684-П

Правила форума

Anuta

 

 

Рег.: 31.08.2010

Сообщений: 1133

Сообщ. #1 от 24.05.2019 11:21 Стандартное
Коллеги, кто-нибудь разобрался что надо делать в связи с  - ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ 17 апреля 2019 г. N 684-П

ПОЛОЖЕНИЕ
ОБ УСТАНОВЛЕНИИ ОБЯЗАТЕЛЬНЫХ ДЛЯ НЕКРЕДИТНЫХ ФИНАНСОВЫХ
ОРГАНИЗАЦИЙ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ В СФЕРЕ ФИНАНСОВЫХ РЫНКОВ
В ЦЕЛЯХ ПРОТИВОДЕЙСТВИЯ ОСУЩЕСТВЛЕНИЮ НЕЗАКОННЫХ
ФИНАНСОВЫХ ОПЕРАЦИЙ

АО НИК Развитие УК*

 

Сообщений: 4

Сообщ. #2 от 28.05.2019 14:05 Стандартное
Добрый день, у меня тот же вопрос. Во-первых, я правильно понимаю, что если УК имеет одну лицензию, то она не относиться к НФО, которые реализуют усиленный или стандартный уровень защиты информации по п.5.2 и 5.3?
Что нужно сделать по Положению:
Осуществить защиту информации, указанной в п.1. (разработать положение и прописать меры?) и обеспечить доведение до клиентов (пайщиков?) рекомендаций по п.2. (как будут выглядеть рекомендации, если УК не использует системы дистанционного обслуживания?) Ежегодно определять уровень защиты информации по п.5.1 (сотрудник УК определяет и готовит отчет?)
Что еще мы должны сделать по Положению?

Angerran

 

 

Рег.: 24.06.2009

Сообщений: 17

Сообщ. #3 от 28.05.2019 16:04 Стандартное
Добрый день, коллеги. А вот у меня вопрос: НФО, указанные в пунктах 5.2 и 5.3 по умолчанию соответствуют усиленному/стандартному уровню защиты информации. Соответственно, пункт 5.1 на них не распространяется?

Цитата:

Во-первых, я правильно понимаю, что если УК имеет одну лицензию, то она не относиться к НФО, которые реализуют усиленный или стандартный уровень защиты информации по п.5.2 и 5.3?

Я тоже к этому выводу пришел. Получается, что  УК с одной лицензией сама определяет свой уровень по критериям, установленным в ГОСТах.

akm-2005

 

 

Рег.: 07.03.2019

Сообщений: 164

Сообщ. #4 от 28.06.2019 08:06 Стандартное
А вот п.2 говорит о ″доведении до своих клиентов″ рекомендаций по защите информации.
Как считаете - подпадает ли это под многомученический п.1.17 из 05-23/пз-н?

То есть если вы например решили на сайте расписать эти рекомендации, то станете ли вы предварительно копию рекомендаций отправлять в БР?
То есть ″доведение″=″опубликование″?

Lotta

Москва, ИК 

 

Рег.: 24.02.2011

Сообщений: 203

Сообщ. #5 от 30.09.2019 17:45 Стандартное
Я склоняюсь к раскрыть на сайте, но не уведомлять, потому что клиентов-пайщиков (при отсутствии у нас, скажем, ЛК или ЭДО с пайщиками) это вообще никак не может касаться, на мой взгляд

Контролер ИК

 

 

Рег.: 06.06.2014

Сообщений: 2124

Сообщ. #6 от 15.10.2019 15:28 Стандартное
Коллеги,

пункт 2 684-П нас обязывает довести до сведения клиентов:

рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям. (НАУФОР, спасибо ему,  разработал методические рекомендации)

информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления; (я вижу что-то вроде Декларации о рисках)

Информацию о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.

Вопрос к последнему абзацу: мы должны уведомлять клиентов о мерах, которые предпринимаем мы в целях предотвращения... или о мерах, которые  рекомендуется предпринимать клиенту в  целях предотвращения несанкционированного доступа к защищаемой информации?

akm-2005

 

 

Рег.: 07.03.2019

Сообщений: 164

Сообщ. #7 от 15.10.2019 16:15 Стандартное
Я считаю, что речь - о мерах, которые  рекомендуется предпринимать клиенту в  целях предотвращения несанкционированного доступа к защищаемой информации.

frau.scht

 

 

Рег.: 30.09.2019

Сообщений: 24

Сообщ. #8 от 15.11.2019 15:14 Стандартное
Добрый день, коллеги!
Что следует понимать под программным обеспечением автоматизированных систем и приложений (п.9 684-П)?

Alexander Anufriev

ООО ″Финтех Информ″ 

 

Рег.: 26.09.2019

Сообщений: 1

Сообщ. #9 от 02.12.2019 14:21 Стандартное

Цитата:

Что следует понимать под программным обеспечением автоматизированных систем и приложений (п.9 684-П)?

Надо смотреть в контексте конкретной фин организации.
Например, для банков (у которых есть 683-П с аналогичными требованиями), попадают весь банк-клиент(ДБО) с учетом мобильных приложений + АБС).
Для небанковских фин организаций (если у них это есть) - личные кабинеты, мобильный приложения (с учетом серверных частей), бэк-офис,если там обрабатываются ЭС, м т.п.
Используемые ДБО, кстати так-же попадают, но, наверное, по этому ПО нужно будет трясти банки, которые это ДБО предоставляют.
Как-то так.

SHEGOBIK

 

 

Рег.: 22.02.2020

Сообщений: 1

Сообщ. #10 от 25.02.2020 12:47 Стандартное
Всем добрый день. Существуют ли какие-либо шаблоны отчётов по 684-П, которые принимает ЦБ или описаны ли где-нибудь требования по оформлению данных отчётов? Особенно интересует пункт 9 положения.

ООО АДЕПТА УК*

 

Сообщений: 22

Сообщ. #11 от 03.03.2021 16:24 Стандартное
Добрый день, коллеги.
В декабре прошлого года НАУФОР проводил вебинар по теме информ.безопасности.
В ходе этого вебинара стихийно образовалась группа в telegram для обсуждений, обмена опытом и поиска коллективных решений по, волнующим всех, вопросам.
Скажите пожалуйста, эта группа еще существует, действует? К ней можно присоединится?
Не будет ли кто-нибудь столь любезен и не поделится ссылкой на нее или приглашением?
Можно на почту: poklonskaya@adepta-am.ru
Заранее, благодарю.

 

Для того чтобы участвовать в форуме, зарегистрируйтесь на сайте. Если вы уже регистрировались, войдите на сайт НАУФОР, используя свой e-mail и пароль.

Script Execution time: 0,25
8 queries used