Документы по Положению 684-П

Наши методологи разработали практическое пособие для некредитных финансовых организаций в целях соблюдения требований Банка России по Положению Банка России от 17.04.2019 г. №684-П.

Обзор требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций по Положению Банка России от 17.04.2019 г. №684-П

В целях противодействия осуществлению незаконных финансовых операций Банк России в Положении от 17 апреля 2019 г. №684-П (далее Положение №684-П) установил обязательные для некредитных финансовых организаций (далее НФО) требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.

Согласно Положению №684-П каждая НФО должна определить уровень защиты информации. Уровни защиты информации установлены Национальным стандартом РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 г. №822-ст) (далее ГОСТ 57580.1-2017).

Уровень защиты информации – это определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации (3.11 ГОСТ 57580.1-2017).

ГОСТ 57580.1-2017 определяет три уровня защиты информации:

  • уровень 3 - минимальный;
  • уровень 2 - стандартный;
  • уровень 1 - усиленный.

Вместе с тем, требования ЦБ к защите информации будут применяться в пять этапов.

Этапы вступления в силу Положения №684-П

1 этап – 1 июня 2019 года.

С указанной даты вступило в силу Положение №684-П, за исключение пунктов 9, 5, 6, абз. 1 п. 8, абз. 2 п. 8.

2 этап – 1 января 2020 года.

Начитается применяться пункт 9 Положения №684-П, согласно которому НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых НФО своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 08.11.2013 года №1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

По решению НФО анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

Иные НФО должны самостоятельно определять необходимость сертификации или анализа уязвимостей.

3 этап – 1 января 2021 года.

Вступают в силу пункты 5 и 6 Положения №684-П. С указанной даты защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется НФО, должна осуществляться НФО в соответствии с требованиями ГОСТ Р 57580.1-2017. Требования ГОСТ Р 57580.1-2017 должны применяться по результатам определения НФО применимого к ней в течение календарного года уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017, с соблюдением следующих требований:

1. Определение уровня защиты информации должно осуществляться ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации.

2. Требования ГОСТ Р 57580.1-2017, соответствующие усиленному уровню защиты информации, должны соблюдать:

  • центральные контрагенты,
  • центральный депозитарий.

3. Требования ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации, должны соблюдать следующие НФО:

  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей;
  • репозитарии;
  • брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц;
  • дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
  • депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым - пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П "О порядке открытия и ведения депозитариями счетов депо и иных счетов", зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
  • регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
  • управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.

4. НФО, реализующие усиленный уровень защиты информации, и НФО, реализующие стандартный уровень защиты информации, должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации требованиям ЦБ, с соблюдением следующих требований:

1. Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих соответствующую лицензию.

2. Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями ГОСТ Р 57580.2-2018.

3. Оценка определенного уровня защиты информации должна осуществляться НФО, реализующими усиленный уровень защиты информации, не реже одного раза в год, НФО, реализующими стандартный уровень защиты информации, - не реже одного раза в три года.

4 этап – 1 января 2022 года.

С указанной даты начинает применяться абзац первый пункта 8 Положения №684-П. НФО реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом "г" пункта 6.9 ГОСТ Р 57580.2-2018. Третий уровень соответствия, подразумевает организационные и технические меры процесса системы защиты информации, которые реализуются НФО в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в НФО. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации осуществляются бессистемно и/или эпизодически;

5 этап – 1 июля 2023 года.

Применяется второй абзац пункта 8 Положения №684-П. НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 ГОСТ Р 57580.2-2018. Четвертый уровень соответствия – это организационные и технические меры процесса системы защиты информации реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в НФО. В НФО в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации.