Журнал ПЛАС » Новости » Безопасность » 48 просмотров

684-П: информационная безопасность НФО под контролем Банка России

Положением 684-П Банк России требует обеспечения информационной безопасности от такой категории участников рынка, как некредитные финансовые организации (НФО). Уровень требований для разных НФО разный, но одно остается неизменным - теперь НФО будут под пристальным присмотром регулятора. Какого рода эти требования? Кому и в каком объеме их необходимо выполнять? На все эти вопросы журнал «ПЛАС» и эксперты RTM Group постараются ответить в этой статье.

17 апреля 2019 года Банк России выпустил Положение 684-П – документ, который вводит для некредитных финансовых организаций (НФО) требования по обеспечению информационной безопасности (ИБ). В рамках предыдущей концепции востребованность выполнения требований ИБ для НФО рассматривалась лишь в части персональных данных. Теперь же эти требования предъявляет сам отраслевой регулятор – ЦБ РФ.

Документ получился не очень объемным, но при этом части данного документа имеют разную дату вступления в силу. Отметим, что основная часть пунктов вступила в силу спустя чуть более месяца после момента опубликования Положения 684-П – с 01.06.2019 года – то есть уже полтора года назад. Подробнее данные требования рассмотрим ниже.

С 01.01.2020 года вступили в силу требования по анализу уязвимостей прикладного ПО, задействованного в осуществлении финансовых операций клиентов.

А с 01.01.2021 года часть организаций, попадающих под регулирование данного документа, обязаны защищать информацию в соответствии с ГОСТ 57580.1. Достижение третьего уровня соответствия требуется до 01.01.2022 года, а к 01.07.2023 года надо достичь четвертого уровня соответствия.

Организации, попадающие под регулирование, делятся документом на следующие типы:

  • реализующие усиленный уровень (п. 5.2) защиты информации (по ГОСТ 57580),
  • реализующие стандартный уровень (п. 5.3) защиты информации,
  • организации, не относящиеся к упомянутым. Для простоты назовем их прочими.

К организациям, реализующим усиленный уровень защиты информации, относятся только центральные контрагенты, центральный депозитарий.

К организациям, реализующим стандартный уровень защиты информации, относятся: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, клиринговые организации, организаторы торговли и т. д. Для некоторых видов НФО признаком отнесения к стандартному уровню является объем финансовых операций или количество клиентов.

Прочие организации перечислены в ст. 76.1 ФЗ от 10 июля 2002 г. N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Т. е. требования распространяются даже на ломбарды!

Документ содержит общие требования для всех организаций, вне зависимости от уровня защиты информации. Данные требования обобщенно сводятся к обеспечению безопасности персональных данных клиентов и сотрудников по 152-ФЗ (п.1); требования к уведомлению клиентов о способах обеспечения информационной безопасности (п.2), выполнению требований регулятора в направлении эксплуатации средств криптографической защиты информации по ПКЗ-2005 (п.3-4), а также требование по ежегодному пентесту (5.4).

Крупные организации, реализующие стандартный и усиленный уровни защиты информации, должны выполнять требования по управлению инцидентами защиты информации, включая информирование Банка России, требования к применяемым технологиям обработки защищаемой информации, требования к системе регистрации событий защиты информации и действий пользователей в информационных системах и многие другие (п.10-15).

В Положении 684-П содержатся ссылки на нормативные документы, которые ранее не имели к НФО отношения, а именно:

  • требования к проведению оценки соответствия организации ГОСТ 57580.

В общей сложности данный стандарт содержит почти 700 мер защиты информации, которые необходимо выполнять финансовой организации. По ГОСТ 57580 необходимо проводить периодическую оценку с привлечением лицензиата ФСТЭК.

  • требования к анализу уязвимостей клиентских приложений по методике, отраженной в ГОСТ 15408-3 по оценочному уровню доверия не ниже четвертого.

Сосредоточенный анализ уязвимостей прикладного программного обеспечения является достаточно долгим и трудоемким процессом, однако закрывать глаза на него нельзя т.к. это прямое требование не только 684-П, но и ГОСТ 57580. При этом, согласно комментариям Банка России, под требования по ОУД4 попадают также личные кабинеты клиентов НФО.

Руководству организаций, подпадающих под действие 684-П, необходимо обратить внимание на выполнение требований 684-П,  т. к. после опубликования данного документа начался новый этап правоотношений некредитных финансовых организаций и государственного регулятора в лице Центрального Банка. Твердость намерений Банка России подтверждается официальными письмами.

В связи с появлением регулирования, абсолютно всем некредитным финансовым организациям стоит ждать проверок регулятора так как было дано достаточно времени на подготовку. Практика сопровождения проверок Банка России показывает достаточно жесткий подход регулятора к анализу выполнения требований. В тоже время выполнение требований при грамотном подходе не является сложным – к настоящему моменту наработана практика внедрения как технологических мер, так и ГОСТ в банковском секторе. Также известны часто встречающиеся ошибки.

В любом случае, выполнение требований Положения, как технических, так и по проведению аудитов потребует выделения существенных средств – заложить их в бюджет на 2021 год просто необходимо. При этом следует отметить, что, выделяя средства на соответствие требованиям 684-П, финансовая организация выделяет средства, в первую очередь, на повышение уровня информационной безопасности. Здесь же стоит напомнить, что один из видов санкций Банка России – приостановка деятельности проверяемой организации.

Наработанная практика позволяет отметить следующие способы сэкономить денежные средства на внедрении и аудитах информационной безопасности:

    • проведение пентеста и анализа уязвимостей приложений (ОУД4) НФО может выполнять своими силами;
    • при внедрении ГОСТ 57580 ряд мер можно успешно исключать;

  • многие требования можно закрыть, всего лишь приняв несколько несложных документов (например, по определению уровня защищенности, уведомлению клиентов и т.п.);
  • работы по ГОСТ 57580 и ОУД4 (ГОСТ 15408) – длительные. Начав их заранее можно неплохо сэкономить как денег, так и нервов.

В завершение стоит отметить, что соответствие требованиям 684-П, требованиям по анализу уязвимостей программного обеспечения и ГОСТ 57580 само уже по себе является отличной рекламой вашей организации, на которую обязательно обратит внимание потенциальный партнер или клиент.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных