Положение Банка России № 684-П

Положение Банка России № 684-П – это подзаконный нормативно-правовой акт, которым вводится в действие набор требований в сфере защиты данных и повышения безопасности во время совершения действий финансового характера.

Основные требования

Положение обязывает некредитные финансовые организации определить уровень защиты информации согласно действующему ГОСТ Р 57580.1-2017. Возможны два уровня защиты:

1. Усиленный – предусмотрен для центральных контрагентов и депозитариев.
2. Стандартный – предусмотрен для специализированных депозитариев, клиринговых, торговых и страховых организаций, негосударственных пенсионных фондов, брокеров, дилеров, регистраторов и управляющих.

В Положении указаны следующие основные требования:

• Разработка рекомендаций по защите информации и информировании клиентов о рисках несанкционированного доступа, а также меры по антивирусной защите данных.
• Регистрация и передача в адрес регулятора информации о произошедших в некредитной организации инцидентов, связанных с нарушением конфиденциальности платежной информации.
• Сертификация или анализ уязвимостей в используемом программном обеспечении для клиентов, приведение их в соответствие стандартному или усиленному уровню защиты.
• Реализация мер по защите документов о транзакциях, данных для авторизации клиентов, информации о проводимых финансовых операциях.
• Использование средств криптографической защиты информации в соответствие с требованиями ГОСТ Р 57580.1-2017.

Сроки реализации пунктов плана

Нормативный акт принят Банком России 17.04.2019 года. Отдельные его положения вступили в законную силу на общих основания через 10 дней после опубликования с 1 июня 2019 года. Однако для некоторых пунктов введены отдельные сроки вступления в силу:

• С 1.01.2020 года – проведение анализа уязвимостей программного обеспечения для автоматизации операций по переводу денежных средств.
• С 1.01.2021 года – обязательная оценка соответствия по ГОСТ Р 57580.2-2018.
• С 1.01.2022 года – начало первого этапа модернизации системы защиты информации для обеспечения третьего уровня соответствия. Результат оценки должен быть не ниже 0,7.
• С 1.01.2023 года – начало второго этапа модернизации системы для обеспечения уровня защиты информации не ниже четвертого уровня. Оценка соответствия должна быть не ниже 0,85.