684-П: информационная безопасность НФО под контролем Банка России
17 апреля 2019 года Банк России выпустил Положение 684-П – документ, который вводит для некредитных финансовых организаций (НФО) требования по обеспечению информационной безопасности (ИБ). В рамках предыдущей концепции востребованность выполнения требований ИБ для НФО рассматривалась лишь в части персональных данных. Теперь же эти требования предъявляет сам отраслевой регулятор – ЦБ РФ.
Документ получился не очень объемным, но при этом части данного документа имеют разную дату вступления в силу. Отметим, что основная часть пунктов вступила в силу спустя чуть более месяца после момента опубликования Положения 684-П – с 01.06.2019 года – то есть уже полтора года назад. Подробнее данные требования рассмотрим ниже.
С 01.01.2020 года вступили в силу требования по анализу уязвимостей прикладного ПО, задействованного в осуществлении финансовых операций клиентов.
А с 01.01.2021 года часть организаций, попадающих под регулирование данного документа, обязаны защищать информацию в соответствии с ГОСТ 57580.1. Достижение третьего уровня соответствия требуется до 01.01.2022 года, а к 01.07.2023 года надо достичь четвертого уровня соответствия.
Организации, попадающие под регулирование, делятся документом на следующие типы:
- реализующие усиленный уровень (п. 5.2) защиты информации (по ГОСТ 57580),
- реализующие стандартный уровень (п. 5.3) защиты информации,
- организации, не относящиеся к упомянутым. Для простоты назовем их прочими.
К организациям, реализующим усиленный уровень защиты информации, относятся только центральные контрагенты, центральный депозитарий.
К организациям, реализующим стандартный уровень защиты информации, относятся: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли и т. д. Для некоторых видов НФО признаком отнесения к стандартному уровню является объем финансовых операций или количество клиентов.
Прочие организации перечислены в ст. 76.1 ФЗ от 10 июля 2002 г. N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Т. е. требования распространяются даже на ломбарды!
Документ содержит общие требования для всех организаций, вне зависимости от уровня защиты информации. Данные требования обобщенно сводятся к обеспечению безопасности персональных данных клиентов и сотрудников по 152-ФЗ (п.1); требования к уведомлению клиентов о способах обеспечения информационной безопасности (п.2), выполнению требований регулятора в направлении эксплуатации средств криптографической защиты информации по ПКЗ-2005 (п.3-4), а также требование по ежегодному пентесту (5.4).
Крупные организации, реализующие стандартный и усиленный уровни защиты информации, должны выполнять требования по управлению инцидентами защиты информации, включая информирование Банка России, требования к применяемым технологиям обработки защищаемой информации, требования к системе регистрации событий защиты информации и действий пользователей в информационных системах и многие другие (п.10-15).
В Положении 684-П содержатся ссылки на нормативные документы, которые ранее не имели к НФО отношения, а именно:
- требования к проведению оценки соответствия организации ГОСТ 57580.
В общей сложности данный стандарт содержит почти 700 мер защиты информации, которые необходимо выполнять финансовой организации. По ГОСТ 57580 необходимо проводить периодическую оценку с привлечением лицензиата ФСТЭК.
- требования к анализу уязвимостей клиентских приложений по методике, отраженной в ГОСТ 15408-3 по оценочному уровню доверия не ниже четвертого.
Сосредоточенный анализ уязвимостей прикладного программного обеспечения является достаточно долгим и трудоемким процессом, однако закрывать глаза на него нельзя т.к. это прямое требование не только 684-П, но и ГОСТ 57580. При этом, согласно комментариям Банка России, под требования по ОУД4 попадают также личные кабинеты клиентов НФО.
Руководству организаций, подпадающих под действие 684-П, необходимо обратить внимание на выполнение требований 684-П, т. к. после опубликования данного документа начался новый этап правоотношений некредитных финансовых организаций и государственного регулятора в лице Центрального Банка. Твердость намерений Банка России подтверждается официальными письмами.
В связи с появлением регулирования, абсолютно всем некредитным финансовым организациям стоит ждать проверок регулятора так как было дано достаточно времени на подготовку. Практика сопровождения проверок Банка России показывает достаточно жесткий подход регулятора к анализу выполнения требований. В тоже время выполнение требований при грамотном подходе не является сложным – к настоящему моменту наработана практика внедрения как технологических мер, так и ГОСТ в банковском секторе. Также известны часто встречающиеся ошибки.
В любом случае, выполнение требований Положения, как технических, так и по проведению аудитов потребует выделения существенных средств – заложить их в бюджет на 2021 год просто необходимо. При этом следует отметить, что, выделяя средства на соответствие требованиям 684-П, финансовая организация выделяет средства, в первую очередь, на повышение уровня информационной безопасности. Здесь же стоит напомнить, что один из видов санкций Банка России – приостановка деятельности проверяемой организации.
Наработанная практика позволяет отметить следующие способы сэкономить денежные средства на внедрении и аудитах информационной безопасности:
- проведение пентеста и анализа уязвимостей приложений (ОУД4) НФО может выполнять своими силами;
- при внедрении ГОСТ 57580 ряд мер можно успешно исключать;
- многие требования можно закрыть, всего лишь приняв несколько несложных документов (например, по определению уровня защищенности, уведомлению клиентов и т.п.);
- работы по ГОСТ 57580 и ОУД4 (ГОСТ 15408) – длительные. Начав их заранее можно неплохо сэкономить как денег, так и нервов.
В завершение стоит отметить, что соответствие требованиям 684-П, требованиям по анализу уязвимостей программного обеспечения и ГОСТ 57580 само уже по себе является отличной рекламой вашей организации, на которую обязательно обратит внимание потенциальный партнер или клиент.