Сравнение 757-П ЦБ РФ и утратившего силу 684-П

Подготовили короткое сравнение Положений 757-П и 684-П.

Зеленое — для Минимальных, Стандартных и Усиленных

Синее — Для Стандартных и Усиленных

Желтое — для Минимального

Белое (без особенных пометок) — для ВСЕХ

Номер пункта	Что добавилось или изменилось
1.4.1	Определять УЗИ нужно не позднее десятого рабочего дня в году
Кому соответствовать Усиленному УЗИ
1.4.2	Добавились «регистраторы финансовых транзакций» (с 01.01.2022)
Кому соответствовать Стандартному УЗИ
1.4.3	Для специализированных депозитариев ИФ, ПИФ и НПФ размер активов увеличен до 1 триллиона рублей
	Добавились репозитарии, не являющиеся регистраторами финансовых транзакций
	Для брокеров, дилеров, управляющих, депозитариев и регистраторов добавилось условие
	Брокеры, дилеры, управляющие, депозитарии и регистраторы, определенные в абзаце 10, пп.2.1.11 Положения 481-П: на лицензиатов, которые вне зависимости от фактических значений показателей деятельности на постоянной основе соблюдают лицензионные требования и условия, установленные подпунктами 2.1.1 - 2.1.9, 2.1.12 настоящего пункта, пунктами 2.2 - 2.7 настоящего Положения в отношении лицензиатов, определивших годовой диапазон, соответствующий графе 5 приложения к настоящему Положению. (пп. 2.1.11 введен Указанием Банка России от 17.12.2018 N 5013-У)
	Добавились (с 01.01.2022): оператор инвестиционной платформы (2-4 квартал более 100к лиц обслужили); оператор финансовой платформы (2-4 квартал более 100к лиц обслужили); оператор информационных систем, которые выпускают ЦФА (2-4 квартал более 25к лиц обслужили); оператор обмена ЦФА (2-4 квартал более 25к лиц обслужили)
Минимальный УЗИ (с 01.07.2022)
1.4.4	Специализированные депозитарии инвестиционных фондов (ИФ), паевых ИФ и остальных НПФ, ранее не указанных; Брокеры, дилеры, управляющие, депозитарии и регистраторы, не попадающие в п.1.4.3; Управляющие компании ИФ, паевых ИФ и НПФ; Форекс-дилеры; Операторы финансовой платформы, не указанные в п.1.4.3; Операторы информационных систем, выпускающих ЦФА, не указанные в п.1.4.3; Оператор обмена ЦФА, не указанный в п.1.4.3; Страховые, не указанные в п.1.4.3; Общества взаимного страхования; Страховые брокеры;
1.4.5	При проведении пентестов: В случае выявления уязвимостей ИБ, НФО (стандартный и усиленный) должны устранять такие уязвимости в соответствии с установленными в ОРД правилами (порядок, сроки), которые регламентируют процедуры нейтрализации угроз
1.8	Теперь нужно проводить оценку соответствия по требованиям к ОУД.4. Для усиленного: в случае сертификации ПО должны обеспечить сертификацию не ниже 4 уровня доверия (приказ ФСТЭК № 76 от 2.06.2020) Для стандартного – не ниже 5 уровня доверия
1.9	Добавились требования о применении мер защиты по использованию УКЭП, УЭП или иных СКЗИ, реализующих функцию имитозащиты. Такие меры не применяются в случае, если используются выделенные сегменты вычислительных сетей И такие меры определены как НЕактуальные в модели угроз
1.10.2	Технология обработки информации на стороне клиентов должна обеспечивать: При использовании ЕИС ПДн (в том числе биометрии) соответствовать требованиям Приказа ФСТЭК № 21; При использовании ЕСИА – соответствовать требованиям Приказа Минкомсвязи № 210
1.10.5	Добавилось требование о реализации механизма подтверждения принадлежности клиенту адреса @ почты, на которую направляются уведомления о фин.операциях
1.13	Был п.2 684-П, в котором было требование по отношению ко всем НФО. Сейчас требование действует только для НФО, соответствующих минимальному, стандартному и усиленному
	Добавилось условие: перечень типов инцидентов согласуется с ФОИВ и размещается на сайте БР. НФО должны информировать БР о принятых мерах и мероприятиях по реагированию на инцидент. НФО должны информировать БР об используемых сайтах, необходимых для деятельности в сфере фин. Рынков. Информирование должно осуществляться через АС или техническую инфраструктуру БР (если такое невозможно, то НФО предоставляют в БО сведения через резервный способ взаимодействия)
Глава 2 (для операторов финансовой платформы, регистратора финансовых транзакций) с 01.01.2022
2.1	Расширен список защищаемой информации (дополнение к основному в п.1.1)
2.2	Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10
2.3	Указанные НФО должны обеспечивать подписание электронных сообщений, в том числе договоров, соглашений об ЭДО и иных документов, способом, обеспечивающим целостность документов и подтвердить их составление в соответствии с требованиями п.1.9 – должны применять УКЭП, УЭП
Глава 3 (ОИС, выпускающие ЦФА, оператор обмена ЦФА) с 01.01.2022
3.1	Расширился список защищаемой информации в дополнении к п.1.1
3.2	Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10
3.3	Требования, как дополнение к 3.2, к защите на основе распределенного реестра: анализ трафика между узлами, блокирование потенциально опасных записей в ИС, применение СКЗИ, применение МЭ и прочее (абзац 4 вступает в силу с 01.01.2024)
Глава 4
4.1	Если НФО выбрала более высокий УЗИ, то в течении 9 месяцев обеспечивает его соответствие (так и было)
4.2.	При совмещении деятельностей по двум УЗИ, обеспечивается соответствие более высокому (так и было)
4.3	Добавилось, что если используются объекты КИИ, то нужно соответствовать 187-ФЗ

Аналитика: Артем Алтухов

Автор статьи: Царев Евгений

Смотреть все статьи Смотреть комментарии

Вам будет интересно

Array ( [ID] => 10206 [post_author] => 3879 [post_date] => 2019-12-31 15:14:04 [post_date_gmt] => 2019-12-31 12:14:04 [post_content] =>

Проведение аудита системы защиты информации по ГОСТ Р 57580 осуществляется в соответствии с методикой, которая изложена в стандарте ГОСТ Р 57580.2-2018.

На территории РФ ГОСТы, по умолчанию, являются рекомендательными. Тем не менее, обязательность их применения определятся законом, подзаконным актом или ведомственным документом регулирующего органа. В нашем случае регулятором является Банк России.

Регулятор выпустил документы 382-П, 684-П, 683-П, которые прошли Минюст, и именно в документах содержатся прямые ссылки на ГОСТ. Соответственно, де-факто ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 стали обязательными. Кроме того, применительно к единой биометрической системе имется 321 приказ Минкомсвязи, который также содержит ссылки на ГОСТ.

Для проведения оценки соответствия по ГОСТ 57580 необходимо привлекать стороннюю организацию, имеющую лицензию на техническую защиту конфиденциальной информации, причем данная организация должна соответствовать определению проверяющей организации (по ГОСТу):

3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).

Таким образом, аудитор, проводящий оценку не должен в момент проведения оценки оказывать услуги по защите информации, внедрять или сопровождать какие-либо системы по защите информации в проверяемой организации.

Ключевые положения ГОСТ 57580

Любая финансовая организация имеет определенные риски во время проведения денежных операций. Злоумышленники способны завладеть конфиденциальными данными, что может привести не только к подрыву репутации организации, но и нарушить стабильное функционирование банка. Основные задачи проведения оценки по ГОСТ 57580 заключаются в том, чтобы минимизировать финансовые риски.

В соответствии с настоящим стандартом определяется 3 уровня защищенности:

минимальный;
стандартный;
усиленный.

Применение того или иного уровня определятся ведомственными документами ЦБ. Основные требования защиты информации устанавливаются на основе оценивания следующих критериев: деятельность финансовой организации, объем финансовых операций, национальная платежная система и размер компании.

Для большинства банков и некредитных финансовых организаций определен - стандартный уровень защищенности.

Цена оценки приведения в соответствие ГОСТ 57580 также напрямую связана с указанными параметрами.

Как осуществляется процесс проведения оценки соответствия?

Процесс оценки достаточно объемный и трудоемкий. Ключевые особенности в ходе аудита выглядят следующим образом.

Взаимодействие с заказчиком
Оценка применения и полноты реализации мер
Согласование итоговой оценки с заказчиком

Основные свидетельства, которые используются для оценивания состояния системы защиты информации – это документы, результаты наблюдений и данные, предоставляемые в ходе взаимодействия с организацией.

В случае, когда невозможно обеспечить техническую реализацию требования по защите информации, могут приниматься компенсирующие меры. Задача заключается в том, чтобы обеспечить безопасность данных.

Оформление отчета по результатам аудита по ГОСТ Р 57580

В соответствии с установленным стандартом, в отчет входит следующая информация:

Область оценки
Результаты и заключение оценки
Копии предоставленных свидетельств

Помимо этого, в отчете указывается краткое описание проведенных работ.

Требования

В стандарте ГОСТ Р 57580 говорится о том, что должна осуществляться полноценная защита информации в направлениях:

обеспечения защиты при управлении доступом;
обеспечения защиты вычислительных сетей;
контроля целостности и защищенности информационной инфраструктуры;
защиты от вредоносного кода;
предотвращения утечек информации;
управления инцидентами;
защиты среды виртуализации;
защиты при удаленном доступе с использованием мобильных устройств.

Применительно к оценке единой биометрической системы по ГОСТу 57580 исключаются направления по мобильным устройствам (ибо существующие решения не обладают соответствующим функционалом).

Под объектом информатизации финансовой компании понимается совокупность ресурсов и объектов доступа, систем и средств обработки данных, включая АС. Описывать границы оценивания необходимо в виде списка ресурсов и объектов доступа. В соответствии с требованиями, к объектам относятся.

Автоматизированные рабочие места;
Сетевые устройства;
СКУД;
Аппаратные модули безопасности;
Серверные устройства;
Оборудование печати и копирования данных;
Системы хранения данных;
Общедоступные объекты (банкоматы, платежные терминалы).

Под ресурсами принято понимать:

Базы данных;
Сетевые ресурсы;
Виртуальные машины;
АС;
Почтовые сервисы;
Web-сервисы;
Ресурсы доступа к данным.

Финансовая компания во время аудита должна предоставить полноценную информацию проверяющей стороне.

Это одно из нововведений, т.к. в оценках по старым критериям, таким как СТО БР ИББС или 382-П такого положения не было. И в результате нельзя было однозначно установить был ли факт обмана со стороны аудитора или это проверяемая организация дала "неправильные" свидетельства.

Важно, что компания-аудитор самостоятельно принимает решение по поводу проверки объектов и ресурсов, выборки среди них необходимых для проведения аудита.

Особое внимание в процессе проведения выборки уделяется качеству имеющейся информации. Если проверяемая сторона предоставила неточные сведения, то это негативно отразится на проверке, что может дискредитировать всю оценку.

Заказать оценку соответствия ГОСТ Р 57580 вы можете прямо сейчас. Все что от вас требуется – это позвонить по указанному номеру телефона или отправить сообщение в форме обратной связи.

[post_title] => Оценка соответствия ГОСТ 57580 [post_excerpt] => При проведении оценки выполнения требования защиты информации в соответствии с ГОСТ 57580 необходимо определять объекты информационной инфраструктуры, в том числе автоматизированные системы в соответствии с требованиями Центрального банка РФ. [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => gost-57580 [to_ping] => [pinged] => [post_modified] => 2022-01-11 17:30:32 [post_modified_gmt] => 2022-01-11 14:30:32 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10206 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10206 )

Оценка соответствия ГОСТ 57580

Array ( [ID] => 10132 [post_author] => 3879 [post_date] => 2019-12-25 15:23:50 [post_date_gmt] => 2019-12-25 12:23:50 [post_content] =>

В связи с активным включением пентеста в нормативку и общую практику обеспечения ИБ в российских компаниях, полезно разобраться с предметом тщательно.

Для начала разберемся, что такое пентест (пентестинг).

Penetration testing – это тестирование на проникновение. Если говорить проще, то это вариант поиска, изучения и эксплуатации разного рода уязвимостей в сфере кибербезопасности той или иной организации. Услугу регулярно заказывают самые разные компании независимо от сферы деятельности.

Определение так себе. Но суть верная - пентестер ищет уязвимости и эксплуатирует.

Задача пентестера – исследовать сайты, веб-приложения, сетевые сервисы и службы, СУБД, сетевое оборудование, протоколы сетевой модели OSI, средства защиты данных, прикладное программное обеспечение (ПО), пользовательские и серверные операционные системы, прочее.

Тестирование позволяет оперативно и точно найти уязвимые и в целом слабые места системы безопасности предприятия, которыми при желании и наличии достаточного опыта могут воспользоваться злоумышленники. Притом не только на виртуальном, но и на физическом уровне (отдельная тема). А учитывая, что новые уязвимости появляются постоянно, проводить такое тестирование нужно регулярно. Для финансовых организаций – не реже одного раза в год.

Требования на законодательном уровне и на уровне регулирования

Важно! На законодательном уровне регулирования нет

Более того, до сих пор нет четких правил оформления данных работ. Теоретически реакция правоохранительной системы может быть любой.

Серьезный всплеск интереса к услуге тестирования на проникновение произошел после принятия в 2018 году поправок к:

Положение Банка России от 09.06.2012 N 382-П (ред. от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

382-П зарегистрирован в Минюсте (что важно) и обязателен для большого количества финансовых организаций. Сейчас на замену 382-П пришло положение 719-П.

На этом регулятор не остановился, аналогичные требования по проведению пентеста были распространены (по положению 684-П, а сейчас 757-П) и на некредитные финансовые организации.

Кроме того, фин. организации должны выполнять аудит информационной безопасности и сертификацию используемого в работе ПО (но это отдельная история).

Итак,

Требования по пентесту для финансовых компаний

Банки и НФО должны проводить тест на проникновение не реже раза в год.

И все. Методик, уточнений, четких определений и даже описаний состава работ - нет.

Расходы на проведение тестирования на проникновение ложатся на плечи самих банков и НФО. Но цена несоизмеримо ниже тех финансовых потерь, которые может понести организация из-за действий злоумышленников или претензий со стороны регуляторов. О ценах позже.

Законность пентеста

Статьи 272, 273, 274 УК РФ, по-другому, хакерские статьи, появились в уголовном кодексе в те времена, когда пентест как услуга применялся крайне редко. Широкую популярность пентест завоевал только в последние годы. Сегодня тестирование на проникновение воспринимается не как экзотика, а как один из самых эффективных элементов обеспечения информационной безопасности.

28-я глава Уголовного кодекса появилась более 20 лет назад. В то время любая хакерская деятельность воспринималась как вредоносная. Поэтому сначала текст статей, а потом и судебная практика формировались исходя их понимания, что "хакерство - это плохо". Статьи сформулированы таким образом, что например, разработка вредоносного ПО - преступление само по себе, равно как и использование такого ПО. Хотя очевидно, что пентест с такими ограничениями невозможен.

Ситуацию исправило появление Постановления Пленума Верховного Суда РФ от 15.12.2022 N 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет". После рассмотрения предложений поступивших из ФСБ России было уточнено, что не образует состава преступления разработка и применение инструментов пентеста при наличие согласия собственника информационной системы.

Виды пентестов

Традиционно пентестинг начинается с техники, специалисты по безопасности проводят анализ, обнаруживают и эксплуатируют уязвимости программного обеспечения и/или оборудования. При этом делается все возможное, чтобы действия специалистов никоим образом не нарушили работу банковской структуры. Также применяют инструменты ручного и автоматического тестирования. Все этапы и способы тестирования, как правило, предварительно оговариваются со службой информационной безопасности предприятия. Позже обсудим Read Teaming.
Также используются тесты, основанные на методах социальной инженерии. Специалисты проверяют, насколько сотрудники осведомлены в вопросах инфобезопасности, знают ли они, как выявить угрозу и как действовать в такой ситуации. К сожалению, сегодня во многих банках уровень осведомленности сотрудников в вопросах информационной безопасности довольно невысокий. Есть примеры, когда персонал нарушает свою инструкцию напрямую, или просто не знают или не имеют таковой. Открывают сомнительные зараженные электронные письма, скачивают файлы из неизвестных источников, выдают данные по телефону и прочее. Как следствие, злоумышленники получают доступ к конфиденциальной информации. Данная информация может пригодиться команде по пентесту в дальнейшей работе по развитию атаки.
Многие исследователи отдельно выделяют социотехнические пентесты, совмещающие в себе принципы двух предыдущих. С их помощью специалисты могут обнаружить самые вероятные уязвимости и направления атак злоумышленников.

Итого, тесты на проникновение делятся на несколько категорий:

Внешний пентест без учетных или с учетными данными клиента;
Внутренний пентест без учетных или с учетными данными пользователя;
Внутренний пентест с данными администратора (странный вариант, но имеет место на рынке).

Вариативность состава услуги пентеста очень большая и зависит от:

Насколько пентестер информирован об используемых средствах защиты, аппаратном/программном обеспечении клиента, сетевой инфраструктуре компании?
Какие средства для атаки может использовать?
Разрешено ли эксплуатировать уязвимости и какие?
Требуется ли согласование действий с представителем атакуемой организации?
Каковы сроки и бюджет проекта?

и многое другое.

Кто может проводить пентест?

Вопрос можно разделить на 2 части:

У кого есть право проводить пентесты? Ответ на данный вопрос - не регулируется. Формально - кто угодно.

Кому доверяют свою инфраструктуру в действительности? Опытным и авторитетным компаниям со значительным опытом и хорошими отзывами на рынке. Лучшая репутация - сарафанное радио.

Сроки и ожидаемые результаты пентестинга

Возвращаясь к финансовым компаниям. Требования ЦБ не устанавливают четкие временные рамки проведения пентестинга. Они сильно зависят от особенностей банковской структуры, ее объемов, уровня кибербезопасности и киберустойчивости в настоящий момент, количества сотрудников и других параметров. Тем не менее, стандартные сроки такие:

от 1 до 10 дней на сбор информации;
от 1 до 5 дней на подготовку к тестированию;
1-10 дней на эксплуатацию уязвимостей;
до 5 дней на подготовку отчета;
до 10 дней на обсуждение результатов пентеста с заказчиком;

В зависимости от проводимых мероприятий сроки тоже могут отличаться. Поэтому нужно заблаговременно обсуждать все аспекты с представителем компании, которая проводит тесты на проникновение. Так вы сможете лучше спланировать работу. Хотя грамотный подход никоим образом не нарушает рабочий процесс банковской структуры и не препятствует нормальной трудовой деятельности персонала.

По результатам проведенного тестирования клиент получает исчерпывающий отчет, в котором содержится следующая информация:

список проведенных тестов;
перечень обнаруженных уязвимостей;
описание того, какие способы эксплуатации уязвимостей применялись и какие результаты проверки получены;
сведения по протоколу действий службы реагирования;
рекомендации для устранения обнаруженных уязвимостей.

Любой банк России может запросить услугу проведения penetration testing и получить комплексные услуги в полном соответствии с требованиями российского законодательства. Я рекомендую следовать нормам не только закона, но и практики, а также верно оценивать риски по оформлению работ. Нормальные компании - исполнители, умеют оформлять работы по договору.

Важно проводить тестирования регулярно, так как новые уязвимости появляются постоянно, а защититься от них на сто процентов без привлечения специалистов невозможно. Побеспокойтесь о защите конфиденциальных данных и, что не менее важно, средствах своих клиентов уже сейчас. Закажите тестирование на проникновение своего банковского учреждения или предприятия.

Стоимость услуг по пентесту

На западе цена пентеста начинается от 9-13 тысяч долларов.

В России в зависимости от состава услуг цены на пентест могут начинаться от 150 - 200 тысяч рублей. Максимальная цена контракта, о которой мне известно 36 миллионов рублей. При этом нужно понимать, что более или менее адекватной ценой за пентест можно считать сумму от 700 тысяч рублей до 2-3 миллионов рублей, опять же зависит от состава и объема работ.

[post_title] => Пентест (pentest). Обзор требований и цен в России 2023 [post_excerpt] => Внешний пентест без учетных или с учетными данными клиента; Внутренний пентест без учетных или с учетными данными пользователя; Внутренний пентест с данными администратора (странный вариант, но имеет место на рынке). [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => pentest [to_ping] => [pinged] => [post_modified] => 2023-01-20 10:25:16 [post_modified_gmt] => 2023-01-20 07:25:16 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10132 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 5 [robotsmeta] => [pod_item_id] => 10132 )

Пентест (pentest). Обзор требований и цен в России 2023

Array ( [ID] => 10398 [post_author] => 3879 [post_date] => 2021-05-04 16:29:14 [post_date_gmt] => 2021-05-04 13:29:14 [post_content] =>

Банк России выпустил Положение №684-П, которое устанавливает обязательные для выполнения требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков для некредитных финансовых организаций. Кто такие некредитные финансовые организации? Согласно 86-ФЗ некредитными финансовыми организациями (далее – НФО) признаются профессиональные участники рынка ценных бумаг, негосударственные пенсионные фонды, ломбарды, микрофинансовые организации и т.д. (все виды деятельности НФО определены в ст. 76.1 86-ФЗ).

Введение уровней защиты информации для НФО

Для типов НФО вводятся уровни защиты информации в соответствии с ГОСТ Р 57580.1 – усиленный, стандартный, а также выделяются организации, которые не реализуют указанные уровни защиты информации.

В п. 5.2 Положения 684-П определяются НФО, реализующие усиленный уровень защиты информации – это центральные контрагенты, центральный депозитарий.

В п. 5.3 определены НФО, которые реализуют стандартный уровень защиты информации (клиринговые организации, организаторы торговли, репозитарии и пр.).

Определение уровня защиты информации производится ежегодно не позднее первого рабочего дня календарного года. Если по каким-либо причинам уровень защиты информации в НФО не определен, то можно обратиться за помощью в определении уровня к организациям, которые специализируются на оказании услуг данного типа. Мы имеем довольно большой опыт работы с НФО, поэтому можно смело обращаться к нам за помощью.

Общие требования к НФО

После определения уровня, с требованиями Положения становится ясно, какие пункты Положения выполнять обязательно, а какие по решению самой организации. Однако стоит начать с проведения аудита по общим требованиям положения (даже если организация не реализует усиленный или стандартный уровни). Основные направления требований можно кратко описать следующим образом:

определяется информация, которую необходимо защищать: электронные сообщения, осуществленные НФО и их клиентами финансовые операции, криптографические ключи (подробно описано в п. 1)
если защищаемая информация содержит персональные данные, то защищать их необходимо в соответствии со 152-ФЗ (к слову, это достаточно большой объем требований, который необходимо выполнять, поэтому среди наших услуг можно найти аудит на соответствие 152-ФЗ);
НФО обязаны доводить до клиентов возможные риски возникновения несанкционированного доступа (НСД) с целью осуществления финансовых операций без согласия клиента, а также доводить информацию о мерах защиты от НСД;
если для защиты информации применяются средства криптографической защиты информации (СКЗИ), то необходимо выполнять требования технической документации СКЗИ, а также 63-ФЗ, 152-ФЗ, ПП-1119, Положения ПКЗ-2005, Приказ ФСБ №378.

Требования 684-П к НФО, реализующим усиленный или стандартный уровень защиты информации

Помимо требований, указанных выше, к НФО, реализующим усиленный или стандартный уровень защиты информации, предъявляются дополнительные требования, основные из которых:

проведение тестирования на проникновение и анализа уязвимостей (пентесты должны проводиться ежегодно, так как в ГОСТ 57580.1, который необходимо выполнять, есть требование о периодичности проведения тестирования);
проведение оценки соответствия ГОСТ 57580.1 обязательно с привлечением организации, имеющей лицензию на техническую защиту конфиденциальной информации (проверяющая организация);
для НФО с усиленным уровнем защиты информации оценка соответствия проводится не реже одного раза в год;
для НФО, реализующих стандартный уровень защиты информации, оценка проводится не реже одного раза в три года;
с 1 января 2022 года уровень соответствия должен быть не ниже третьего (выше 0,7);
с 1 июля 2023 года уровень соответствия должен быть не ниже четвертого (выше 0,85);
подписание электронных сообщений с целью обеспечения их целостности;
реализация технологических мер защиты информации;
регистрация событий и инцидентов защиты информации;
информирование Банка России о выявленных инцидентах защиты информации.

Стоит отметить, что пункты, связанные с проведением оценки соответствия, уже вступили в силу. То есть, если соответствие третьему уровню необходимо обеспечивать с 1 января 2022 года – это не значит, что и оценку нужно проводить с 2022 года. Приведение в соответствие и оценка – работа, которая может потребовать достаточно большое количество времени, поэтому лучше об этом позаботиться заранее.

Также стоит обратить внимание на требование, связанное с использованием ПО, сертифицированного в системе сертификации ФСТЭК или в отношении которого проведен анализ уязвимостей по требованиям ОУД 4. Для НФО, реализующих усиленный и стандартный уровень защиты информации, данное требование является обязательным. А для НФО, не попадающих под указанные уровни защиты, необходимо самостоятельно принять решение о необходимости использования такого ПО. Какое ПО попадает под это требование? Это прикладное ПО автоматизированных систем и приложений:

которое распространяется клиентам для совершения действий в целях осуществления финансовой операции;
которое обрабатывает защищаемую информацию при приеме электронных сообщений к исполнению с использованием сети Интернет.

Кто может проводить оценку соответствия 684-П?

Работы, связанные с проведением тестирования на проникновение, оценкой соответствия ГОСТ, проведения анализа уязвимостей по требованиям ОУД 4 в рамках выполнения требований Положения 684-П, требуют большого опыта работы с НФО в части знания бизнес-процессов и инфраструктуры организаций, а также требуют обладания рядом компетенций в области информационной технологий, информационной безопасности и юридической сфере.

[post_title] => Обзор Положения 684-П [post_excerpt] => Банк России выпустил Положение №684-П, которое устанавливает обязательные для выполнения требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков для некредитных финансовых организаций. [post_status] => publish [comment_status] => open [ping_status] => closed [post_password] => [post_name] => 684-p [to_ping] => [pinged] => [post_modified] => 2022-01-11 17:20:59 [post_modified_gmt] => 2022-01-11 14:20:59 [post_content_filtered] => [post_parent] => 0 [guid] => https://tsarev.biz/?post_type=articles&p=10398 [menu_order] => 0 [post_type] => articles [post_mime_type] => [comment_count] => 0 [robotsmeta] => [pod_item_id] => 10398 )

Обзор Положения 684-П

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.