важно:

Положение 684-П отменено. На замену ему вышло Положение № 757-П.

684‑П: Приведение в соответствие и оценка для НФО - услуги RTM Group
684‑П: Приведение в соответствие и оценка для НФО - от RTM Group
Узнать стоимость?

Эксперты по приведению в соответствие требованиям 684-П для НФО

Эксперт по приведению в соответствие требованиям 684-П для НФО Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 684-П для НФО Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 684-П для НФО Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 684-П для НФО Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

 

Полное название документа:

Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 N 684-П) (Зарегистрировано в Минюсте России 16.05.2019 N 54634)

Скачать последнюю редакцию Положения 684-П можно по ссылке ( doc, pdf).

Суть 684-П

Положение является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ).

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 684-П и выделить главное.

Какая информация должна защищаться по 684-П?

Какая информация должна защищаться по 684-П

  • Электронные сообщения (информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций)
  • Криптографические ключи (ключевая информация средств криптографической защиты информации, используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций)
  • Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом
  • Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях

На кого распространяются требования 684-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 2-4 684-П. Содержание данных пунктов указывает на необходимость доведения до клиентов рекомендаций по антивирусной защите, а также большой объем требований по работе со средствами криптографической защиты.

Важно! Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

Далее 684-П, а именно пункты 5-15, содержат требования для тех НФО, которые обязаны реализовать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

    Нужна консультация?

    Какие НФО должны реализовывать усиленный и стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017?

    Требования по усиленному уровню защиты информации должны соблюдать центральные контрагенты, центральный депозитарий.
    Попадают под усиленный и стандартный уровни защиты информации
    Самая обширная часть НФО должна соблюдать требования соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

    • Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов
    • Клиринговые организации
    • Организаторы торговли
    • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей
    • Негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию
    • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей
    • Репозитарии
    • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц
    • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал
    • Депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым – пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П “О порядке открытия и ведения депозитариями счетов депо и иных счетов”, зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей
    • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц
    • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления

    Что должны делать НФО, которые не подпадают под усиленный или стандартный уровень защиты информации по 684-П?

    Выделяется отдельная группа НФО, для которой 684-П является обязательным, но при этом они не подпадают под усиленный и стандартный уровень защиты по ГОСТ Р 57580.1-2017.
    Не попадают под усиленный и стандартный уровни защиты информации
    К таковым относятся:

    • Бюро кредитных историй
    • Микрофинансовые организации
    • Рейтинговые агентства
    • Ломбарды
    • Кредитные потребительские кооперативы
    • Актуарии
    • Жилищные накопительные кооперативы
    • Сельскохозяйственные кредитные потребительские кооперативы
    • Страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышала 20 миллиардов рублей
    • Негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, НЕ превышал 10 миллиардов рублей
    • Брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме НЕ более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание НЕ более чем 100 000 лиц
    • Дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме НЕ более 200 000 миллионов рублей в квартал
    • Депозитарии (в том числе расчетные депозитарии), НЕ осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым – пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П “О порядке открытия и ведения депозитариями счетов депо и иных счетов”, зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых НЕ превышала 500 000 миллионов рублей
    • Регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия НЕ более чем 1 000 000 лиц
    • Управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме НЕ более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами НЕ более чем 2 000 лиц, с которыми заключены договоры доверительного управления

    Данная группа НФО является наиболее массовой и для них также предусмотрены требования по защите информации.

    Такие НФО должны выполнять требования пунктов 1-4, пункта 5 (в части ежегодного определения уровня) и пункта 9 (в части самостоятельного определения необходимости сертификации и анализа уязвимости).

    Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580

    Фактически нужно:

    1. Выделить и описать защищаемую информацию
    2. Довести до клиентов рекомендации по антивирусной защите
    3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
    4. Создать ежегодную процедуру определения уровня защиты информации
    5. Определить необходимость сертификации или анализа уязвимостей (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

    Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

    Как выполнить требования 684-П по усиленному или стандартному уровню защиты информации?

    Выполнение требований 684-П
    Оптимальным для приведения в соответствие требованиям 684-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

    Проект №1 – Результатом которого будет частичное соответствие требованиям ГОСТа 57580.1 и четкий план приведения в соответствие

    Данный проект оптимально разделить на 3 этапа:

    Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России № 684-П от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

    На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017.

    Проведение Gap-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению № 684-П ЦБ РФ от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”

    На данном этапе:

    • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
    • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
    • оценивается выполнение требований Положения № 684-П Банка России от 17 апреля 2019 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

    По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017, а также план приведения в соответствие.

    Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

    На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

    • Политика информационной безопасности;
    • Частная политика (положение) по антивирусной защите;
    • Частная политика (положение) по криптографической защите;
    • Частная политика (положение) по защите сети Интернет;
    • Частная политика (положение) по управлению инцидентами информационной безопасности;
      И пр.

    Точный перечень документов определяется по результатам Этапа 1.

    Этап 3. На данном этапе:
    Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
    По результатам проведенных работ оформляется отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018, в частности, содержащий, в том числе:

    • перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
    • обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
    • числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
    • опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
    • опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

    Предоставленный отчет может быть предъявлен Банку России.

    Ниже представлен пример коммерческого предложения (Проект №1) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580.
    Коммерческое предложение по этапам работ 684-П

    Проект №2  – Итоговое приведение в соответствие требованиям 684-П.

    Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 684-П (разрабатывается по итогу Проекта №1).

    Ниже представлен пример коммерческого предложения (Проект №2) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580. Для тех, кому ГОСТ не нужен, объем работ будет значительно меньше (как было указано выше).

    Коммерческое предложение работ по 684-П

    Оценка по ГОСТ Р 57580.2 для некредитных финансовых организаций

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    Как указано выше 684-П выделяет из всех некредитных финансовых организаций 2 группы НФО, которые должны соответствовать усиленному или стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по ГОСТ Р 57580.2-2018.

    684-П

    Внешняя оценка соответствия по ГОСТ Р 57580 должна осуществляться не реже одного раза в год (для НФО соответствующих усиленному уровню защиты информации) и не реже одного раза в три года (для НФО соответствующих стандартному уровню защиты информации).

    Когда 684-П вступает в силу?

    Когда 684-П вступает в силу?
    Положение ступает в силу с 1 июня 2019 года, однако часть положений содержат отсрочку. В частности:

    • Пункт 9 (по сертификации прикладного ПО) вступает в силу с 1 января 2020 года.
    • Пункты 5 и 6 (по проведению оценки соответствия по ГОСТ Р 57580) вступает в силу с 1 января 2021 года. Соответственно первая оценка должна быть проведена до конца 2021 года.
    • Пункт 8 (о необходимости обеспечить должный уровень соответствия требованиям стандарта). Вступает в силу 1 января 2022 года и действует до 30 июня 2023 года.

    Дополнительные услуги по 684-П

    Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по 684-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по приведению в соответствие требованиям 684-П для НФО

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по приведению в соответствие требованиям 684-П для НФО

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия по 684-П (без ОУД4)

    Срок – от 6 недель

    от 300 000 руб.

    Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, финальная этап аудита общих требований 684-П (без ОУД4)

    Срок – от 10 недель

    от 600 000 руб.

    Оценка соответствия по ГОСТ Р 57580

    Срок – от 10 недель

    от 600 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

    Срок – от 12 недель

    от 800 000 руб.

    Полный аудит соответствия требованиям 684-П и проведение оценки по ГОСТ Р 57580

    Срок – от 16 недель

    от 800 000 руб.

    Разработка организационно-распорядительной документации (ОРД) на соответствие требованиям 684-П

    Срок – от 2 недель

    от 200 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    3 лицензии

    ФСТЭК России и ФСБ России

    Наши отзывы по приведению в соответствие требованиям 684-П для НФО

    Благодарность от ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ»
    17.02.2021
    ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ» благодарит компанию ООО «РТМ ТЕХНОЛОГИИ» за проведённый аудит соответствия системы защиты информации требованиям Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» и помощь в разработке организационно-распорядительных документов. Со своей стороны хотим отметить высокую компетентность специалистов ООО «РТМ ТЕХНОЛОГИИ» по вопросам информационной безопасности. В рамках предварительного GAP-анализа специалисты ООО «РТМ ТЕХНОЛОГИИ» помогли сформировать пакет организационно-распорядительных документов и дали целевые, грамотно составленные рекомендации по ИБ. По результатам выполненных работ, надеемся на дальнейшее позитивное сотрудничество и рекомендуем компанию ООО «РТМ ТЕХНОЛОГИИ» как профессиональную аудиторскую компанию. С уважением, Генеральный директор А.Н. Бабичев

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).

    Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ – 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ – 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

    Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

    Как выполнить ГОСТ 57580.1 страховой компании, если какой-то специальной документации мы не разрабатывали?

    В случае если у страховой компании нет специальной документации по ГОСТ 57580.1-2017 существует несколько подходов к решению данной проблемы:

    1. разрабатывать документы собственными силами страховой компании;
    2. заказать готовый комплект документации (RTM Group предоставляет такую услугу).

    Однако, купить или самостоятельно разработать документацию недостаточно, для соответствия ГОСТ Р 57580.1-2017, необходимо внедрение множества средств защиты информации, которые также определяются в документах по информационной безопасности и должны быть согласованы на этапе разработки документации, поэтому мы рекомендуем предварительное обследование организации на предмет соблюдения мер ГОСТ 57580.1-2017, и только после этого и только после этого разрабатывать организационно распорядительную документацию и внедрять технические средства защиты информации.

    Можно ли купить пакет документов по 684-П, чтобы полностью соответствовать требованиям Центробанка?

    Купить пакет документов на данный момент нельзя, так как ЦБ с 30.01.2020 не принимает в качестве свидетельств «шаблонные фразы» из своих положений, однако RTM Group предоставляет услуги по разработке документов по 684-П с учетом всех специфик конкретной организации. Данный набор документов может включать:
    – Политику информационной безопасности;
    – Положение о службе информационной безопасности;
    – Положение по антивирусной защите;
    – Положение по обеспечению защиты информации при управлении доступом;
    – Положение по обеспечению защиты вычислительных сетей;
    – Положение по контролю целостности и защищенности информационной инфраструктуры
    – Положение по предотвращению утечек информации;
    – Положение по управлению инцидентами защиты информации;
    – Положение по защите среды виртуализации;
    – Положение по защите информации при осуществлении удаленного доступа с использованием мобильных устройств.
    а также сопутствующие низкоуровневые нормативные документы, которые следуют из основных политик и положений.

    Каким образом определить уровень защиты информации НФО в соответствии 684-П?

    Уровень защиты информации в организации определяется в соответствии с пп. 5.3. 684-П исходя из видов деятельности, объемов бизнеса либо по добровольному решению организации не позднее первого рабочего дня календарного года (пп. 5.1. 684-П).

    Технические продукты есть, но не все, возможно ли использовать компенсирующие меры, если да, то в каком количестве?

    Компенсирующие меры применяются в том случае, если у организации нет возможности реализовать техническую меру, так как это указано в ГОСТ Р 57580.1-2017 ввиду особенностей информационной инфраструктуры. В связи с этим организация применяет одну или несколько организационных компенсирующих мер опираясь на модель угроз, принятую в организации. Стоит отметить, что причиной отказа от выбора технической меры не может выступать стоимость ее реализации. В остальном же применение компенсирующих мер не ограничено.

    Добрый день!
    Какой крайний срок для проекта по 684-П и ГОСТ 57580.1 в пенсионном фонде?

    Здравствуйте!
    Согласно 684-П негосударственные пенсионные фонды, реализующие стандартный и усиленный уровень защиты, должны с 1 января 2020 года использовать ПО для осуществления и обработки финансовых операций сертифицированное ФСТЭК на наличие уязвимостей и не декларированных возможностей, или ПО в отношении которых был проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже ОУД4.
    С 1 января 2021 года негосударственные пенсионные фонды должны исполнять меры ГОСТ Р 57580.1-2017 (уровень защиты информации определяется организацией самостоятельно в течение 2020 года).
    До 1 января 2021 года негосударственные пенсионные фонды, реализующие стандартный или усиленный уровни защиты, должны осуществить проведение оценки соответствия по ГОСТ Р 57580.1-2017 с привлечением сторонней организации.
    Исходя из вышеуказанных тезисов срок для проекта по 684-П должен быть не позднее 1.10.2020.
    Мы рекомендуем негосударственным пенсионным фондам в течении первого квартала 2020 года определить уровень защиты информации. В течении 3-4 квартала 2020 года заключить договор о проведении оценки соответствия с экспертной организацией от не позднее 1.10.2020.

    Что делать тем НФО кто не попадает под применение ГОСТА?

    Необходимо определить во внутренних документах (например, в политике информационной безопасности) перечень защищаемой информации, а также необходимо осуществлять защиту ПДн в соответствии со 152-ФЗ и доводить до клиентов рекомендации по информационной безопасности – письмами, приложением к договору или на сайте, ЦБ не регламентирует способ донесения информации. В случае, если вы применяете СКЗИ, то его вы должны применять в соответствии с ПКЗ-2005 и иными документами. Вы должны каждый год определять уровень защиты информации и определить необходимость применения ОУД4. Вот коротко все, что нужно делать тем, кто не попадает под требования ГОСТ.

    Какие обязательные требования применимы к управляющей компании с минимальным уровнем защиты?

    Если вы определили для себя минимальный уровень защиты информации, вы выполняете Защиту ПДн, доведение рекомендаций до клиентов, защиту информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4, плюс – дополнительно проводите оценку по минимальному уровню защиты ГОСТ.

    С какого времени микрокредитная компания должна применять 684-П? Каким документом он должен оформляться (актами, приказами)? Каким числом (2020 год, 2021 год) должен быть самый первый акт об определения уровня защиты?

    Микрокредитная компания обязана выполнять пункты по Защите ПДн, доведения рекомендаций до клиентов, защиты информации с помощью СКЗИ, определения уровня ЗИ, анализа уязвимостей по ОУД4.

    Основные пункты, перечисленные выше, вступили в силу 16 мая 2019 года, соответственно, к 1 января 2020 года должен быть первый акт об определении уровня защиты.

    Из документов, которые должны быть:

    • перечень защищаемой информации (акт, приказ, политика),
    • документ, регламентирующий доведение рекомендаций до клиентов (политика, решение, акт),
    • акт определения уровня ЗИ,
    • акт применения анализа уязвимостей по ОУД4.

    Здесь самое главное, что в число общих требований включается защита ПДн. Защита ПДн – это 152-ФЗ и 21-й приказ ФСТЭК, об этом не надо забывать, потому что это не только требование Банка России, но и Роскомнадзора, которые обязательны к выполнению.

    Если Вы затрудняетесь с подготовкой набора документов – у нас есть экспресс-услуга оформления документации для тех, кто под ГОСТ не попадает.

    Если у клиента нет личного кабинета в организации, взаимодействие заключается в переводе на р/с клиента, какие рекомендации нужно донести до клиентов?

    Необходимо понимание, каким образом клиент передает вам распоряжение и как идет информационное взаимодействие с клиентом. Например, если у клиента изменился расчетный счет, то каким образом он передает вам эту информацию? Вам надо сообщить клиенту о том, что передавать информацию об изменении расчетного счета надо личным визитом, цифровой подписью и так далее, чтобы исключить мошенничество. В любом случае, у вас всегда есть информационное взаимодействие с клиентом, и при этом взаимодействии Вы обязаны защищать информацию клиента.

    Что нужно делать страховщикам по ГОСТУ?

    Под ГОСТ попадают те страховые организации, у которых стоимость активов превышает 20 миллиардов рублей. До этой суммы страховые организации применяют ГОСТ на добровольной основе.

    Соответственно, если у вас стоимость активов превышает 20 миллиардов рублей, то вы должны полноценно выполнять ГОСТ 57580 (8 процессов, 4 направления, жизненный цикл).

    Ломбарды обязаны применять ГОСТ?

    Ломбарды на текущий момент не обязаны применять ГОСТ.

    У ломбардов остаются только общие требования:

    • защита ПДн,
    • доведение рекомендаций до клиентов,
    • защита информации с помощью СКЗИ,
    • определение уровня ЗИ,
    • анализ уязвимостей по ОУД4.

    При минимальном уровне защиты ГОСТ же всё равно применяется?

    На данный момент, минимальный уровень защиты в 684-П не предусмотрен – он может быть добровольно принят финансовой организацией в рамках пункта 5.1.

    Есть стандартный и усиленный уровни защиты, и есть те организации, кому ГОСТ 57580 не нужен, не обязателен. Вы можете на основании своего желания применять минимальный уровень защиты.

    Можно ли не создавать отдельное положение по 684-П микрокредитной компании, а сослаться на модель угроз и положение о защите информации, разработанное в рамках 152-фз?

    Обычно да, но все зависит от качества моделей угроз, и того положения, которое у вас есть сейчас.

    С февраля 2021 года действует методичка ФСТЭК по моделированию угроз, в частности для персональных данных. И поскольку 152-ФЗ предусматривает ежегодный пересмотр системы защиты персональных данных, то в этом году модель придется переписывать по новой.

    Мы микрофинансовая организация. У наших клиентов есть личный кабинет на сайте, через который они делают заявку на займ и получают его на свой расчетный счет. Какие документы/требования по 684-П должны выполняться в таком случае?

    Микрофинансовая организация под ГОСТ 57580 не попадает, соответственно, у них остаются только общие требования (защита ПДн, доведение рекомендаций до клиентов, защита информации с помощью СКЗИ, определение уровня ЗИ, анализ уязвимостей по ОУД4).

    Какие сроки исполнения требований 684-П для ломбардов?

    Срок исполнения требований для ломбардов начался с 16 мая 2019 года.

    Если мы не должны выполнять ГОСТ по положению, то что писать в документе по определению уровня защищённости?

    Так и писать, что в соответствии с финансовыми показателями и видом деятельности применение ГОСТ 57580 не осуществляется – ни стандартный, ни усиленный уровень.

    При определении уровня защиты надо четко определить вид деятельности (попадаете ли вы под 684-П), и в соответствии с пунктом 5 определить финансовые показатели (соответствуете ли вы какому-либо уровню защиты).

    Защита информации с помощью СКЗИ. При передаче информации необходимо шифрование по ГОСТу или возможны иные протоколы? Аналогично при хранении?

    Требований по применению сертифицированных СКЗИ на данный момент нет, ГОСТовское шифрование пока не обязательно. Аналогично при хранении тоже.

    Что понимается под перспективным положением ЦБ? Это проект нового положения?

    Перспективное положение — это проект нового положения (рассматривается с 16 ноября 2020 года), его статус — это конфиденциальная информация.

    На данный момент документ опубликован на сайте «Гарант». Проект нового положения фактически переписывает 684-П и одним из последних пунктов он 684-П отменяет.

    Если взаимодействие с клиентами КПК и МКК происходит непосредственно при их присутствии, необходимо ли доводить до клиента рекомендации и как доводить? Можно ли тогда вообще не устанавливать минимальный уровень?

    Установка минимального уровня ГОСТ 57580 не предусмотрена.

    Если у вас взаимодействие с клиентами осуществляется только очное, то в любом случае у клиентов есть информация о том, что они являются вашими клиентами: они подписывают бумаги, а к этим бумагам можно приложить памятку — что эти бумаги надо хранить в недоступном месте, не показывать незнакомым людям и так далее.

    То есть, информационное взаимодействие подразумевается не только через Интернет, но и через те документы, которыми вы с клиентами обмениваетесь.

    Какие требования ГОСТ применяются при минимальном уровне?

    Минимальный уровень по ГОСТ 57580 вы можете применять самостоятельно, и от этого зависит набор мер в ГОСТ 57580.

    Разве в 684-П не такие же 3 уровня, как в ГОСТ?

    В 684-П нет трех уровней, есть организации, которые применяют стандартный либо усиленный уровень ГОСТ.

    Фактически 684-П не выделяет уровней, а просто делит некредитные финансовые организации на две категории: которые ГОСТ применяют и которые ГОСТ не применяют.

    Есть понимание что проверяет ЦБ? Может ЦБ банки проверял?

    ЦБ запрашивает всю организационно-распорядительную документацию, запрашивает доступ к информационным системам, проверяет насколько они защищены и настроены (сложность пароля, срок хранения архива и т.д.), после дают рекомендации.

    Проверок именно по ГОСТ пока не было, запрашивали только отчет – провели аудит или нет, если да, то проводили проверку технологических мер, проверяли общие требования.

    Стандартно по результатам выдается некое предписание, которое формально можно оспорить (есть отдельная услуга по сопровождению проверки Банка России и Роскомнадзора). На данный момент к организациям, которые мы сопровождали, санкций не применяли.

    Если Ломбард не подпадает под исполнения ГОСТ, то он и не должен выполнять min уровень ГОСТ? Правильно?

    Все верно.

    Если НФО согласно 684-П не обязана применять стандартный и усиленный уровни, то она применяет минимальный уровень по ГОСТ, верно?

    Нет, неверно: организации делятся на две категории – которые применяют ГОСТ и которые не применяют.
    Те, которые применяют ГОСТ, делятся на те, которые применяют стандартный и усиленный.

    Обязательства по применению минимального уровня пока нет.

    Если мы не подпадаем ни под усиленный, ни под стандартный, то и никакой внутренней документации – ни приказы, ни акты, по организации можно не издавать?

    Приказы и акты по определению уровня защиты в соответствии с 684-П нужно издавать, при этом если вы не попадаете ни под стандартный, ни под усиленный уровни, то требования ГОСТ можно не учитывать, но общее положение 684-П необходимо исполнять.

    Если мы ГОСТ не применяем и приказом не выявили лояльность к Положению 684 и не установили приказом внутренним минимальный уровень, ответственности не последует или рекомендаций от ЦБ?

    Рекомендации последуют точно, но вы должны принять решение – будете ли вы рекомендации выполнять или нет.

    Каким годом должен быть приказ для КПК и МКК – 01.01.20?

    Приказы, для не попадающих под ГОСТ 57580, должны быть от 1 января 2020 года.

    Есть ли методики проверок ЦБ для МКК?

    Методики проверок ЦБ для микрокредитных компаний на данный момент не разработаны.

    Прошлый год показал, что вместо проверок ЦБ может просто отправлять запросы со следующей формулировкой: “В течение двух дней предоставьте нам, пожалуйста, те или иные документы”. И на основании предоставления или непредоставления уже выносят решение.

    Если у страховщика меньше 20 млрд, ГОСТ нужно исполнять?

    Если меньше данной суммы, то ГОСТ исполнять не нужно.

    Какой перечень документов должен быть в ломбарде, который не попадает под ГОСТ?

    Перечень документов, для организаций, которые не попадают под ГОСТ:

    1. должен быть определен перечень защищаемой информации;
    2. должен быть регламент доведения рекомендаций до клиентов;
    3. должен быть определен уровень защиты информации;
    4. определена необходимость проведения анализа уязвимостей.

    Помимо этого, стандартный комплект документов по защите персональных данных, он на данный момент не маленький, и в случае если применяется криптография, должен быть комплект документов по СКЗИ.

    Что подразумевает комплект по СКЗИ?

    Под комплектом документов СКЗИ подразумеваются требования ПКЗ-2005.

    Как определить уровень ЗИ для Ломбарда?

    Для ломбарда определить уровень защиты информации очень просто: ломбарды не попадают под действие стандартного либо усиленного уровня ГОСТ 57580, соответственно, выполняют только общие требования 684-П.

    СКЗИ применяется для взаимодействия с БКИ?

    Нет, если СКЗИ применяется для взаимодействия с вашими клиентами.

    Просьба уточнить, действительно ли придется отчитываться в конце текущего 2022 года по соответствию основным Положениям (683-П, 747-П, 719-П)? На определенной конференции прошел слух, однако фактов не нашел.

    С 01 октября 2022 вводится форма отчетности по выполнению требований ГОСТ и 716-П.
    Более подробно мы рассматривали на вебинаре “Внесение изменений в 4927 У: Новые формы отчётности 2022”. Доступен по ссылке https://youtu.be/P6i-Vi3IckY