Шпаргалка по выполнению требований Положения 684-П

Дата: 16.03.2021. Автор: Валерий Естехин. Категории: Блоги экспертов по информационной безопасности
Шпаргалка по выполнению требований Положения 684-П

Эпиграф

“Кто-то хитрый и большой наблюдает за тобой“
слова из песни группы “Чайф“


Банк России — как неизбежное добро

В настоящий момент, когда для большинства представителей малого и среднего бизнеса единственным способом получить доход или просто выжить является сокращение затрат, самое время поговорить о том, чем НФО, по мнению Банка России, должны были заняться уже с 01.06.2019, но пока решили оттянуть этот момент до 01.07.2021 — о Положении Банка России от 17.04.2019 № 684-П, вступившим в силу с 01.06.2019 (за исключением его отдельных пунктов, для которых пунктом 19 Положения 684-П установлены иные сроки вступления в силу).

Банк России в Положении 684-П установил для некредитных финансовых организаций (далее — НФО) обязательные требования по защите информации в целях противодействия осуществлению незаконных финансовых операций.

В Положении 684-П определен перечень защищаемой информации (в пункте 1 указаны 4 вида такой информации), приведены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного программного обеспечения (далее — ПО), технологии обработки защищаемой информации (п.п. 5-15 Положения 684-П). Требования дифференцированы в зависимости от  реализации в НФО определённого уровня защиты информации.

Таким образом, нормы обеспечения информационной безопасности становятся обязательными не только для кредитных организаций, но и для НФО (все предыдущие нормативные правовые акты Банка России были посвящены регулированию уровня обеспечения информационной безопасности в кредитных финансовых организациях).

Попробуем сформулировать план мероприятий в НФО по реализации требований Положения 684-П.


1. Соотнести себя с перечнем видов организаций, относящихся к НФО

Согласно статье 76.1 Федерального закона от 10.07.2002 № 86-ФЗ (ред. от 30.12.2020) О Центральном банке Российской Федерации (Банке России) (с изм. и доп., вступ. в силу с 01.02.2021):

Некредитными финансовыми организациями в соответствии с законом признаются лица, осуществляющие следующие виды деятельности:

1) профессиональных участников рынка ценных бумаг;

2) управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

3) специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;

4) акционерных инвестиционных фондов;

5) клиринговую деятельность;

6) деятельность по осуществлению функций центрального контрагента;

7) деятельность организатора торговли;

8) деятельность центрального депозитария;

8.1) репозитарную деятельность;

9) деятельность субъектов страхового дела;

10) негосударственных пенсионных фондов;

11) микрофинансовых организаций;

12) кредитных потребительских кооперативов;

13) жилищных накопительных кооперативов;

14) бюро кредитных историй;

15) актуарную деятельность;

16) кредитных рейтинговых агентств;

17) сельскохозяйственных кредитных потребительских кооперативов;

17.1) деятельность оператора инвестиционной платформы;

18) ломбардов;

19) оператора финансовой платформы;

20) операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;

21) операторов обмена цифровых финансовых активов.


2. Ознакомиться с основными документами, которым надо соответствовать согласно Положению 684-П

1.Положение №684-П

2.ГОСТ Р 57580.1-2017

3.ГОСТ Р 57580.2-2018


3. Определить с учетом технической возможности и экономической целесообразности какой уровень защиты надо реализовывать конкретно вашему НФО: усиленный, стандартный или минимальный

Чтобы определить вам надо с особым вниманием прочитать раздел 5 Положения 684-П.

О чём там речь?

ГОСТ Р 57580.1-2017 определяет три уровня защиты информации:

— уровень 3 — минимальный;
— уровень 2 — стандартный;
— уровень 1 — усиленный. 

Согласно ГОСТ, в зависимости от уровня защиты информации применяются разные требования к организационным и технологическим мероприятиям по информационной безопасности (далее — ИБ).

В пунктах 5.2 и 5.3 Положения 684-П представлены виды НФО (перечислены явно) и показатели деятельности, реализующие усиленный или стандартный уровень защиты информации. НФО, отсутствующие в перечнях из п.п. 5.2-5.3, относятся (по умолчанию) к НФО, реализующим минимальный  уровень защиты информации по ГОСТ (но могут, при желании, замахнуться на усиленный или стандартный уровень защиты).

4, Сформулируем сначала план действий для НФО с минимальным уровнем защиты (что-то из перечисленного ниже касается и всех НФО без исключения)

Эти НФО, осуществляющие получение, подготовку, обработку, передачу, хранение защищаемой информации (из п.1 Положения 684-П) в автоматизированных системах, должны:

4.1 Самостоятельно определить реализацию уровней защиты информации в соответствии с ГОСТ Р 57580

В современных экономических условиях это, скорее всего, автоматически означает решение НФО присвоить себе минимальный уровень защиты. Пример распоряжения об этом в НФО в Приложении (ниже в конце).

4.2 Осуществлять защиту информации 4-х категорий, указанных в пункте 1 Положения 684-П

4.3 Соблюдать общие требования, изложенные в пункте 2 Положения 684-П

Для этого обеспечить доведение до сведения клиентов:

  • рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники;
  • информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
  • информации о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались финансовые операции, контролю конфигурации указанного устройства клиента и своевременному обнаружению воздействия на указанное устройство клиента вредоносного кода.

При этом, Положением 684-П способы и сроки доведения указанной информации до клиентов НФО, а также подтверждение Банку России деятельности НФО по уведомлению клиентов не регламентированы. НФО самостоятельно определяет, как информировать своих клиентов (это касается как физических лиц, так и юридических лиц).

Указанные рекомендации доводятся до клиента любым доступным НФО способом. Например:

— размещением указанной информации на сайте НФО в сети Интернет и/или на стендах в офисе НФО;

— рассылкой указанной информации по доступным электронным каналам взаимодействия (по электронной почте, по системам дистанционного банковского обслуживания и т.д.);

— размещением указанной информации в договорах с клиентами (например в  качестве приложений);

— и другими способами.

Проверять НФО по выполнению пункта 2 Положения 684-П Банк России будет в соответствие с п. 1.3 Инструкции Банка России от 24.04.2014 № 151–И “О порядке проведения проверок деятельности некредитных финансовых организаций и саморегулируемых организаций …“.

Пример информационной листовки для клиентов и работников НФО

4.4 Соблюдать общие требования, изложенные в пункте 5.1 Положения 684-П

НФО должна определять применимый уровень защиты информации (может сделать это как самостоятельно, так и, по желанию, с привлечением сторонней организации) один раз в год, ежегодно не позднее 1-ого рабочего дня календарного года.

4.5 Самостоятельно определить необходимость сертификации или анализа уязвимостей в прикладном программном обеспечении

Без комментариев.

4.6 Самостоятельно определить необходимость в проведении тестирования на проникновение

Без комментариев.

Также этим НФО (с минимальным уровнем защиты) не нужно специально фиксировать у себя инциденты, связанные с нарушением защиты информации, и уведомлять Банк России об этих инцидентах, а также уведомлять о планируемых в НФО мероприятиях в отношении этих инцидентов.

Если подытожить требования к НФО с минимальным уровнем защиты, то можно сформулировать задачу так: бросить все оставшиеся после локдауна силы на выполнение пункта 2 Положения 684-П.

Рекомендации

Включите в свои информационные материалы для клиентов информацию из раздела на сайте Банка России о способах финансового мошенничества или материалы Методических рекомендаций от 19.02.2021 № 3-МР. Можно  воспользоваться ещё информацией из раздела на сайте МВД “Внимание, мошенники!“.

Также материалы для уведомления клиентов и повышения осведомлённости своих работников вы можете надёргать здесь. Например, разработать свой корпоративный, формальный список правил поведения в социальных сетях или правила безопасности при удалённой работе.

4.7 Разработать внутренние нормативные документы по ИБ

Чтобы выполнять требования по информационной безопасности их надо где-то сформулировать. Для этого в НФО должна быть разработана Политика информационной безопасности (далее — Политика ИБ). Наличие такой политики в организации продиктовано требованиями национальных стандартов РФ, связанными с защитой информации.

Политика ИБ должна быть утверждена руководством НФО, и доведена до сведения всех сотрудников под роспись.

Возможно также потребуется внести изменения в договоры НФО с клиентами.

Дело в том, что на сайте Банка России размещено Информационное письмо от 30.01.2020 № ИН-014-56/4 о применении пункта 10 Положения 684-П. В письме Банк России рекомендует в случае, если при электронном взаимодействии используется простая электронная подпись или усиленная неквалифицированная электронная подпись, кредитным организациям, некредитным финансовым организациям следует отражать условия их использования в договорах с клиентами.

В случае, если в правилах используемых платежных систем установлены дополнительные требования к подписанию электронных сообщений при осуществлении переводов денежных средств через платежные системы, необходимо ещё руководствоваться правилами этих платежных систем.

4.8 Все НФО должны соблюдать Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных“

Если у НФО есть свой сайт, то посмотрите, например, на эти рекомендации. Кстати, недавно утверждены новые штрафы по ПДн:

Согласие клиента на обработку ПДн подразумевает:

4.9 При использовании средств криптографической защиты информации (СКЗИ) НФО должны руководствоваться требованиями федеральных законов и нормативных правовых актов РФ, перечисленными в пункте 3 Положения 684-П

СКЗИ должны использоваться в соответствии с правилами эксплуатации — это зона ответственности НФО (организациям необходимо иметь документацию на СКЗИ и следовать правилам их эксплуатации).

В случае если НФО применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности (а также разработчик СКЗИ должен иметь необходимые лицензии ФСБ).


5. Что предстоит сделать НФО, реализующим усиленный или стандартный уровень защиты информации

5.1 НФО, реализующим усиленный или стандартный уровень защиты информации, для оценки определённого уровня защиты информации необходимо привлечь стороннюю организацию, имеющую соответствующую лицензию на проведение работ и услуг

5.2 Провести с помощью сторонней организации оценку соответствия уровня защиты информации требованиям ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018 (п.5, п.6.2, п.6.3 Положения 684-П)

Также после проведения оценки сторонней организацией, такая НФО должна зафиксировать установленный уровень защиты информации (усиленный, стандартный) в своих внутренних документах.

Как пояснил Банк России, разрабатывать свою методику расчета показателей для соответствия ГОСТ 57580 в НФО не требуется.

5.3 Обеспечить хранение отчетов, составленных сторонней организацией по результатам оценки определенного уровня защиты информации не менее 5 лет (п.7 Положения 684-П)

Печально об этом говорить, но оценку уровня защиты информации (несмотря на все отсрочки по надзору со стороны регулятора) необходимо было провести до вступления в силу п.5 Положения 684-П (т.е. до 01.01.2021).

Уведомлять Банк России об установленном уровне защиты в НФО не требуется.

В дальнейшем проводить оценку соответствия уровня защиты информации по требованиям ГОСТ 57580: для НФО с усиленным уровнем защиты – ежегодно, для НФО со стандартным уровнем защиты – не реже 1 раза в 3 года.

После проведения оценки сторонней организацией уровня защиты информации по требованиям ГОСТ от НФО, скорее всего, потребуется увеличение операционных затрат на техническое и кадровое обеспечение, так как предстоит значительный объем работы по приведению систем информационной безопасности в соответствие с требованиями Положения 684-П.

5.4 Сертифицировать либо провести анализ уязвимостей прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам, а также ПО, обрабатывающего защищаемую информацию по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4

5.5 Провести тестирование объектов информационной защиты на предмет проникновений и анализа уязвимостей информационной безопасности и объектов инфраструктуры (п.5.4 Положения 684-П)

5.6 С 1 января 2022 г. по 30 июня 2023 г. включительно обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом г пункта 6.9 ГОСТ Р 57580.2-2018 (п.8 Положения 684-П)

5.7 С 1 июля 2023 обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом д пункта 6.9 ГОСТ Р 57580.2-2018 (п.8 Положения 684-П)

5.8 Организовать подписание электронных сообщений способом, позволяющим обеспечить их целостность и возможность подтверждения отправителя (п.10 Положения 684-П)

Если вы спросите регулятора, что понимать под обеспечением целостности (неизменности) электронных сообщений, то вам, скорее всего, ответят таким образом, что часть ответа будет содержать формулировку из определения простой электронной подписи в 63-ФЗ Об электронной подписи (пункт 2 статьи 5): способами, позволяющими обеспечить целостность (неизменность) электронных сообщений и подтвердить их составление уполномоченным на это лицом могут являться: электронная подпись, аналоги собственноручной подписи, коды, пароли и иные средства, а реализация выбора способов подписания возлагается на сами НФО и зависит от анализа рисков. От такого ответа легче точно никому не станет.  

5.9 Обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации (п.11 Положения 684-П)

С Признаками осуществления перевода денежных средств без согласия клиента можно ознакомиться на сайте Банка России.

5.10 Регистрировать действия работников НФО и клиентов, выполняемые с использованием автоматизированных систем (п.12 Положения 684-П)

5.11 Регистрировать инциденты, связанные с нарушением требований к обеспечению ИБ (п.13 Положения 684-П)

5.12 Хранить информацию о финансовых операциях, о регистрации данных, об инцидентах ИБ (п.14 Положения 684-П)

5.13 Информировать Банк России о выявленных инцидентах защиты информации и о планируемых мероприятиях в отношении инцидентов ИБ (п.15 Положения 684-П)

Перечень типов инцидентов, а также порядок и сроки информирования Банка России о выявленных инцидентах защиты информации определены в Стандарте Банка России СТО БР БФБО-1.5-2018.


На что ещё обратить внимание.

Сроки вступления в силу отдельных пунктов Положения 684-П

В пункте 5 Положения 684-П установлена обязанность определить и с 01.01.2021 выполнять требования, соответствующие уровням защиты информации. Пункт 9 Положения 684-П вступает в силу с 01.01.2020. Пункты 5 и 6 Положения 684-П вступают в силу с 01.01.2021. Абзац 1 пункта 8  Положения 684-П вступает в силу с 01.01.2022 и действует до 30.06.2023. Абзац 2 пункта 8 Положения 684-П вступает в силу с 01.07.2023.

Исходя из перечисленного, все требования Положения 684–П (за исключением пункта 8) должны выполняться с 01.01.2021.

Положение 684-П не распространяется на отношения, регулируемые Федеральным законом от 26. 07. 2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры РФ“.


Хронология активностей со стороны Банка России, связанных с Положением 684-П

Информационное письмо 31.12.2019 № ИН-014-56/106 О реализации некредитными финансовыми организациями требований Положения Банка России № 684-П“.

В своём письме Банк России разъясняет, что Положением № 684-П установлены среди прочего требования к обеспечению некредитными финансовыми организациями защиты информации при осуществлении деятельности в сфере финансовых рынков в отношении:

— используемого некредитной финансовой организацией программного обеспечения и приложений (пункт 9 Положения № 684-П);

— способов подписания некредитной финансовой организацией (ее уполномоченными лицами) электронных сообщений (пункт 10 Положения № 684-П);

— технологии обработки защищаемой информации, указанной в абзацах 2 – 4 пункта 1 Положения № 684-П (пункт 11 Положения № 684-П).

Принимая во внимание, что для реализации предусмотренных пунктами 9–11 Положения № 684-П требований некредитным финансовым организациям необходимо провести комплекс организационных и технологических мероприятий, Банк России считает целесообразным применять к некредитным финансовым организациям меры за несоблюдение указанных требований с 1 июля 2020 года. 

Но грянула пандемия и Банк России вынуждено сдвинул срок неизбежного наказания до 1 июля 2021 года.

Об этом сообщалось в Информационном письме от 14.05.2020 № ИН-014-56/88 о неприменении мер в связи с коронавирусной инфекцией (СOVID-19).

Про Информационное письмо от 30.01.2020 № ИН-014-56/4 говорилось ранее.

На сайте Банка России также можно ознакомиться с «Методическим документом «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций».


Теперь о том, что Банк России начал выпускать свои нормативные акты с такой скоростью, что на ознакомление с ними требуется больше времени, чем они действуют

Вы только собирались встать на путь исполнения требований Положения 684-П, а Банком России уже готовятся изменения в Положение 684-П и в ноябре 2020 года опубликован Проект новой редакции Положения 684-П (далее – проект Положения).

Основными отличиями проекта Положения от действующего 684-П являются:

— Расширение перечня некредитных финансовых организаций, попадающих под сферу действия Положения. Добавились: операторы инвестиционных платформ; операторы финансовых платформ; операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; операторы обмена цифровых активов.

— Уточнены показатели отнесения некредитных финансовых организаций к организациям, которые обязаны реализовать усиленный и стандартный уровни защиты информации.

— Добавлены некредитные финансовые организации, которым необходимо реализовывать минимальный уровень защиты информации.

— Скорректировано требование по сертификации прикладного программного обеспечения на наличие уязвимостей/недекларированных возможностей или проведению анализа уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4. Теперь сертификацию необходимо будет проводить на соответствие Требованиям к уровням доверия, либо проводить полную оценку соответствия по требованиям к ОУД не ниже, чем ОУД 4.

— Уточнены нормативные акты, соответствие которым необходимо, в случае применения некредитной финансовой организацией ЕБС (единой биометрической системы — подробнее тут) и ЕСИА (Единой системы идентификации и аутентификации).


Справочный материал по теме

На сайте naufor.ru можно ознакомиться с ответами Департамента информационной безопасности (ДИБ) Банка России на вопросы по порядку применения Положения 684-П, содержащиеся в письме от НАУФОР (Национальная ассоциация участников фондового рынка (НАУФОР) — некоммерческая саморегулируемая организация на российском финансовом рынке).

Вопросов масса, а ответы ДИБ очень напоминают игру-головоломку. Вы спрашиваете относится ли то-то к тому-то, так вам ДИБ отвечает: к тому-то относится всё, что написано в пункте таком-то (но мы потому-то и спрашиваем, что то, что написано в таком-то пункте, нам непонятно).

На сайте РМЦ (Российский микрофинансовый центр) на коммерческой основе можно приобрести Комплект форм документов по Положению 684-П.

На сайте RTM Group можно ознакомиться с основными ошибками при внедрении 684-П в организациях, исходя из аудиторской практики компании RTM Group.

На сайте “Инжиниринговый центр “Региональные системы“ наглядно в графическом виде представлены этапы работ по реализации требований Положения 684-П.

Приложение. Пример распоряжения для НФО с минимальным уровнем защиты информации

Распоряжение


  __ _______ 202_ г. № __


О реализации уровней защиты информации
в соответствии с ГОСТ Р 57580.1-2017


В целях противодействия осуществлению незаконных финансовых операций и защиты информации при осуществлении деятельности организации в сфере финансовых рынков, а также учитывая требования Положения Банка России от 17.04.2019 № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций“ (в ред. от <…>)


распоряжаюсь:


1. Создать Рабочую группу по реализации уровней защиты информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах организации в следующем составе:

Руководитель рабочей группы

Члены рабочей группы


2. Рабочей группе:

2.1. В срок до __ ________ 202__ г. представить для утверждения присвоенный уровень защиты информации, соответствующий требованиям Положения Банка России № 684-П и национального стандарта РФ ГОСТ Р 57580.1-2017.

2.2. На ежегодной основе не позднее первого рабочего дня календарного года подготавливать предложения по реализации уровней защиты информации в организации.

3. Руководителям структурных подразделений оказывать содействие Рабочей группе.


Руководитель организации

В.В. Естехин. Словарь русского языка




Источник — Блог Валерия Естехина «ИБ. Взгляд снизу. Путеводитель по миру корпоративных тревог безопасника по ИБ (16+)».

Валерий Естехин

Об авторе Валерий Естехин

Персональный блог содержит информацию, которая отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения. Если вы ссылаетесь на материалы блога, то хорошей практикой будет согласование такого упоминания с автором (для СМИ это должно быть нормой). В любом случае при ссылке на информацию из этого блога не стоит указывать мою должность и моего работодателя - это личный блог автора.
Читать все записи автора Валерий Естехин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *