Положение №684-П. План мероприятий по реализации требований Центробанка.

В выпущенном Положении №684-П Центробанк установил обязательные требования по защите информации для некредитных финансовых организаций. Данные требования различаются в зависимости от уровня защиты информации.

Положение №684-П является ключевым документом со стороны государства для регулирования вопросов информационной безопасности и защиты информации в финансовом секторе, в частности для некредитных финансовых организаций. В одном из наших материалов мы постарались систематизировать и показать в более доступном виде информацию из положений №683-П и №684-П. В этом материалы мы рассмотрим положение №684-П, а именно типовой план мероприятий по реализации положения Центробанка. Для вашего удобства мы систематизировали всю информацию в табличном виде. Документы, которые вам могут пригодится:

• Положение №684-П
• ГОСТ Р 57580.1-2017
• ГОСТ Р 57580.2-2018
  

Этап	Мероприятие	Что делать?	Основание	Сроки/ периодичность	Примечание
1	Определение уровня защиты некредитной финансовой организации.	Определить уровень защиты некредитной финансовой организации: усиленный уровень защиты; стандартный уровень защиты; не соответствует усиленному и стандартному уровню защиты. Усиленный уровень защиты: центральные контрагенты; центральный депозитарий. Стандартный уровень защиты: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; клиринговые организации; организаторы торговли; страховые; организации негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию; негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению; репозитарии; брокеры; дилеры; депозитарии (в том числе расчетные депозитарии); регистраторы; управляющие.	п. 5.1 – 5.3 Положения №684-П	Де-юре – с 1 января 2021 года. Де-факто – в кратчайшие сроки! Периодичность – ежегодно не позднее первого рабочего дня календарного года.	Определение уровня защиты согласно Положению 684-П достаточно простая операция, но результат сильно влияет на объем затрат при реализации системы защиты информации. Рекомендуем выполнить этот пункт в кратчайшие сроки, чтобы быть готовыми к внезапным инициативам Центробанка!
2	Оценка текущего уровня соответствия требованиям ЦБ	Необходимо оценить уровень соответствия требованиям ГОСТ Р 57580.1-2017. Этот этап необходим для: 1. Финансового планирования расходов на модернизацию системы защиты; 2. Планирования ресурсов для своевременного исполнения требований ЦБ.	Письмо ЦБ № 56-3-3/551 от 12.09.2019 г.		Даже если Вы не получали Письмо ЦБ № 56-3-3/551 рекомендуем Вам выполнить экспресс-аудит для своевременного исполнения требований ЦБ.
Не зависимо от уровня защиты
3	Разработка рекомендаций по защите информации	Разработать рекомендации по информированию клиентов о мероприятиях по защите информации: о рисках несанкционированного доступа, в том числе при утрате (потере, хищении) устройств, при осуществлении финансовых операций; по антивирусной защите (своевременному обнаружению воздействия вредоносного кода).	п.2	Вступило в силу
4	Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках	Регистрация и предоставление информации об инцидентах в Банк России, в т.ч. размещение в публичных источниках	п.13, п. 15	Вступило в силу.
5	Сертификация либо проведение анализа уязвимостей прикладного программного обеспечения и клиентских приложений	Для усиленных и стандартных уровней защиты см. п. 9 настоящей таблицы. Для остальных организаций необходимо самостоятельно определить потребность в данных услугах.	п. 9	С 1 января 2020 г.	Для какого ПО необходим анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением сторонней организации
6	Сертификация прочего ПО	В отношении программного обеспечения и приложений, которые не указаны в пункте 5 настоящей таблицы (и первого абзаца п. 9 Положения) необходимо определить необходимость сертификации или анализа уязвимости	п. 9	С 1 января 2020 г.
7	Защита информации	Осуществлять защиту: всех документов (в т.ч. сведения о транзакциях), составляемых при осуществлении финансовых операций; информации, необходимой для авторизации клиентов; информации о финансовых операциях; ключевой информации СКЗИ, при работе с клиентами. В т.ч. должна обеспечиваться целостность данной информации.
8	Приведение эксплуатации СКЗИ в соответствии правовыми актами РФ	Необходимо внедрение СКЗИ, обеспечивавших усиленную квалифицированную электронную подпись или усиленную неквалифицированную электронную подпись. Необходимо обеспечить выполнение требований технической документации на СКЗИ	п.3 (абзацы 1,2,5,6), п.11	Вступило в силу	Невозможно использовать простую электронную подпись, т.к. необходимо обеспечить «подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом».
Для усиленного и стандартного уровней защиты
9	Анализ уязвимостей ПО ДБО по ОУД 4	Провести анализ уязвимостей прикладного программного обеспечения (ПО) автоматизированных систем и приложений, распространяемых клиентам, а также ПО обрабатывающего защищаемую информацию из п.7 настоящей таблицы по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4.	п.9	С 1 января 2020 г.	Для какого ПО необходимо анализ уязвимостей? Прикладное программное обеспечение автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использование сети Интернет. (п.9, первый абзац) По решению некредитной финансовой организации анализ уязвимостей в прикладном ПО и клиентских приложений можно проводить с привлечением проверяющей организации
10	Оценка соответствия требованиям ГОСТ Р 57580.1-2017.	Проводить оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018	п.5, п.6.2, п.6.3	С 1 января 2021 г. Усиленный уровень защиты – ежегодно. Стандартный уровень защиты – не реже 1 раза в 3 года.	Оценка уровня соответствия должна проводиться с привлечением сторонних лицензированных организаций! Обеспечить хранение отчетов, составленных проверяющей организацией по результатам оценки определенного уровня защиты информации не менее 5 лет. (п.7)
11	Пентест	Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры.	п.5.4	С 1 января 2021 г. Проводить систематически
12	Модернизация системы защиты информации (1 этап)	Обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом “г” пункта 6.9 ГОСТ Р 57580.2-2018	п.8	С 1 января 2022 г. и действует по 30 июня 2023 г. включительно.
13	Модернизация системы защиты информации (2 этап)	Обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом “д” пункта 6.9 ГОСТ Р 57580.2-2018.	п.8	С 1 июля 2023 г.