Оценка соответствия 683-П

Проверяем ИТ-инфраструктуру и процессы ИБ кредитных организаций на соответствие требованиям Положения Банка России № 683-П, проводим оценку соответствия по ГОСТ 57580 и готовим подробный отчет для регулятора.

Оценка соответствия 683-П

Описание услуги

Согласно Положению № 683-П кредитные организации обязаны ежегодно тестировать свою ИТ-инфраструктуру на проникновение и не реже одного раза в два года проводить оценку соответствия ГОСТ Р 57580.

Специалисты ITGLOBAL.COM Security готовы взять весь пул работ, связанных с выполнением требований нормативно-правовых документов Банка России в части информационной безопасности: от проведения пентеста до подготовки финального отчета по ГОСТ 57580.2-2018 и помощи с заполнением отчетности по форме 0409071.

Пройти оценку соответствия 683-П

Кратко о Положении 683-П

Положение Банка России № 683-П — основной документ, который регулирует информационную безопасность и защиту информации в кредитных организациях со стороны Банка России, чтобы не допустить переводы денежных средств без согласия клиента.

Положение № 683-П вступило в силу в июне 2019 года. Вот основные требования для кредитных организаций:

  • проводить ежегодное тестирование на проникновение (пентест);
  • иметь прикладное ПО или ПО, которое прошло сертификацию в соответствии с приказом ФСТЭК РФ № 76, либо оценку соответствия по ОУД 4;
  • обеспечивать целостность электронных сообщений надлежащим способом;
  • реализовывать технологии безопасной обработки защищаемой информации;
  • доводить до клиентов рекомендации по защите информации от воздействия вредоносного кода, возможных рисках несанкционированного доступа (НСД), мерах по предотвращению НСД, мерах по контролю конфигурации устройств;
  • устанавливать порядок работы с инцидентами защиты информации;
  • оценивать не реже одного раза в два года соответствие уровню защиты информации по ГОСТ Р 57580;
  • обеспечивать определенный уровень соответствия: не ниже третьего (01.01.2021-31.12.2022), не ниже четвертого (с 01.01.2023).
Положение Банка России №683

Информация, которую необходимо защищать

Защищать необходимо всю финансовую информацию, которую используют работники и клиенты кредитной организации для проведения банковских операций, связанных с переводами денежных средств:

  • электронные сообщения;
  • криптографические ключи;
  • информация, необходимая для авторизации клиентов;
  • информация о проведенных банковских операциях.

Оценка соответствия по ГОСТ Р 57580

Кредитные организации должны проводить оценку соответствия по ГОСТ Р 57580. Уровень защиты информации зависит от того, относится ли организация к системно-значимым или нет.

Усиленный (первый) уровень защищенности:

Стандартный (второй) уровень защищенности:

  • все остальные кредитные организации.

Изменения, которые вступили в силу с 1 октября 2022 года С 1 октября 2022 года вступили в силу изменения в Положении № 683-П, они коснулись:

  • оценки соответствия по ОУД 4 или сертификации ПО по 76 Приказу ФСТЭК РФ;
  • требований к защите и целостности электронных сообщений;
  • требований к идентификации устройств клиентов, проверки абонентского номера;
  • ограничений по параметрам информации;
  • расширения требований к управлению инцидентами;
  • равнозначных требований 187-ФЗ КИИ.

Как проводится аудит

Вариант № 1 — обычная оценка соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика.
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
    • По итогам аудита предлагаем устные рекомендации по улучшению системы информационной безопасности.

    Срок от 2 до 10 дней

  2. Подготовка отчета по форме ЦБ

    • На основании проведенного анализа определяем, соответствуют ли применяемые меры и используемые средства требованиям Положения.
    • Вычисляем итоговые показатели оценки соответствия — R.
    • Готовим итоговую отчетную документацию по установленной форме.

    Срок до 20 дней

Вариант № 2 — с предварительной оценкой соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика.
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.

    Срок от 2 до 10 дней

    К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.

    Подготовка рекомендаций

    • Готовим документ, в котором описываем подробные рекомендации по улучшению системы информационной безопасности.
    • Ждем от клиента готовности к финальному аудиту.

    Срок до 20 дней

  2. Финальная оценка соответствия

    Проверяем проделанную заказчиком работу по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения.

    Подготовка отчета по форме ЦБ

    • Вычисляем итоговые показатели оценки соответствия — R.
    • Готовим итоговую отчетную документацию по установленной форме.
    Пройти оценку соответствия с предаудитом

Что вы получите

Детализированный отчет о состоянии вашей ИТ-инфраструктуры и процессов ИБ
Рекомендации по устранению нарушений и несоответствий согласно Положению №683‑П и ГОСТ Р 57580
Разработку внутренней нормативной документации: политик, положений и регламентов
Консультационную поддержку как на этапе проекта так и после него

Кому необходима эта услуга

Операторам услуг информационного обмена с использованием СБП

Банкам-участникам ПС БР

ОПКЦ

Кейсы

Специалисты по информационной безопасности ITGLOBAL.COM организовали для Digital Attitude тестирование на проникновение по модели Black Box

Кейс

Омский филиал одного из крупнейших банков России организовал комплексную проверку уровня информационной безопасности

История успеха

Компания ITGLOBAL.COM провела оценку соответствия требованиям Положения ЦБ РФ № 382-П для Коммерческого банка «Континенталь» (общество с ограниченной ответственностью)

Кейс

Специалисты по информационной безопасности компании ITGLOBAL.COM провели оценку соответствия требованиям Положения ЦБ РФ № 382-П для АО «Профессионал Банк» (Москва)

История успеха

Экспертиза

Лицензия ФСБ РФ
На деятельность по разработке, производству, распространению шифровальных
Лицензия ФСБ (гос. тайна)

Наши клиенты

Связанные решения

Заказать услугу

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies