Обзор Положения 683-П

Кому выполнять требования 683-П?

Положение Банка России 683-П содержит ряд требований для кредитных организаций о применении мер защиты, направленных на предотвращение несанкционированных переводов денежных средств без согласия клиентов.
Кредитные организации при осуществлении банковской деятельности, должны обеспечивать состояние информационной безопасности в системах, участвующих в переводах денежных средств между банками и их клиентами.
Требования Положения 683-П распространяются на все кредитные организации, в том числе на те, которые выполняют функции Оператора услуг платежной инфраструктуры (ОУПИ) системно значимых платежных систем, и организации, значимые на рынке платежных услуг.

Важно:

Положение 683-П не распространяется на отношения, которые регулируются № 187-ФЗ.

Что нужно выполнять?

Требования 683-П к обеспечению защиты можно разделить на три части:

• Общие требования и необходимые к выполнению технологические меры защиты информации;
• Требование к необходимости использования прикладного ПО, в отношении которого проведен анализ уязвимостей к оценочному уровню доверия, не ниже, чем ОУД4;
• Требование проводить оценку соответствия по ГОСТ Р 57580.

К числу общих требований относятся обеспечение применения технологических мер защиты в отношении информации, определяемой как защищаемая (п. 1), обеспечение регистрации сведений об инцидентах, действиях работников банка, действиях клиентов.
Следует отметить, что в Положении 683-П не определяется сроков и периодичности проверки выполнения общих требований. Их реализация необходима с момента вступления 683-П в силу.
Необходимость проведения ежегодного тестирования на проникновение (пентест) является одним из обязательных к выполнению пунктов 683-П (п.3.2).

Важно:

В 683-П указанно, что если к защищаемой информации относятся персональные данные, то банки обязаны применять меры защиты в соответствии с 152-ФЗ.
Также требуется применять СКЗИ в соответствии с требованиями № 63-ФЗ, Постановлением Правительства РФ № 1119, Положением ПКЗ-2005, а также Приказом ФСБ РФ № 378.

Требования к применяемому ПО

Применение ПО, в отношении которого проведен анализ уязвимостей к оценочному уровню доверия, не ниже, чем ОУД4, относится к ПО, которое распространяется банком среди клиентов, а также к ПО, обрабатывающего защищаемую информацию в инфраструктуре самой организации.
Требование использовать соответствующее ПО уже вступило в силу с 01.01.2020.

Важно:

В 683-П указано, что используемое ПО должно либо пройти сертификацию ФСТЭК по ОУД4, либо в отношении такого ПО должен проводится анализ уязвимостей по требованиям ОУД4. Кроме того, в п. 4.2 сказано, что в случае проведения анализа уязвимостей ПО должна привлекаться сторонняя организация, имеющая соответствующие лицензии на осуществление деятельности по технической защите конфиденциальной информации.

Проведение оценки соответствия по ГОСТ Р 57580

Проведение оценки соответствия по ГОСТ Р 57580 является одним из требований Положения 683-П.
Все банки должны реализовывать стандартный уровень защиты информации ГОСТ Р 57580. Исключением являются организации, которые являются системно значимыми, организации, выполняющие функции ОУПИ системно значимых платежных систем, а также организации, значимые на рынке платежных услуг. Им необходимо соответствовать усиленному уровню защиты информации по ГОСТ Р 57580.

Важно:

Уровень защиты информации и уровень соответствия это не одно и то же. В ГОСТ 57580 выделяется три уровня защиты информации – минимальный, стандартный и усиленный. Уровней соответствия по ГОСТ – пять. Они отображают диапазон значений, полученных при проведении оценки.
Банки должны реализовывать меры защиты по Стандартному или Усиленному уровням. В рамках аудита проверяется выполнения таких мер защиты и выставляется соответствующая оценка.
Проводить оценку по ГОСТ 57580 так же должна сторонняя организация.

• Банки с 01.01.2021 по 31.12.2022 должны обеспечить уровень соответствия не ниже третьего по ГОСТ Р 57580.2-2018. Нижний порог третьего уровня соответствует оценке 0,70.
• С 01.01.2023 банки будут обязаны обеспечить уровень соответствия не ниже четвертого – 0,85 и выше.
• Оценку соответствия по ГОСТ 57580 необходимо проводить не реже одного раза в два года всем банкам не зависимо от уровня защиты информации.

Важно обратить внимание на следующее. Если организация, реализующая Стандартный уровень защиты, переходит в статус той, которая должна соответствовать Усиленному, то в течении 18 месяцев, необходимо обеспечить такое соответствие. Разумеется, что оценка соответствия по ГОСТ 57580 также должна проводится уже по Усиленному уровню защиты информации.

Что нужно сделать банку для проверки выполнения требований?

Одновременно с проведением оценки по ГОСТ Р 57580, необходимо обеспечить выполнение технологических мер защиты в отношении информации, участвующей в процессах переводов денежных средств, а также обеспечить соответствие требованиям при использовании СКЗИ и обработки персональных данных.
Важно понимать, что проведение оценки по ГОСТ 57580 является только одним из требований Положения 683-П. Факт проведения оценки соответствия не говорит о том, что кредитная организация соответствует требованиям 683-П.