Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
НИА Нижний Новгород
2 года назад

Новые требования Положения Центробанка №683-П

erid: 2SDnjeoMd4c

Положение Банка России № 683-П представляет собой комплексный подход к обеспечению защиты денежных операций, охватывая различные аспекты от пентеста до уровней защиты. Эти меры призваны обеспечить стабильность финансовой системы и защиту интересов клиентов в условиях динамично меняющейся киберугрозы. Некоторые из требований были перенесены на 2023 год и уже вступили в силу, однако до сих пор многие организации не привели свои системы в соответствие с ними.

Цели и задачи положения 683-П

Летом 2019 года в РФ начало действовать новое Положение ЦБ 683-П, дополняя предыдущий документ 382-П. Несмотря на некоторое пересечение с требованиями предыдущего документа, новое Положение внесло существенные изменения, направленные на более эффективную безопасность информационных ресурсов.

Одним из ключевых изменений стало введение обязательного соответствия требованиям ГОСТ 57580. Этот стандарт предназначен для оценки и сертификации систем и информационных технических продуктов, с акцентом на защиту данных. Такой подход обеспечивает более тщательную оценку систем на предмет их защищенности и стимулирует внедрение мер для их улучшения. Документ приобрел особую важность, действуя параллельно с Положениями № 719-П и № 747-П. Он устанавливает стандарты и требования с целью обеспечения надежной защиты информационных ресурсов.

Соответствие ГОСТ 57580 включает в себя не только технические аспекты, но и оценку организационных мероприятий, направленных на сохранение конфиденциальности данных. Это важное дополнение для создания комплексной системы защиты, учитывающей технические и человеческие аспекты.

Также новый документ подчеркивает важность регулярного обновления и модернизации организационного аспекта безопасности для эффективного противодействия постоянно развивающимся угрозам. Это включает в себя внедрение новых технологий, обновление ПО и постоянное обучение персонала.

Целью введения Положения № 683-П является обеспечение высокого уровня безопасности информации в сфере деятельности кредитных организаций, функционирующих на территории Российской Федерации. Этот документ нацелен на обеспечение защиты конфиденциальных данных клиентов, предотвращение возможных кибератак и обеспечение устойчивости финансовых систем.

В контексте повышения безопасности информационной среды в банковской сфере Положение № 683-П ставит своей задачей минимизацию рисков, связанных с утечкой конфиденциальной информации. Оно стремится к предупреждению и предотвращению потенциальных кибератак, которые могут нанести серьезный ущерб как самим финансовым учреждениям, так и их клиентам.

Под устойчивостью финансовых систем понимается не только защита от внешних киберугроз, но и обеспечение надежности и стабильности процессов внутри банковской среды. Положение направлено на создание прочных механизмов, способствующих устойчивому функционированию банков и предотвращению возможных инцидентов, которые могли бы нарушить финансовую стабильность.

Требования положения 683-П от ЦБ РФ

Давайте более подробно рассмотрим ключевые аспекты Положения 683-П и то, как именно каждый из них помогает сохранять безопасность данных в организациях. Главные правила:

  • Пентест, который необходимо проводить каждый год. Одним из важных моментов является проведение ежегодного пентеста. Этот процесс направлен на выявление возможных пробелов в построении безопасной системы. Пентест помогает выявлять слабые места, что позволяет усилить защиту от потенциальных хакерских атак и предотвратить возможные финансовые махинации.
  • Сертификация прикладного программного обеспечения (ПО). Документ требует наличия прикладного ПО, прошедшего сертификацию согласно приказу ФСТЭК РФ № 76 или оценку соответствия по ОУД 4. Эти меры направлены на повышение безопасности используемого программного обеспечения, снижая риски возможных финансовых махинаций.
  • Защита электронных сообщений. Документ предписывает обеспечение целостности эл. сообщений, которые передаются и используются кредитными организациями. Это важно для предотвращения манипуляций с данными и исключения возможности фальсификации информации, что может привести к нежелательным переводам финансовых средств.
  • В контексте обеспечения ИБ в сфере деятельности кредитных организаций Положение № 683-П предписывает внедрение технологий, которые помогут обрабатывать и взаимодействовать с информацией безопасно. Это включает в себя применение мер, направленных на предотвращение несанкционированного доступа и обеспечение полной конфиденциальности данных клиентов.
  • Положение уделяет внимание вопросам информирования клиентов и эффективного реагирования на случаи реализации угроз. Распространение рекомендаций среди клиентов относительно защиты от актуальных приемов атак и предупреждение о потенциальных рисках является неотъемлемой частью стратегии ИБ. Внедрение порядка реагирования на осуществлённые угрозы позволяет более эффективно и оперативно реагировать на потенциальные угрозы и обеспечивать дополнительный уровень защиты.
  • Важным элементом новых требований является оценка уровня защиты информации с использованием стандарта ГОСТ Р 57580 не реже, чем один раз в два года. Этот шаг направлен на постоянное улучшение систем безопасности, что позволяет организациям адаптироваться к появляющимся угрозам и эффективно справляться с ними. Такой подход становится ключевым элементом стратегии укрепления обороноспособности информационных систем.
  • Положение № 683-П предписывает уровень соответствия, который обозначает постепенное усиление защиты информации. С начала 2021 уровень был установлен на третьем (минимальное значение), а начиная с 2023 года — не ниже четвертого. Эти нормативы представляют собой важный шаг в направлении усиления общей защиты информационных ресурсов и соответствия современным стандартам безопасности, с учетом постоянно меняющейся среды.

Какая информация должна защищаться согласно Положению 683-П (382-П)?

В соответствии с Положением № 683-П, установленным ЦБ, требуется гарантировать безопасность всей информации, используемой как сотрудниками, так и пользователям, которые используют банк для осуществления каких-либо операций и действий. Особое внимание уделяется данным, которые используются в ходе финансовых переводов. Эта норма направлена на обеспечение конфиденциальности, целостности и надежности информации, минимизацию рисков и защиту от потенциальных угроз в сфере банковских операций. Важно учесть следующие категории информации:

  • Электронные сообщения, передаваемые и получаемые внутри организации, играют важную роль в коммуникации. Защита этих сообщений обеспечивает конфиденциальность обсуждаемых вопросов, предотвращает утечку чувствительной информации и обеспечивает целостность коммуникаций.
  • Криптографические ключи играют ключевую роль в обеспечении безопасности передаваемой информации. Защита этих ключей не только предотвращает несанкционированный доступ к зашифрованным данным, но и обеспечивает аутентификацию и конфиденциальность.
  • Идентификационные данные. В этом контексте речь идет о личных данных, таких как имена, адреса, идентификационные номера, а также паролях, которые используются клиентами для доступа к банковским услугам. Надежная защита этих данных крайне важна для предотвращения незаконного доступа к конфиденциальной информации. Это включает в себя использование современных технологий и методов, чтобы обеспечить безопасность и предотвратить утечку личной информации.
  • Детали банковских операций. Это включает в себя любую информацию о финансовых транзакциях, такую как суммы переводов, даты проведения операций и участники этих сделок. Эта информация считается чрезвычайно чувствительной, и ее защита необходима для предотвращения мошенничества и укрепления доверия клиентов к банковским услугам. Гарантировать безопасность этой информации означает использование средств и методов, направленных на предотвращение несанкционированных действий и обеспечение ее сохранности в любой момент времени.

Положение № 683-П обязывает кредитные организации предпринимать соответствующие меры по защите таких данных. Это включает в себя использование современных технологий шифрования, установление строгих процедур авторизации, а также обеспечение обучения сотрудников и клиентов в вопросах безопасности информации. Защита этих элементов играет важную роль в обеспечении финансовой стабильности и доверия в банковской сфере.

На кого действует Положения 683-П?

Согласно Положению № 683-П, все организации, которые являются кредитными, должны вовремя проходить оценку соответствия требованиям ГОСТ Р 57580. Давайте рассмотрим, кто и как должен соответствовать этому стандарту.

В рамках банковской системы существует особый уровень защиты информации, который предназначен для организаций, обладающих системным значением. Данный уровень, известный как первый уровень защиты информации, включает в себя ключевых игроков финансового рынка, чья деятельность оказывает огромное воздействие на финансовую стабильность страны.

Первыми в списке находятся огромные банки и финансовые институты, чьи действия напрямую влияют на устойчивость финансовой системы страны. Эти кредитные организации несут на себе ответственность за поддержание финансового равновесия и предоставляются высшим уровнем защиты информации, чтобы гарантировать их стабильное функционирование.

Важным звеном в первом уровне защиты являются и кредитные организации, выполняющие функции операторов услуг платежной инфраструктуры для системно-значимых платежных систем. Эти операторы играют ключевую роль в обеспечении бесперебойного функционирования инфраструктуры для обработки платежей, и им также предоставляется высокий уровень защиты.

Значительное воздействие на рынок платежных услуг также делает кредитные организации подходящими для включения в первый уровень защиты информации. Эти организации играют ключевую роль в формировании платежных систем и поддержании их эффективной работы.

Объекты первого уровня защиты информации подвергаются особенно строгим стандартам безопасности, так как их системное значение представляет собой неотъемлемую часть общей финансовой стабильности. Гарантирование безопасности этих игроков направлено на обеспечение устойчивости финансовой системы в целом и поддержание доверия общества к банковским операциям.

Второй уровень защиты применяется ко всем остальным кредитным организациям, которые не входят в категории системно-значимых. Это включает в себя широкий круг кредитных учреждений, не являющихся крупными банками, операторами платежной инфраструктуры или ключевыми участниками рынка платежных услуг.

Соблюдение ГОСТ Р 57580 позволяет кредитным организациям оценить и повысить уровень защиты своей информации. Этот стандарт предоставляет не только технические меры, но и управленческие и организационные подходы к обеспечению безопасности данных.

Для системно-значимых кредитных организаций требуется более усиленный подход к безопасности, включая использование передовых технологий и строгие процедуры. В то время как для других кредитных организаций важно также следовать стандартам безопасности, но в рамках стандартных требований второго уровня.

Что грозит за невыполнение требований ЦБ РФ в рамках Положения 683-П?

Игнорирование требований, установленных в Положении № 683-П Банка России, может привести к серьезным последствиям для кредитных организаций. Во-первых, это может выразиться в наложении финансовых штрафов со стороны регулятора. Несоблюдение установленных стандартов безопасности может привести к серьезным последствиям в виде финансовых потерь, поскольку регулятор может применить штрафные санкции.

Во-вторых, отсутствие регулярного тестирования ИТ-инфраструктуры на проникновение и оценок соответствия может повысить риск несанкционированных доступов и мошенничества. Это в свою очередь создает угрозу для конфиденциальности и целостности информации, а также для финансовых активов как самой организации, так и ее клиентов.

Дополнительно, игнорирование требований может привести к потере репутации. Клиенты и общественность могут потерять доверие к организации, что влияет на долгосрочные отношения и может снизить лояльность клиентов.

Реклама. ООО «ЛИТЕРАФОРТЕ». ИНН 7701966035. ОГРН 1127746590366. literafort.ru

Назад