Расположением 684-П Банк РФ требует снабжения справочной безопасности от подобной категории профессионалов, как некредитные экономические компании (НФО). Уровень условий для различных НФО различный, а одно остается прежним — отныне НФО будут под изучающим глазом регулятора. Какого семейства эти условия? Кому и в котором размере их нужно делать? На все эти вопросы журнал «ПЛАС» и специалисты RTM Group попытаются ответить в данной публикации, подробнее на https://plusworld.ru/journal/2021/plus-1-2021/684-p-informatsionnaya-bezopasnost-nfo-pod-kontrolem-banka-rossii/.

17 мая 2019 года Банк РФ произвел Положение 684-П – документ, который вводит для некредитных экономических организаций (НФО) условия по снабжению справочной безопасности (ИБ). В масштабах прошлой концепции востребованность проведения условий ИБ для НФО рассматривалась только в части индивидуальных данных. Сегодня же эти условия предъявляет сам отраслевой стабилизатор – ЦБ РФ. Документ вышел не масштабным, а при этом части этого документа имеют различную дату входа в силу. Стоит отметить, что главная часть пунктов вошла в силу спустя немного не менее месяца после этапа опубликования Расположения 684-П – с 01.06.2019 года – другими словами полтора месяца назад. Более подробно данные условия разберем ниже. С 01.01.2020 года вошли в силу условия по разбору уязвимостей практического ПО, задействованного в совершении экономических операций заказчиков. А с 01.01.2021 года часть организаций, попадающих под управление этого документа, должны сохранять информацию в соответствии с ГОСТ 57580.1. Завоевание 3-го значения соответствия требуется до 01.01.2022 года, а к 01.07.2023 года нужно добиться 4-го значения соответствия. Компании, попадающие под управление, делятся документом на следующие виды:

реализующие повышенный уровень (п. 5.2) обороны информации (по ГОСТ 57580),
реализующие обычный уровень (п. 5.3) обороны информации,
компании, не которые относятся к перечисленным. Для простоты представим их иными.

К компаниям, реализующим повышенный уровень обороны информации, относятся лишь главные контрагенты, главный хранитель. К компаниям, реализующим обычный уровень обороны информации, относятся: специальные депозитарии финансовых фондов, паевых финансовых фондов и негосударственных пенсионных фондов, клиринговые компании, учредители торговли и т. д. Для определенных типов НФО свойством отнесения к типичному уровню считается размер экономических операций либо число заказчиков. Остальные компании перечислены в ст. 76.1 ФЗ от 10 августа 2002 г. N 86-ФЗ «О Главном банке России (Банке РФ)». Т. е. условия идут даже на ломбарды! Документ имеет совместные условия для всех организаций, независимо от значения обороны информации. Данные условия обобщенно объединяются к снабжению безопасности индивидуальных данных заказчиков и служащих по 152-ФЗ (п.1); условия к извещению заказчиков о методах снабжения справочной безопасности (п.2), исполнению условий регулятора в направлении работы средств шифровальной обороны информации по ПКЗ-2005 (п.3-4), и условие по ежемесячному пентесту (5.4). Большие компании, реализующие обычный и повышенный значения обороны информации, должны делать условия по управлению происшествиями обороны информации, включая уведомление Банка РФ, условия к использующимся технологиям обработки обороняемой информации, условия к системе регистрации происшествий обороны информации и действий клиентов в справочных системах и другие (п.10-15). В Расположении 684-П присутствуют ссылки на нормативные бумаги, которые раньше не имели к НФО отношения, а конкретнее:

условия к выполнению оценки соответствия компании ГОСТ 57580.
Суммарно этот стереотип имеет 700 граней обороны информации, которые нужно делать денежной компании. По ГОСТ 57580 нужно вести повторяющуюся оценку с привлечением лицензиата ФСТЭК.

условия к разбору уязвимостей абонентных приложений по методике, парированной в ГОСТ 15408-3 по оценивающему уровню доверия не менее 4-го.
Сконцентрированный анализ уязвимостей практического ПО считается довольно продолжительным и трудоемким ходом, но закрывать глаза на него невозможно т.к. это непосредственное условие не только лишь 684-П, но также и ГОСТ 57580. При этом, по объяснениям Банка РФ, под условия по ОУД4 попадают также кабинеты пользователей заказчиков НФО. Управлению организаций, подпадающих под действие 684-П, нужно обратить свое внимание на исполнение условий 684-П, т. к. после опубликования этого документа стартовал свежий раунд правоотношений некредитных экономических организаций и федерального регулятора в лице Главного Банка. Верность целей Банка РФ подтверждается формальными посланиями. В связи с возникновением управления, совершенно всем некредитным экономическим компаниям стоит ожидать проверок регулятора в связи с тем что было дано много времени на подготовку. Практика сопровождения проверок Банка РФ демонстрирует довольно твердый подход регулятора к разбору проведения условий. Вместе с тем исполнение условий при компетентном раскладе не классифицируется трудным – на сегодняшний день приобретена практика внедрения как технических граней, так и ГОСТ в банковском сегменте. Также установлены распространенные ошибки. Так или иначе, исполнение условий Расположения, как технологических, так и по выполнению аудитов будет требовать выделения значительных средств – положить их в расчет на 2021 год просто нужно. При этом необходимо подчеркнуть, что, подчеркивая средства на соответствие условиям 684-П, экономическая организация акцентирует средства, прежде всего, на увеличение значения справочной безопасности. Тут же напомним, что один из типов наказаний Банка РФ – задержка работы рассматриваемой компании.