Аудит информационной безопасности для некредитных финансовых организаций (684-П)

Аудит информационной безопасности и ее защиты и в некредитных финансовых организациях

Подробнее

В связи с принятием Положения Банка России №684-П в 2019 г. был изменен порядок проведения оценки информационной безопасности для некредитных финансовых организаций.  До принятия Положения Центробанк практически не регулировал информационную безопасность НФО, обязывая проводить их самооценку информационной деятельности, но теперь такая возможность исключена – организации обязаны привлекать для аудита лицензиатов ФСТЭК России.

Дата вступления изменений

  • 2019 - Принятие Положения №684-П
  • 2020 - Проведение анализа уязвимостей программного обеспечения для автоматизации операций по переводу денежных средств
  • 2021 - Обязательная оценка соответствия по ГОСТ Р 57580.2-2018.
  • 2022 - Начало первого этапа модернизации системы защиты информации для обеспечения третьего уровня соответствия. Результат оценки должен быть не ниже 0,7
  • 2023 - Начало второго этапа модернизации системы для обеспечения уровня защиты информации не ниже четвертого уровня. Оценка соответствия должна быть не ниже 0,85

Этапы аудита

  1. Оценка уровня защиты по ГОСТам
  2. Проведение аудита с подготовкой соответствующего отчета в соответствии с требованиями ЦБ РФ
  3. Тестирование на проникновение (для соответствующих категорий Заказчиков) как внешнее, так и внутреннее (Пентест)
  4. В случае необходимости улучшение средства защиты по требованиям Банка России
  5. Подготовка отчета в соответствии с требованиями ЦБ РФ

Положение №684-П условно разделило требования к защите на три уровня:

Под стандартный уровень защиты подпадают:

  • профессиональные участники рынка ценных бумаг;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации (при стоимости активов за 6 календарных месяцев подряд превышающей 20 млрд руб.);
  • управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
  • репозитории;
  • депозитарии, осуществляющие в течение 3 последних кварталов учет ценных бумаг стоимость которых превышала 500 000 млн руб. и др;

Под усиленный уровень защиты попадают:

– центральные контрагенты

– центральный депозитарий.

 Под «третий уровень» ( НФО, не вошедшие в стандартный и усиленный уровень защиты):

– бюро кредитных историй;

– микрофинансовые организации;

– рейтинговые агентства;

– ломбарды;

– кредитные потребительские кооперативы;

– актуарии;

– жилищные накопительные кооперативы;

– сельскохозяйственные кредитные потребительские кооперативы;

– страховые организации, стоимость активов которых в течение последних 6 календарных месяцев НЕ превышала 20 миллиардов рублей;

– негосударственные пенсионные фонды, брокеры, дилеры, депозитарии, регистраторы, управляющие стоимость сделок и договоров которых по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации НЕ более допустимой для НФО, попадающих под требования стандартного уровня защиты.

Требования к частоте проведения:

НФО, которые входят в категорию усиленного уровня

минимум один раз в год

НФО, которые входят в категорию стандартного уровня

минимум один раз в три года

Информация, которая подлежит защите по 684-П

  • электронные сообщения – информация, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками НФО и (или) клиентами некредитных финансовых организаций;
  • информация, необходимая для авторизации с целью осуществления финансовых операций
  • информация об осуществленных финансовых операциях, криптографические ключи .

Стоимость

Для получения консультации и просчета стоимости услуги по Вашим параметрам, оставьте заявку на сайте, и наш менеджер свяжется с Вами в течение нескольких минут.

Преимущества работы с нами

Статус нашей компании подтвержден лицензиям ФСТЭК и ФСБ
В нашем штате работают только сертифицированные специалисты с многолетним опытом работы
Мы являемся партнерами «Лаборатория Касперского», Infotecs, AXOFT и других ведущих компаний
Мы оказываем широкий спектр услуг: от оценки до комплексного обеспечения ИБ компании
Нашими клиентами являются ЦЗН г. Краснодара, ГБУ ЛО «МФЦ», ФГУП «ФЭО» Росатом и др.
Индивидуальный подход к каждому клиенту

Консалтинг ИБ

Анализ защищенности
ИС

Заказать обратный звонок