#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Обзор Положения 683-П

Положение 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» утверждено Банком России 17.04.2019 г.

Требования 683-П распространяются на кредитные организации, при этом согласно п. 3 Положения:

  • системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации;
  • все остальные кредитные организации должны реализовывать стандартный уровень защиты информации.

Положение 683-П и ГОСТ 57580

Согласно Положению 683-П, оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".

Согласно п. 9.2 Положения кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ 57580.2-2018 с 1 января 2021 года, уровень соответствия не ниже четвертого в соответствии с ГОСТ 57580.2-2018 – с 1 января 2023 года. Кроме того, кредитные организации должны обеспечить проведение тестирования на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры на ежегодной основе, в соответствии с п. 3.2 Положения.

В соответствии с Положением 683-П, требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:

  • требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций;
  • требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
  • требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;
  • иные требования к обеспечению защиты информации при осуществлении банковской деятельности (к применяемым СКЗИ, доведению информации до клиентов, регистрации инцидентов защиты информации, проведению оценки соответствия).

683-П и ОУД 4

Нововведением данного Положения стали требования к обеспечению использования для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» сертифицированных в системе сертификации ФСТЭК на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Компоненты доверия к безопасности». В отличие от Положения Банка России № 382-П от 09.06.2012 г., в котором требование проведения анализа уязвимостей по ОУД 4 определено в отношении только прикладного программного обеспечения автоматизированных систем и приложений, используемых для осуществления переводов денежных средств, данное Положение требует проведение анализа уязвимостей по ОУД 4 для автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет»  для осуществления всех банковских операций.

Кто может проводить оценку соответствия 683-П?

Согласно п. 9 Положения кредитные организации должны обеспечить проведение оценки соответствия с привлечением сторонней организации, обладающей лицензией ФСТЭК, не реже одного раза в два года.

Автор статьи: Царев Евгений

    Требуется консультация по данному вопросу?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    *

    Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.