Оценка уровня информационной безопасности предприятия и организации по 684-П

Аудит по 684-П

Центральный банк издал Положение 684-П, которое обязывает некредитные финансовые организации (НФО) поэтапно внедрять специальные меры по информационной защите. Этот ведомственный нормативно-правовой акт регулирует вопросы безопасности и надежной сохранности клиентской информации с целью предупреждения несанкционированного доступа или хакерских атак.

Обзор Положения 684-П по определению уровня информационной безопасности

В соответствии с 684-П ЦБ, НФО обязаны определить уровень защиты, учитывая сферу коммерческой деятельности и другие разъяснения Центробанка. В тексте документа содержатся требования по применению СКЗИ, защите ПДн, а также ссылки на смежные предписания регулятора, официальные нормативы и госстандарты.

Положение по 684-П предписывает НФО:

  • разработать рекомендации по снижению рисков проникновения и установке антивирусных приложений;
  • регистрировать и передавать регулятору сведения, связанные с серьезными нарушениями конфиденциальности платежей;
  • применять технологию обработки защищаемой информации на технологических участках, при формировании или подготовке, приеме-передаче ЭС, идентификации клиента и осуществлении финансовой операции;
  • включать регистрацию действий собственных работников, чтобы удостовериться в соблюдении требований;
  • анализировать уязвимости прикладного ПО, приведя в соответствие с усиленным либо стандартным уровнем защиты;
  • реализовать мероприятия по недопущению раскрытия сведений из документов о выполненных транзакциях или авторизации инициаторов финопераций;
  • использовать электронные криптографические инструменты, которые соответствуют нормативным требованиям ГОСТ Р 57580.1-2017.

Положение 684-П ЦБ РФ от 17.04.2019 вступило в законную силу 1.06.2019 после официальной публикации. Торговым, клиринговым или страховым компаниям, негосударственным фондам страхования пенсионных вкладов, управляющим, дилерам и регистраторам потребуются стандартные защитные мероприятия. Специализированные депозитарии, брокерские агентства и репозитарии относятся к этой категории некредитных финорганизаций. На центральных контрагентов и депозитариев распространяется усиленный уровень ИБ, как это прописано в положении Банка России No 684-П и стандарте Р 57580.

Информация, которая подпадает под действие 684-П, согласно разъяснениям Банка России:

  • электронные сообщения о результатах финансовых операций, выполненных сотрудниками НФО или клиентами;
  • средства авторизации, удостоверяющие права распоряжения материальными и нематериальными активами, ценными бумагами;
  • криптографические ключи для выполнения финопераций штатным персоналом или клиентами;
  • корпоративные сведения, информирующие о проведении безналичных расчетов или взаимозачетов.

Если в перечне отсутствует наименование некредитного учреждения, то регулятор рекомендует ознакомиться с дополнительным списком, опубликованным в положении 684-П ЦБ РФ. Внедрять защитные меры ИБ придется ломбардам, актуариям, потребительским кредитным кооперативам, микрофинансовым компаниям, брокерам и отдельным категориям финсубъектов, подпадающих под стандартный уровень защиты. Для последних существуют особые обстоятельства, условия которых свидетельствуют о необходимости соблюдать требования 684-П ЦБ РФ. Такие НФО не подпадают под определенный уровень защищенности, но должны выполнять обязательства из пунктов 1-4, 5 и 9, самостоятельно определять необходимость анализа уязвимостей и ОУД4. Внешнее оценивание по ГОСТ Р 57580.2-2018 не потребуется.

Где заказать оценку соответствия по 684-П?

Для того чтобы заказать оценку соответствия по 684-П, потребуется обратиться в лицензированную организацию. Специалисты компании Literafort уполномочены проводить независимую многоуровневую оценку ИБ, независимо от статуса предприятия и финансовой специализации. Вначале наши эксперты проанализируют и опишут защищаемую информационную среду, выявят уязвимости в информационной инфраструктуре, прикладном либо системном ПО. Предоставят заказчику рекомендации по улучшению антивирусной защиты, работоспособности криптографических ключей для электронных подписей, требуемому уровню защищенности, в согласии с постановлением 684-П.

Распространенные ошибки при самостоятельном внедрении требований 684-П:

  • некорректное определение обязательств;
  • выборочное применение нормативных документов;
  • несвоевременность выполнения мероприятий по оцениванию;
  • неполный комплект технической или сопроводительной документации;
  • отсутствие комплексного подхода при всестороннем анализе кибер-уязвимостей;
  • выбран аудитор для проведения поэтапной проверки, у которого просрочена лицензия;
  • при заблаговременной оценке не учитывалось время на внедрение обязательных изменений.

Наши специалисты проверят выполнения требований госстандарта Р 57580.1-2017. Разработают пакет документов по корпоративной политике безопасности. Проведут тщательный предварительный или Gap-анализ, учитывая нормативные требования 684-П. Составят детальный перечень для предупреждения кибератак и несанкционированного доступа к БД. Итоговая оценка соответствия информирует клиента о степени уязвимости, а также запланированных мероприятиях по усилению сохранности корпоративных сведений. Окончательная стоимость аудита по 684-П рассчитывается индивидуально. На цену влияют объемы анализируемых сведений и количество привлеченных сотрудников.

Сроки реализации обязательств по 684-П о защите информации

Хотя нормативный акт Центробанка уже действует с июня 2019 года, отдельные требования стали актуальными с 1.01.2020 года (п. 9). Другие обязательства вступят в законную силу на протяжении следующего трехлетнего периода.

В будущем некредитным финорганизациям понадобится соблюдать такие нормы 684-П:

  • п. 5.1-5.4, 6.2, 6,3 – 1.01.2021;
  • п. 8 (первый этап) – 1.01.2022;
  • п. 8 (второй этап) – 1.01.2023.

Своевременная оценка соответствия 684-П предупредит претензии со стороны регулятора, сохранит конфиденциальные сведения, закроет бреши в ПО и утечки. Определение уровня ИБ проводится не позднее первого рабочего дня очередного года.

Оценка по 684-П: дополнительные разъяснения Центробанка

Центральный Банк информационным письмом от 30.01.2020 № ИН-014-56/4 рекомендует при применении 10 пункта положения отражать в клиентских договорах условия использования электронных способов подписания сообщений. Это относится к простым и усиленным неквалифицированным способам подтверждения транзакций, которые идентифицируют инициатора перевода активов. Статус такого способа идентификации полномочий приравнивается к собственноручным образцам личных подписей, нанесенных на бумажные носители лично сотрудниками или клиентами НФО.

Выборочный или комплексный аудит 684-П поможет оценить информационную безопасность в соответствие с ведомственными подзаконными актами ЦБ. Цена оценки соответствия по 684-П полностью окупается за счет полученного результата, направленного на снижение рисков утечки корпоративных сведений.

Наши преимущества

Стоимость

Услуга Стоимость
Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель

от 270000 руб.

Свяжитесь с нами

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Аудит по 683-П

Аудит по 683-П положения Банка России

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Положение Банка России 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее

Аудит по 672-П

Аудит положения банка России 672-П

Подробнее