Аудит по 683-П: обзор положения Банка России

Аудит 683-П

Банк России ввел в действие нормативный документ № 683-П, устанавливающий Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента для кредитных организаций. Регулятор издал обновленные директивы для предупреждения несанкционированных банковских переводов, на проведение которых клиент не давал личного согласия.

Требования Центробанка при проведении аудита по 683-П

Данным положением Банк России устанавливает требования для проведения аудита, которые заключаются в периодичности и методике проведения оценки соответствия защиты информации. А именно:

  • Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций имеющих лицензию на проведение работ.
  • Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»

Когда положение 683-П вступает в действие?

21 мая 2019 года Центральный Банк обнародовал текст документа, датируемый 17.04.2019. Через 10 дней 1.06.2019 обязательное требование вступило в законную силу.

Исполнять отдельные указания потребуется после:

  • 1.01.2020 – п.4. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее — ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»;
  • 1.07.2021 – п.9. Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
  • 1.01.2023 – п. 9.2. Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.

Официальные разъяснения Банка России в отношении сфер применения 683-П

Центробанк намерен кардинально поменять сферу действия 382-П, чтобы защита ИБ при безналичных переводах ушла под контроль 683-П ЦБ РФ. Анализировать уязвимости субъекты кредитных отношений смогут самостоятельно или с привлечением сторонних лицензиатов. Результаты оценивания оформляются письменно по порядку, изложенному в ГОСТ 15408. Отправлять результаты оценивания на проверку не потребуется. Способы и объемы аудита по 683-П Банка России оставлены на усмотрение кредитного учреждения. Когда требования 382-П в будущем упразднят, тогда останется единственная оценка соответствия по ГОСТу.

Готовится к пересмотру форма отчетности № 202. Если требования смежных нормативов пересекаются, то потребуется исполнять более строгие предписания регулятора, которые содержит положение Банка России 683-П. Детально изучается вопрос внесения в текст 63-ФЗ упоминание третьей доверенной стороны, чтобы согласовать с 683-П ЦБ. Пока изменения остаются на стадии исследования. Центробанк интересуют не выбранные защитные механизмы, а объективная оценка риска, с учетом норм 683-П и 382-П. Так выглядит краткий обзор изменения подходов регулятора к защите информации коммерческими структурами, действующими в кредитной сфере хозяйствования. Хотя изменения вызвали неоднозначную реакцию, но детальное знакомство с документом 683-П ЦБ показывает, что это нововведение может оказаться полезным.

Как пересекаются требования 683-П и Гост Р 57580?

В положении 683-П есть требование, что Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» На основании вышеизложенного указано, что все кредитные организации должны реализовывать требования к защите информации определенные ГОСТ Р 57580.1-2017.

Положение 683-П: обзор обновленных инструкций

В подпункте 5.2.1 положения ЦБ 683-П предписывается выбор способа получения цифрового подтверждения транзакции от клиента. Внутреннюю политику управления рисками на предприятии понадобится согласовать с предоставленными регулятором указаниями. Центробанк не интересует методика и поэтапность получения клиентского согласия на перевод безналичных активов. Подходит любой способ, который подтверждает, что собственник счета согласился и подтвердит отправку.

Требования 683-П: комментарии по проведению оценки рисков

Специализированные компании, которые получили лицензию ФСТЭК России, вправе проводить комплексные мероприятия по защите личной информации или тестированию объектов корпоративной инфраструктуры для выявления брешей в ПО. Сотрудники нашей компании проводят по 683-П анализ уязвимостей, учитывая исполнение предписаний национального стандарта, пересекающегося норматива 382-П и методических рекомендации № 4-МР.

Наши специалисты постоянно следят за тем, какие предоставляет разъяснения ЦБ по 683-П, чтобы оказывать аудиторские услуги требуемого качества. После выявления серьезных угроз, клиенту предоставляется план мероприятий по ликвидации уязвимостей и совершенствованию системы обеспечения защиты информации (организационных и технических мер).

В связи с выходом положения Центрального Банка России от 17 апреля 2019 года, № 683-П «Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении Банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», конкретизировались требования к обеспечению защиты информации при осуществлении переводов денежных средств. Планируется поэтапный переход к необходимому уровню защиты информации не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.

Наши преимущества

Стоимость

Услуга Стоимость
Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель

от 270000 руб.

Свяжитесь с нами

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка уровня информационной безопасности по 684-П

Оценка уровня информационной безопасности предприятия и организации по 684-П

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Положение Банка России 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее

Аудит по 672-П

Аудит положения банка России 672-П

Подробнее