-
О НАУФОРСтандартыИнформационные материалыАттестация и обучение
684-П
Правила форума Anuta
Рег.: 31.08.2010
Сообщений: 1133
Сообщ. #1 от 24.05.2019 11:21 
Коллеги, кто-нибудь разобрался что надо делать в связи с - ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ 17 апреля 2019 г. N 684-П
ПОЛОЖЕНИЕ
ОБ УСТАНОВЛЕНИИ ОБЯЗАТЕЛЬНЫХ ДЛЯ НЕКРЕДИТНЫХ ФИНАНСОВЫХ
ОРГАНИЗАЦИЙ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ В СФЕРЕ ФИНАНСОВЫХ РЫНКОВ
В ЦЕЛЯХ ПРОТИВОДЕЙСТВИЯ ОСУЩЕСТВЛЕНИЮ НЕЗАКОННЫХ
ФИНАНСОВЫХ ОПЕРАЦИЙАО НИК Развитие УК*
Сообщений: 4
Сообщ. #2 от 28.05.2019 14:05
Добрый день, у меня тот же вопрос. Во-первых, я правильно понимаю, что если УК имеет одну лицензию, то она не относиться к НФО, которые реализуют усиленный или стандартный уровень защиты информации по п.5.2 и 5.3?
Что нужно сделать по Положению:
Осуществить защиту информации, указанной в п.1. (разработать положение и прописать меры?) и обеспечить доведение до клиентов (пайщиков?) рекомендаций по п.2. (как будут выглядеть рекомендации, если УК не использует системы дистанционного обслуживания?) Ежегодно определять уровень защиты информации по п.5.1 (сотрудник УК определяет и готовит отчет?)
Что еще мы должны сделать по Положению?
Angerran
Рег.: 24.06.2009
Сообщений: 17
Сообщ. #3 от 28.05.2019 16:04
Добрый день, коллеги. А вот у меня вопрос: НФО, указанные в пунктах 5.2 и 5.3 по умолчанию соответствуют усиленному/стандартному уровню защиты информации. Соответственно, пункт 5.1 на них не распространяется?Цитата:
Во-первых, я правильно понимаю, что если УК имеет одну лицензию, то она не относиться к НФО, которые реализуют усиленный или стандартный уровень защиты информации по п.5.2 и 5.3?
Я тоже к этому выводу пришел. Получается, что УК с одной лицензией сама определяет свой уровень по критериям, установленным в ГОСТах.akm-2005
Рег.: 07.03.2019
Сообщений: 164
Сообщ. #4 от 28.06.2019 08:06
А вот п.2 говорит о ″доведении до своих клиентов″ рекомендаций по защите информации.
Как считаете - подпадает ли это под многомученический п.1.17 из 05-23/пз-н?
То есть если вы например решили на сайте расписать эти рекомендации, то станете ли вы предварительно копию рекомендаций отправлять в БР?
То есть ″доведение″=″опубликование″?Lotta
Москва, ИК
Рег.: 24.02.2011
Сообщений: 203
Сообщ. #5 от 30.09.2019 17:45
Я склоняюсь к раскрыть на сайте, но не уведомлять, потому что клиентов-пайщиков (при отсутствии у нас, скажем, ЛК или ЭДО с пайщиками) это вообще никак не может касаться, на мой взглядКонтролер ИК
Рег.: 06.06.2014
Сообщений: 2124
Сообщ. #6 от 15.10.2019 15:28
Коллеги,
пункт 2 684-П нас обязывает довести до сведения клиентов:
рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям. (НАУФОР, спасибо ему, разработал методические рекомендации)
информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления; (я вижу что-то вроде Декларации о рисках)
Информацию о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.
Вопрос к последнему абзацу: мы должны уведомлять клиентов о мерах, которые предпринимаем мы в целях предотвращения... или о мерах, которые рекомендуется предпринимать клиенту в целях предотвращения несанкционированного доступа к защищаемой информации?
akm-2005
Рег.: 07.03.2019
Сообщений: 164
Сообщ. #7 от 15.10.2019 16:15
Я считаю, что речь - о мерах, которые рекомендуется предпринимать клиенту в целях предотвращения несанкционированного доступа к защищаемой информации.frau.scht
Рег.: 30.09.2019
Сообщений: 24
Сообщ. #8 от 15.11.2019 15:14
Добрый день, коллеги!
Что следует понимать под программным обеспечением автоматизированных систем и приложений (п.9 684-П)?Alexander Anufriev
ООО ″Финтех Информ″
Рег.: 26.09.2019
Сообщений: 1
Сообщ. #9 от 02.12.2019 14:21
Цитата:
Что следует понимать под программным обеспечением автоматизированных систем и приложений (п.9 684-П)?
Надо смотреть в контексте конкретной фин организации.
Например, для банков (у которых есть 683-П с аналогичными требованиями), попадают весь банк-клиент(ДБО) с учетом мобильных приложений + АБС).
Для небанковских фин организаций (если у них это есть) - личные кабинеты, мобильный приложения (с учетом серверных частей), бэк-офис,если там обрабатываются ЭС, м т.п.
Используемые ДБО, кстати так-же попадают, но, наверное, по этому ПО нужно будет трясти банки, которые это ДБО предоставляют.
Как-то так.SHEGOBIK
Рег.: 22.02.2020
Сообщений: 1
Сообщ. #10 от 25.02.2020 12:47
Всем добрый день. Существуют ли какие-либо шаблоны отчётов по 684-П, которые принимает ЦБ или описаны ли где-нибудь требования по оформлению данных отчётов? Особенно интересует пункт 9 положения.ООО АДЕПТА УК*
Сообщений: 22
Сообщ. #11 от 03.03.2021 16:24
Добрый день, коллеги.
В декабре прошлого года НАУФОР проводил вебинар по теме информ.безопасности.
В ходе этого вебинара стихийно образовалась группа в telegram для обсуждений, обмена опытом и поиска коллективных решений по, волнующим всех, вопросам.
Скажите пожалуйста, эта группа еще существует, действует? К ней можно присоединится?
Не будет ли кто-нибудь столь любезен и не поделится ссылкой на нее или приглашением?
Можно на почту: poklonskaya@adepta-am.ru
Заранее, благодарю.Для того чтобы участвовать в форуме, зарегистрируйтесь на сайте. Если вы уже регистрировались, войдите на сайт НАУФОР, используя свой e-mail и пароль.
