ПОЛОЖЕНИЕ №684-П. ПЛАН МЕРОПРИЯТИЙ ПО РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ЦЕНТРОБАНКА

Положение №684-П. План мероприятий по реализации требований Центробанка.
В выпущенном Положении №684-П Центробанк установил обязательные требования по защите информации для некредитных финансовых организаций. Данные требования различаются в зависимости от уровня защиты информации.

Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций. В одном из наших материалов мы постарались систематизировать и показать в более доступном виде информацию из положений №683-П и №684-П. В этом материалы мы рассмотрим положение №684-П, а именно типовой план мероприятий по реализации положения Центробанка. Для вашего удобства мы систематизировали всю информацию в табличном виде. Документы, которые вам могут пригодится:
ЭтапМероприятиеЧто делать?ОснованиеСроки/
периодичность
Примечание
1Определение уровня защиты некредитной финансовой организации.
Определить уровень защиты некредитной финансовой организации:
  • усиленный уровень защиты;
  • стандартный уровень защиты;
  • не соответствует усиленному и стандартному уровню защиты.
Усиленный уровень защиты:
  • центральные контрагенты;
  • центральный депозитарий.
Стандартный уровень защиты:
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые; организации
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению;
  • репозитарии;
  • брокеры;
  • дилеры;
  • депозитарии (в том числе расчетные депозитарии);
  • регистраторы;
  • управляющие.
п. 5.1 – 5.3 Положения №684-П
Де-юре – с 1 января 2021 года.
Де-факто – в кратчайшие сроки!
Периодичность – ежегодно не позднее первого рабочего дня календарного года.

Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации.
Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка!
2Оценка текущего уровня соответствия требованиям ЦБНеобходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для:
1. Финансового планирования расходов на модернизацию системы защиты;
2. Планирования ресурсов для своевременного исполнения требований ЦБ.
Письмо ЦБ № 56-3-3/551 от 12.09.2019 г.Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ.
Не зависимо от уровня защиты
3Разработка рекомендаций по защите информации
Разработать рекомендации по информированию клиентов о мероприятиях по защите информации:
  • о рисках несанкционированного доступа, в том числе при утрате (потере, хищении) устройств, при осуществлении финансовых операций;
  • по антивирусной защите (своевременному обнаружению воздействия вредоносного кода).
п.2Вступило в силу
4Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источникахРегистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источникахп.13, п. 15Вступило в силу.
5Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений
Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы.
Для остальных организаций необходимо самостоятельно определить потребность в данных услугах.
п. 9С 1 января 2020 г.
Для какого ПО необходим анализ уязвимостей?
Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац)
По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации
6Сертификация прочего ПОВ отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимостип. 9С 1 января 2020 г.
7Защита информации
Осуществлять защиту:
  • всех документов (в т.ч. сведения о транзакциях), составляемых при осуществлении финансовых операций;
  • информации, необходимой для авторизации клиентов;
  • информации о финансовых операциях;
  • ключевой информации СКЗИ, при работе с клиентами.
В т.ч. должна обеспечиваться целостность данной информации.
8Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ
Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись.
Необходимо обеспечить выполнение требований технической документации на СКЗИ
п.3 (абзацы 1,2,5,6), п.11Вступило в силуНевозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом».
Для усиленного и стандартного уровней защиты
9Анализ уязвимостей ПО ДБО по ОУД 4Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4.п.9С 1 января 2020 г.
Для какого ПО необходимо анализ уязвимостей?
Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац)
По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации
10Оценка соответствия требованиям ГОСТ Р 57580.1-2017.Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018п.5, п.6.2, п.6.3
С 1 января 2021 г.
Усиленный уровень защиты – ежегодно.
Стандартный уровень защиты – не реже 1 раза в 3 года.

Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций!
Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7)
11ПентестПровести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры.п.5.4
С 1 января 2021 г.
Проводить систематически
12Модернизация системы защиты информации (1 этап)Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом “г” пункта 6.9 ГОСТ Р 57580.2-2018п.8С 1 января 2022 г. и действует по 30 июня 2023 г. включительно.
13Модернизация системы защиты информации (2 этап)Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом “д” пункта 6.9 ГОСТ Р 57580.2-2018.п.8С 1 июля 2023 г.
684-П Центробанк РФ
Alt text