Меню
Аудит 683-П

Аудит по 683-П: обзор положения Банка России

Банк России ввел в действие нормативный документ № 683-П, устанавливающий Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента для кредитных организаций. Регулятор издал обновленные директивы для предупреждения несанкционированных банковских переводов, на проведение которых клиент не давал личного согласия.

Заказать услуги по оценке соответствия по 683-П

Требования Центробанка при проведении аудита по 683-П

Данным положением Банк России устанавливает требования для проведения аудита, которые заключаются в периодичности и методике проведения оценки соответствия защиты информации. А именно:

  • Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций имеющих лицензию на проведение работ.
  • Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»

Когда положение 683-П вступает в действие?

21 мая 2019 года Центральный Банк обнародовал текст документа, датируемый 17.04.2019. Через 10 дней 1.06.2019 обязательное требование вступило в законную силу.

Исполнять отдельные указания потребуется после:

  • 1.01.2020 – п.4. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее — ОУД) не ниже чем ОУД4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»;
  • 1.07.2021 – п.9. Кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79. Кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года.
  • 1.01.2023 – п. 9.2. Кредитные организации должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2023 года.

Официальные разъяснения Банка России в отношении сфер применения 683-П

Центробанк намерен кардинально поменять сферу действия 382-П, чтобы защита ИБ при безналичных переводах ушла под контроль 683-П ЦБ РФ. Анализировать уязвимости субъекты кредитных отношений смогут самостоятельно или с привлечением сторонних лицензиатов. Результаты оценивания оформляются письменно по порядку, изложенному в ГОСТ 15408. Отправлять результаты оценивания на проверку не потребуется. Способы и объемы аудита по 683-П Банка России оставлены на усмотрение кредитного учреждения. Когда требования 382-П в будущем упразднят, тогда останется единственная оценка соответствия по ГОСТу.

Готовится к пересмотру форма отчетности № 202. Если требования смежных нормативов пересекаются, то потребуется исполнять более строгие предписания регулятора, которые содержит положение Банка России 683-П. Детально изучается вопрос внесения в текст 63-ФЗ упоминание третьей доверенной стороны, чтобы согласовать с 683-П ЦБ. Пока изменения остаются на стадии исследования. Центробанк интересуют не выбранные защитные механизмы, а объективная оценка риска, с учетом норм 683-П и 382-П. Так выглядит краткий обзор изменения подходов регулятора к защите информации коммерческими структурами, действующими в кредитной сфере хозяйствования. Хотя изменения вызвали неоднозначную реакцию, но детальное знакомство с документом 683-П ЦБ показывает, что это нововведение может оказаться полезным.

Как пересекаются требования 683-П и Гост Р 57580?

В положении 683-П есть требование, что Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». На основании вышеизложенного указано, что все кредитные организации должны реализовывать требования к защите информации определенные ГОСТ Р 57580.1-2017.

Положение 683-П: обзор обновленных инструкций

В подпункте 5.2.1 положения ЦБ 683-П предписывается выбор способа получения цифрового подтверждения транзакции от клиента. Внутреннюю политику управления рисками на предприятии понадобится согласовать с предоставленными регулятором указаниями. Центробанк не интересует методика и поэтапность получения клиентского согласия на перевод безналичных активов. Подходит любой способ, который подтверждает, что собственник счета согласился и подтвердит отправку.

Требования 683-П: комментарии по проведению оценки рисков

Специализированные компании, которые получили лицензию ФСТЭК России, вправе проводить комплексные мероприятия по защите личной информации или тестированию объектов корпоративной инфраструктуры для выявления брешей в ПО. Сотрудники нашей компании проводят по 683-П анализ уязвимостей, учитывая исполнение предписаний национального стандарта, пересекающегося норматива 382-П и методических рекомендации № 4-МР.

Наши специалисты постоянно следят за тем, какие предоставляет разъяснения ЦБ по 683-П, чтобы оказывать аудиторские услуги требуемого качества. После выявления серьезных угроз, клиенту предоставляется план мероприятий по ликвидации уязвимостей и совершенствованию системы обеспечения защиты информации (организационных и технических мер).

В связи с выходом положения Центрального Банка России от 17 апреля 2019 года, № 683-П «Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении Банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», конкретизировались требования к обеспечению защиты информации при осуществлении переводов денежных средств. Планируется поэтапный переход к необходимому уровню защиты информации не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.

Боев Андрей Валерьевич

Боев Андрей Валерьевич

Аналитик по безопасности программного обеспечения

Профессиональный опыт в сфере информационной безопасности с 2009 года

Курихин Андрей Валерьевич

Курихин Андрей Валерьевич

Технический писатель

Профессиональный опыт в сфере информационных технологий с 2009 года

Является ли Положение 683-П основанием для проведения ОУД 4?

Да, в пункте 4.1 Положения отражено требование по проведению ОУД 4 в отношении ПО систем и приложений, связанных с осуществлением переводов денежных средств через сеть Интернет, а также ПО, распространяемого клиентам и связанных с осуществлением переводов денежных средств (например, мобильные банковские приложения).

Какой оценки нужно достичь и к какому сроку на основании 683-П?

Кредитные организации должны достичь оценки по ГОСТ 57580.1–2017 более 0,7 (третий уровень соответствия) до 1 января 2021 года, а также оценки более 0,85 (четвертый уровень соответствия) до 1 января 2023 года.

Обязательно ли проведение аудита общих требований и оценки ГОСТ Р 57580 в рамках Положения 683-П?

Поскольку организации нужно выполнять требования 683-П, аудит в той или иной мере проводить надо. Что касается общих требований, их оценка может быть произведена без привлечения сторонней организации. Оценка по ГОСТ Р 57580 должна проводиться с привлечением организации-лицензиата ФСТЭК. И поскольку в 683-П установлено явное требование по достижению уровня соответствия ГОСТ к определенному сроку, аудит по ГОСТ становится обязательным.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективная оценка

Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.

Стоимость по оценке соответствия по 683-П

Услуга Стоимость

Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4)

Оценка соответствия по требованиям Положения ЦБ РФ №683-П
Срок проведения от 6 недель
Без учета работ по ОУД4

от 500 000 руб.

Свяжитесь с нами

Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.

Услуги для Вас

Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка соответствия по 757-П (684-П)

Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Оценка соответствия по 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.