Положение Банка России № 684-П
Положение Банка России № 684-П – это подзаконный нормативно-правовой акт, которым вводится в действие набор требований в сфере защиты данных и повышения безопасности во время совершения действий финансового характера.
Оценка соответствия положению
Основные требования
Положение обязывает некредитные финансовые организации определить уровень защиты информации согласно действующему ГОСТ Р 57580.1-2017. Возможны два уровня защиты:
- Усиленный – предусмотрен для центральных контрагентов и депозитариев.
- Стандартный – предусмотрен для специализированных депозитариев, клиринговых, торговых и страховых организаций, негосударственных пенсионных фондов, брокеров, дилеров, регистраторов и управляющих.
В Положении указаны следующие основные требования:
- Разработка рекомендаций по защите информации и информировании клиентов о рисках несанкционированного доступа, а также меры по антивирусной защите данных.
- Регистрация и передача в адрес регулятора информации о произошедших в некредитной организации инцидентов, связанных с нарушением конфиденциальности платежной информации.
- Сертификация или анализ уязвимостей в используемом программном обеспечении для клиентов, приведение их в соответствие стандартному или усиленному уровню защиты.
- Реализация мер по защите документов о транзакциях, данных для авторизации клиентов, информации о проводимых финансовых операциях.
- Использование средств криптографической защиты информации в соответствие с требованиями ГОСТ Р 57580.1-2017.
Сроки реализации пунктов плана
Нормативный акт принят Банком России 17.04.2019 года. Отдельные его положения вступили в законную силу на общих основания через 10 дней после опубликования с 1 июня 2019 года. Однако для некоторых пунктов введены отдельные сроки вступления в силу:
- С 1.01.2020 года – проведение анализа уязвимостей программного обеспечения для автоматизации операций по переводу денежных средств.
- С 1.01.2021 года – обязательная оценка соответствия по ГОСТ Р 57580.2-2018.
- С 1.01.2022 года – начало первого этапа модернизации системы защиты информации для обеспечения третьего уровня соответствия. Результат оценки должен быть не ниже 0,7.
- С 1.01.2023 года – начало второго этапа модернизации системы для обеспечения уровня защиты информации не ниже четвертого уровня. Оценка соответствия должна быть не ниже 0,85.