Оценка уровня информационной безопасности предприятия и организации по 757-П (684-П)

Положение Банка России №757-П на замену 684-П

25 июня 2021 года Центробанк опубликовал Положение Банка России № 757-П от 20 апреля 2021 г. «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Положение ЦБ РФ № 757-П вступает в силу по истечении 10 дней после дня его официального публикования.

Со дня вступления в силу Положения 757-П отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П.

Обзор Положения 684-П по определению уровня информационной безопасности

В соответствии с Положением 684-П, НФО обязаны определить уровень защиты, учитывая сферу коммерческой деятельности и другие разъяснения Центробанка. В тексте документа содержатся требования по применению СКЗИ, защите ПДн, а также ссылки на смежные предписания регулятора, официальные нормативы и госстандарты.

Положение 684-П предписывает НФО:

• разработать рекомендации по снижению рисков проникновения и установке антивирусных приложений;
• регистрировать и передавать регулятору сведения, связанные с серьезными нарушениями конфиденциальности платежей;
• применять технологию обработки защищаемой информации на технологических участках, при формировании или подготовке, приеме-передаче ЭС, идентификации клиента и осуществлении финансовой операции;
• включать регистрацию действий собственных работников, чтобы удостовериться в соблюдении требований;
• анализировать уязвимости прикладного ПО, приведя в соответствие с усиленным либо стандартным уровнем защиты;
• реализовать мероприятия по недопущению раскрытия сведений из документов о выполненных транзакциях или авторизации инициаторов финопераций;
• использовать электронные криптографические инструменты, которые соответствуют нормативным требованиям ГОСТ Р 57580.1-2017.

Положение 684-П ЦБ РФ от 17.04.2019 вступило в законную силу 1.06.2019 после официальной публикации. Торговым, клиринговым или страховым компаниям, негосударственным фондам страхования пенсионных вкладов, управляющим, дилерам и регистраторам потребуются стандартные защитные мероприятия. Специализированные депозитарии, брокерские агентства и репозитарии относятся к этой категории некредитных финорганизаций. На центральных контрагентов и депозитариев распространяется усиленный уровень ИБ, как это прописано в положении Банка России N 684-П и ГОСТ Р 57580.

Информация, которая подпадает под действие 684-П, согласно разъяснениям Банка России:

• электронные сообщения о результатах финансовых операций, выполненных сотрудниками НФО или клиентами;
• средства авторизации, удостоверяющие права распоряжения материальными и нематериальными активами, ценными бумагами;
• криптографические ключи для выполнения финопераций штатным персоналом или клиентами;
• корпоративные сведения, информирующие о проведении безналичных расчетов или взаимозачетов.

Если в перечне отсутствует наименование некредитного учреждения, то регулятор рекомендует ознакомиться с дополнительным списком, опубликованным в положении 684-П ЦБ РФ. Внедрять защитные меры ИБ придется ломбардам, актуариям, потребительским кредитным кооперативам, микрофинансовым компаниям, брокерам и отдельным категориям финсубъектов, подпадающих под стандартный уровень защиты. Для последних существуют особые обстоятельства, условия которых свидетельствуют о необходимости соблюдать требования 684-П ЦБ РФ. Такие НФО не подпадают под определенный уровень защищенности, но должны выполнять обязательства из пунктов 1-4, 5 и 9, самостоятельно определять необходимость анализа уязвимостей и ОУД4. Внешнее оценивание по ГОСТ Р 57580.2-2018 не потребуется.

Где заказать оценку соответствия по 757-П?

Для того чтобы заказать оценку соответствия по 757-П, потребуется обратиться в лицензированную организацию. Специалисты компании Literafort уполномочены проводить независимую многоуровневую оценку ИБ, независимо от статуса предприятия и финансовой специализации. Вначале наши эксперты проанализируют и опишут защищаемую информационную среду, выявят уязвимости в информационной инфраструктуре, прикладном либо системном ПО. Предоставят заказчику рекомендации по улучшению антивирусной защиты, работоспособности криптографических ключей для электронных подписей, требуемому уровню защищенности, в согласии с постановлением 757-П.

Распространенные ошибки при самостоятельном внедрении требований 757-П:

• некорректное определение обязательств;
• выборочное применение нормативных документов;
• несвоевременность выполнения мероприятий по оцениванию;
• неполный комплект технической или сопроводительной документации;
• отсутствие комплексного подхода при всестороннем анализе кибер-уязвимостей;
• выбран аудитор для проведения поэтапной проверки, у которого просрочена лицензия;
• при заблаговременной оценке не учитывалось время на внедрение обязательных изменений.

Наши специалисты проверят выполнения требований госстандарта Р 57580.1-2017. Разработают пакет документов по корпоративной политике безопасности. Проведут тщательный предварительный или Gap-анализ, учитывая нормативные требования 757-П. На основании пентеста составят детальный перечень для предупреждения кибератак и несанкционированного доступа к БД. Итоговая оценка соответствия информирует клиента о степени уязвимости, а также запланированных мероприятиях по усилению сохранности корпоративных сведений. Окончательная стоимость аудита по 757-П рассчитывается индивидуально. На цену влияют объемы анализируемых сведений и количество привлеченных сотрудников.

Сроки реализации обязательств по 684-П о защите информации

Хотя нормативный акт Центробанка уже действует с июня 2019 года, отдельные требования стали актуальными с 1.01.2020 года (п. 9). Другие обязательства вступят в законную силу на протяжении следующего трехлетнего периода.

В будущем некредитным финорганизациям понадобится соблюдать такие нормы 684-П:

• п. 5.1-5.4, 6.2, 6,3 – 1.01.2021;
• п. 8 (первый этап) – 1.01.2022;
• п. 8 (второй этап) – 1.01.2023.

Своевременная оценка соответствия 684-П предупредит претензии со стороны регулятора, сохранит конфиденциальные сведения, закроет бреши в ПО и утечки. Определение уровня ИБ проводится не позднее первого рабочего дня очередного года.

Оценка по 684-П: дополнительные разъяснения Центробанка

Центральный Банк информационным письмом от 30.01.2020 № ИН-014-56/4 рекомендует при применении 10 пункта положения отражать в клиентских договорах условия использования электронных способов подписания сообщений. Это относится к простым и усиленным неквалифицированным способам подтверждения транзакций, которые идентифицируют инициатора перевода активов. Статус такого способа идентификации полномочий приравнивается к собственноручным образцам личных подписей, нанесенных на бумажные носители лично сотрудниками или клиентами НФО.

Выборочный или комплексный аудит 757-П поможет оценить информационную безопасность в соответствие с ведомственными подзаконными актами ЦБ. Цена оценки соответствия по 757-П полностью окупается за счет полученного результата, направленного на снижение рисков утечки корпоративных сведений.