Обзор Положения 684-П

Внимание! Положение 757-П ЦБ РФ заменяет 684-П для НФО.
25 июня 2021 года опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Положение 757-П вступает в силу по истечении 10 дней после дня его официального публикования, с этого дня отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П.

Положение №684-П

Положение Банка России 684-П устанавливает требования для некредитных финансовых организаций (НФО) к защите информации при осуществлении деятельности на финансовом рынке.
Положение содержит небольшой ряд требований, которые обязательно выполнять всем НФО, а именно:

• В случае обработки персональных данных, а также применения СКЗИ, в 684-П сказано о необходимости выполнения требований 152-ФЗ, 63-ФЗ, Постановления Правительства РФ № 1119, Положения ПКЗ-2005, а также Приказа ФСБ РФ № 378;
• Доводить рекомендации по защите информации до своих клиентов;
• Определять и реализовывать уровень защиты информации в соответствии с ГОСТ Р 57580.

Иные требования 684-П обязательны к выполнению организациям, которые соответствуют Стандартному или Усиленному уровням защиты информации по ГОСТ Р 57580.

Кому и какие требования 684-П выполнять?

Как уже было сказано ранее, в Положении приведен небольшой список обязательных к выполнению требований всеми НФО. В случае, если организация является одной из списка п.5.3:

• специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
• клиринговые организации;
• организаторы торговли;
• страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей;
• негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
• негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей;
• репозитарии;
• брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц;
• дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
• депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым — пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П «О порядке открытия и ведения депозитариями счетов депо и иных счетов», зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
• регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
• управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

То такие организации должны реализовывать Стандартный уровень защиты информации по ГОСТ Р 57580. Усиленному уровню должны соответствовать центральные контрагенты и центральные депозитарии (согласно п.5.2)

Важно:

Следует различать понятия соответствия уровню защиты и проведения оценки по ГОСТ 57580. В первом случае организация самостоятельно должна реализовывать меры защиты в соответствии с уровнем защиты. А уже проверка реализации таких мер определяется в рамках проведения оценки соответствия по ГОСТ.

Проводить оценку соответствия по ГОСТ 57580 организациям, соответствующим Стандартному уровню защиты информации, необходимо не реже 1 раза в 3 года. Для организаций, реализующих Усиленный уровень – не реже 1 раза в год.
С 01.01.2021 вышеперечисленным НФО необходимо проводить оценку соответствия. Однако, на сегодняшний день требований достичь конкретного уровня соответствия по ГОСТ нет.
С 01.01.2022 по 30.06.2023 года НФО должны соответствовать уровню не ниже третьего, т.е. оценка должна быть не ниже 0,70. Уже с 01.07.2023 будет необходимым соответствовать 4 уровню – оценка не ниже 0,85.

Важно:

Уровень защиты информации и уровень соответствия это не одно и то же. В ГОСТ 57580 выделяется три уровня защиты информации – минимальный, стандартный и усиленный. Уровней соответствия по ГОСТ – пять. Они отображают диапазон значений, полученных при проведении оценки.

Кто и почему проводит оценку соответствия?

Согласно п.6 Положения 684-П оценку соответствия должна проводить сторонняя организация, имеющая лицензии на осуществление деятельности по технической защите конфиденциальной информации. Результатом проведения является отчет, который необходимо хранить не менее пяти лет.

Как часто проводить пентесты?

Согласно п.5.4 тестирование на проникновение (пентест) должно проводится теми НФО, которые реализуют Стандартный и Усиленный уровни защиты информации по ГОСТ 57580. Сроки проведения не указаны. Однако, в ГОСТ указанно, что пентесты должны проводится ежегодно.
Следовательно, каждый год указанные НФО обязаны выполнять данное требование.

Требование к применяемому ПО

В п.9 Положения 684-П указанно, что НФО, реализующие стандартный или усиленный уровни защиты информации, обязаны в отношении ПО, распространяемого среди своих клиентов, и ПО, участвующего в обработке защищаемой информации, проводить анализ уязвимостей по требованиям не ниже уровня ОУД4, предусмотренного ГОСТ Р ИСО/МЭК 15408-3-2013. Альтернативным решением является применение указанного ПО, сертифицированного ФСТЭК.
Анализ уязвимостей проводится самостоятельно или с привлечением сторонней организации.

Важно:

Если организация не реализует Стандартный или Усиленный уровни защиты информации, то она вправе самостоятельно определить необходимость проведения анализа уязвимостей и сертификации.

Иные требования для организаций

В случае, когда организация, ранее не являющейся одной из списка пп.5.2 и 5.3, определила себя как одна из указанных, то в течении 9 месяцев она обязана обеспечить соответствие требованиям к НФО, реализующим Стандартный или Усиленный уровни защиты.

Важно:

При совмещении видов деятельности организацией, выполнение которых вызывает необходимость реализации разных уровней защиты информации, то выбирается более высокий уровень.

В Положении 684-П содержатся другие требования, помимо описанных, которые относятся к организациям, реализующим стандартный или усиленный уровень. Их суть заключается в применении определенных технологических мер защиты информации, которая признается как защищаемая (согласно п.1). Также необходимо обеспечивать процесс регистрации сведений о действиях работников, клиентов, а также об инцидентах. Информирование об инцидентах Банка России является одним из требований Положения.