Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций.
Этап | Мероприятие | Что делать? | Основание | Сроки/ периодичность | Примечание |
---|---|---|---|---|---|
1 | Определение уровня защиты некредитной финансовой организации. | Определить уровень защиты некредитной финансовой организации:
| п. 5.1 – 5.3 Положения №684-П | Де-юре – с 1 января 2021 года. Де-факто – в кратчайшие сроки! Периодичность – ежегодно не позднее первого рабочего дня календарного года. | Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации. Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка! |
2 | Оценка текущего уровня соответствия требованиям ЦБ | Необходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для: 1. Финансового планирования расходов на модернизацию системы защиты; 2. Планирования ресурсов для своевременного исполнения требований ЦБ. | Письмо ЦБ № 56-3-3/551 от 12.09.2019 г. | Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ. | |
Не зависимо от уровня защиты | |||||
3 | Разработка рекомендаций по защите информации | Разработать рекомендации по информированию клиентов о мероприятиях по защите информации:
| п.2 | Вступило в силу | |
4 | Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках | Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках | п.13, п. 15 | Вступило в силу. | |
5 | Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений | Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы. Для остальных организаций необходимо самостоятельно определить потребность в данных услугах. | п. 9 | С 1 января 2020 г. | Для какого ПО необходим анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации |
6 | Сертификация прочего ПО | В отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимости | п. 9 | С 1 января 2020 г. | |
7 | Защита информации | Осуществлять защиту:
| |||
8 | Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ | Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись. Необходимо обеспечить выполнение требований технической документации на СКЗИ | п.3 (абзацы 1,2,5,6), п.11 | Вступило в силу | Невозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом». |
Для усиленного и стандартного уровней защиты | |||||
9 | Анализ уязвимостей ПО ДБО по ОУД 4 | Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. | п.9 | С 1 января 2020 г. | Для какого ПО необходимо анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации |
10 | Оценка соответствия требованиям ГОСТ Р 57580.1-2017. | Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 | п.5, п.6.2, п.6.3 | С 1 января 2021 г. Усиленный уровень защиты – ежегодно. Стандартный уровень защиты – не реже 1 раза в 3 года. | Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций! Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7) |
11 | Пентест | Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры. | п.5.4 | С 1 января 2021 г. Проводить систематически | |
12 | Модернизация системы защиты информации (1 этап) | Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом “г” пункта 6.9 ГОСТ Р 57580.2-2018 | п.8 | С 1 января 2022 г. и действует по 30 июня 2023 г. включительно. | |
13 | Модернизация системы защиты информации (2 этап) | Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом “д” пункта 6.9 ГОСТ Р 57580.2-2018. | п.8 | С 1 июля 2023 г. |