Оценка уровня информационной безопасности предприятия и организации по 684-П

Аудит по 684-П

Центральный банк издал Положение 684-П, которое обязывает некредитные финансовые организации (НФО) поэтапно внедрять специальные меры по информационной защите. Этот ведомственный нормативно-правовой акт регулирует вопросы безопасности и надежной сохранности клиентской информации с целью предупреждения несанкционированного доступа или хакерских атак.

Заказать услуги по оценке соответствия по 684-П

Обзор Положения 684-П по определению уровня информационной безопасности

В соответствии с Положением 684-П, НФО обязаны определить уровень защиты, учитывая сферу коммерческой деятельности и другие разъяснения Центробанка. В тексте документа содержатся требования по применению СКЗИ, защите ПДн, а также ссылки на смежные предписания регулятора, официальные нормативы и госстандарты.

Положение 684-П предписывает НФО:

  • разработать рекомендации по снижению рисков проникновения и установке антивирусных приложений;
  • регистрировать и передавать регулятору сведения, связанные с серьезными нарушениями конфиденциальности платежей;
  • применять технологию обработки защищаемой информации на технологических участках, при формировании или подготовке, приеме-передаче ЭС, идентификации клиента и осуществлении финансовой операции;
  • включать регистрацию действий собственных работников, чтобы удостовериться в соблюдении требований;
  • анализировать уязвимости прикладного ПО, приведя в соответствие с усиленным либо стандартным уровнем защиты;
  • реализовать мероприятия по недопущению раскрытия сведений из документов о выполненных транзакциях или авторизации инициаторов финопераций;
  • использовать электронные криптографические инструменты, которые соответствуют нормативным требованиям ГОСТ Р 57580.1-2017.

Положение 684-П ЦБ РФ от 17.04.2019 вступило в законную силу 1.06.2019 после официальной публикации. Торговым, клиринговым или страховым компаниям, негосударственным фондам страхования пенсионных вкладов, управляющим, дилерам и регистраторам потребуются стандартные защитные мероприятия. Специализированные депозитарии, брокерские агентства и репозитарии относятся к этой категории некредитных финорганизаций. На центральных контрагентов и депозитариев распространяется усиленный уровень ИБ, как это прописано в положении Банка России N 684-П и ГОСТ Р 57580.

Информация, которая подпадает под действие 684-П, согласно разъяснениям Банка России:

  • электронные сообщения о результатах финансовых операций, выполненных сотрудниками НФО или клиентами;
  • средства авторизации, удостоверяющие права распоряжения материальными и нематериальными активами, ценными бумагами;
  • криптографические ключи для выполнения финопераций штатным персоналом или клиентами;
  • корпоративные сведения, информирующие о проведении безналичных расчетов или взаимозачетов.

Если в перечне отсутствует наименование некредитного учреждения, то регулятор рекомендует ознакомиться с дополнительным списком, опубликованным в положении 684-П ЦБ РФ. Внедрять защитные меры ИБ придется ломбардам, актуариям, потребительским кредитным кооперативам, микрофинансовым компаниям, брокерам и отдельным категориям финсубъектов, подпадающих под стандартный уровень защиты. Для последних существуют особые обстоятельства, условия которых свидетельствуют о необходимости соблюдать требования 684-П ЦБ РФ. Такие НФО не подпадают под определенный уровень защищенности, но должны выполнять обязательства из пунктов 1-4, 5 и 9, самостоятельно определять необходимость анализа уязвимостей и ОУД4. Внешнее оценивание по ГОСТ Р 57580.2-2018 не потребуется.

Где заказать оценку соответствия по 684-П?

Для того чтобы заказать оценку соответствия по 684-П, потребуется обратиться в лицензированную организацию. Специалисты компании Literafort уполномочены проводить независимую многоуровневую оценку ИБ, независимо от статуса предприятия и финансовой специализации. Вначале наши эксперты проанализируют и опишут защищаемую информационную среду, выявят уязвимости в информационной инфраструктуре, прикладном либо системном ПО. Предоставят заказчику рекомендации по улучшению антивирусной защиты, работоспособности криптографических ключей для электронных подписей, требуемому уровню защищенности, в согласии с постановлением 684-П.

Распространенные ошибки при самостоятельном внедрении требований 684-П:

  • некорректное определение обязательств;
  • выборочное применение нормативных документов;
  • несвоевременность выполнения мероприятий по оцениванию;
  • неполный комплект технической или сопроводительной документации;
  • отсутствие комплексного подхода при всестороннем анализе кибер-уязвимостей;
  • выбран аудитор для проведения поэтапной проверки, у которого просрочена лицензия;
  • при заблаговременной оценке не учитывалось время на внедрение обязательных изменений.

Наши специалисты проверят выполнения требований госстандарта Р 57580.1-2017. Разработают пакет документов по корпоративной политике безопасности. Проведут тщательный предварительный или Gap-анализ, учитывая нормативные требования 684-П. На основании пентеста составят детальный перечень для предупреждения кибератак и несанкционированного доступа к БД. Итоговая оценка соответствия информирует клиента о степени уязвимости, а также запланированных мероприятиях по усилению сохранности корпоративных сведений. Окончательная стоимость аудита по 684-П рассчитывается индивидуально. На цену влияют объемы анализируемых сведений и количество привлеченных сотрудников.

Сроки реализации обязательств по 684-П о защите информации

Хотя нормативный акт Центробанка уже действует с июня 2019 года, отдельные требования стали актуальными с 1.01.2020 года (п. 9). Другие обязательства вступят в законную силу на протяжении следующего трехлетнего периода.

В будущем некредитным финорганизациям понадобится соблюдать такие нормы 684-П:

  • п. 5.1-5.4, 6.2, 6,3 – 1.01.2021;
  • п. 8 (первый этап) – 1.01.2022;
  • п. 8 (второй этап) – 1.01.2023.

Своевременная оценка соответствия 684-П предупредит претензии со стороны регулятора, сохранит конфиденциальные сведения, закроет бреши в ПО и утечки. Определение уровня ИБ проводится не позднее первого рабочего дня очередного года.

Оценка по 684-П: дополнительные разъяснения Центробанка

Центральный Банк информационным письмом от 30.01.2020 № ИН-014-56/4 рекомендует при применении 10 пункта положения отражать в клиентских договорах условия использования электронных способов подписания сообщений. Это относится к простым и усиленным неквалифицированным способам подтверждения транзакций, которые идентифицируют инициатора перевода активов. Статус такого способа идентификации полномочий приравнивается к собственноручным образцам личных подписей, нанесенных на бумажные носители лично сотрудниками или клиентами НФО.

Выборочный или комплексный аудит 684-П поможет оценить информационную безопасность в соответствие с ведомственными подзаконными актами ЦБ. Цена оценки соответствия по 684-П полностью окупается за счет полученного результата, направленного на снижение рисков утечки корпоративных сведений.

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Наши преимущества

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективные сроки

Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

Стоимость по оценке соответствия по 684-П

Услуга Стоимость
Консультация

бесплатно

Оценка соответствия по 683-П (без ОУД4) - от 6 недель

от 270000 руб.

Свяжитесь с нами


    Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Услуги для Вас

    Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Подробнее

    ГОСТ Р 57580

    Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

    Подробнее

    Оценка соответствия по 683-П

    Оценка соответствия требованиям Положения Банка России №683-П

    Подробнее

    Пентест (pentest)

    Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

    Подробнее

    Оценка соответствия по 382-П

    Положение Банка России № 382-П: требования, аудит и оценка соответствия

    Подробнее

    Оценка соответствия по 672-П (747-П)

    Оценка соответствия требованиям Положения Банка России №672-П (747-П)

    Подробнее