О Положении Банка России № 684-П

Дата: 
22.06.2019

Уважаемые коллеги, добрый день.

Как Вы знаете, 1 июня вступило в силу «Положение об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»1. Многие кооперативы уже получили письма территориальных управлений Банка России с просьбой представить отчет о реализации этого положения. Все такие письма перенаправляются в СРО с просьбой оказать методическую поддержку в реализации этого положения кооперативами.  

Конечно, можно предусмотреть массу предписанных Положением действий и направить в ответ на запрос банка нечто вроде: 

«В целях исполнения требований Положения Банка России  № 684-П, в кооперативе________ разработан план график аттестации информационных систем, включая разработку технических паспортов всех используемых ИСПДн, с определением уровней их защищенности и уязвимости, периметров контролируемых зон, внутренних политик и процедур, регламентирующих доступ и использование СКЗИ, учет съемных носителей информации. Также назначается администратор по информационной безопасности и его заместитель, в обязанности которым вменяется регулярное проведение анализа уровня защищенности информационных систем». Но все это затратно, организационно и материально вряд ли может быть реально обеспечено большинством кооперативов.

Но если взглянуть на проблему в ином ракурсе,  можно найти множество обоснований, что это Положение «не про нас» или касается большинства кооперативов «факультативно».

  1. Кредитные потребительские кооперативы прямо не указаны ни в п. 5.2, ни в п.5.3 Положения, где приводится список НФО, которые должны соблюдать требования к усиленному или стандартному уровню защиты информации. Следовательно, кооператив вправе применить минимальный, третий уровень защиты информации, предусмотренный абз. 2, п. 6.7 информации ГОСТ Р 57580.1-2017.
  2. Минимальный уровень защиты информации соответствует  уроню защищенности персональных данных, установленному п. 13 Постановления  Правительства РФ от 01.11.2012 N 1119. Для этого уровня должны обеспечиваться:
  • Безопасность помещений, в которых размещена Ваша информационная система (сервер), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
  • Сохранность  носителей персональных данных.
  • Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Назначение должностного лица для обеспечения этого уровня защищенности не требуется.

  1. Оценка минимального уровня защищенности информации может проводиться самостоятельно, без привлечения специализированных организаций и, следовательно, без дополнительных расходов на оплату услуг таких организаций. В соответствии с п. 5.1 Положения № 684-П, определение уровня защиты информации должно проводиться Вами ежегодно, не позднее первого рабочего дня календарного года. Также самостоятельно с 1.01.2020 г. кооперативы должны будут определять необходимость сертификации и анализа уязвимостей информационных систем и программного обеспечения.
  2. Как следует из п. 1 Положения, кооператив должен обеспечить защиту следующей информации:
  • Содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде (электронные сообщении);
  • Необходимой для авторизации пайщиков;
  • Об осуществляемых кооперативом финансовых операциях с пайщиками;
  • Ключевой информации средств криптографической защиты, используемой кооперативом при осуществлении финансовых операций с пайщиками.

Очевидно, что связанные с этим уязвимости информационных систем актуализируются при осуществлении кооперативом дистанционного обслуживания, оформления договорной, платежной документации и обмена иной финансовой информацией в форме электронных сообщений посредством сети «Интернет». В этом случае есть смысл задуматься о возможных внешних рисках и способах их нейтрализации.

Если же финансовые операции совершаются Вами без выхода во внешне информационные системы, то достаточно ограничиться уже применяемыми Вами способами информационной защиты, предусмотренными положением о защите персональных данных, Положением об обеспечении непрерывности деятельности, иными Вашими внутренними документами, обеспечивающих  целостность используемых Вами информационных систем.

Резюмируя, я не вижу никаких дополнительных обременений для кредитных кооперативов, не осуществляющих технологии дистанционного обслуживания, в связи с введением в действие Положения № 684-П.  Достаточно только адаптировать и применять режимы информационной защиты, уже установленные Вашими внутренними документами.  

Но это только мое мнение, в определенной степени дилетантское, составленное на основе первичного обзора Положения № 684-П и связанных нормативных документов. Если Вы придерживаетесь иного мнения или у Вас есть другие соображения, давайте обсудим.       

С уважением,

М. Овчиян


1 утв. Банком России 17.04.2019 N 684-П