Аудит 683-П. Зачем проводить и что необходимо?

Аудит 683-П. Зачем проводить и что необходимо?

Зачем проводится аудит по 683-П?

На что направлен 683-П (текст положения)? Если посмотреть на название самого документа, то сразу понятно, что прежде всего на защиту платежей. Пожалуй, это один из первых документов, который направлен именно на защиту физических и юридических лиц, которые осуществляют платежные операции в кредитной финансовой организации. Поэтому, при проведении аудита, в область оценки естественно входят информационные системы, которые задействованы в функциях сегмента платежей и могут быть подвержены мошенническим действиям.

Общие положения 683-П

Обратим внимание на общие положения, которые приведены в документе. Оценка по 683-П должна проводиться не реже, чем один раз в два года. Кредитные финансовые организации на данный момент должны получить оценку 0,7. Но уже с 1 января 2023 года эта оценка должна составлять 0,8. Оценку могут проводить только привлеченные сторонние организации (например, RTM Group, Literafort). Как и большинство положений, которые издает регулятор, в данном случаи ЦБ РФ, документ содержит в себе требования проведения оценки защиты данных по ГОСТ 57580 (далее – ГОСТ).

ГОСТ содержит в себе три уровня защиты. Возникает вопрос, какому уровню должны соответствовать кредитные финансовые организации в разрезе 683-П?

Согласно документу, все организации делятся на:

● системно значимые кредитные организации (далее – СЗКО);
● все остальные, которые не вошли в первую группу системно значимых.

СКЗО должны реализовывать усиленный уровень защиты данных, все остальные стандартный уровень защиты данных.

Как было сказано выше, 683-п направлен на защиту платежных операций, которые осуществляют физические и юридические лица. Теперь рассмотрим какая именно информация подлежит защите.

Согласно документу, должна защищаться следующие данные:

● ключевые данные СКЗИ;
● данные, необходимые для авторизации клиентов, которые позволяют ему совершать банковские операции;
● электронные сообщения;
● данные о совершении банковских операций.

Помимо проведения оценки защищенности информационной инфраструктуры финансовой организации, должен ежегодно проводиться анализ уязвимостей и тестирование на проникновение (далее – пентест).

В части технологии обработки защищаемых данных кредитная финансовая организация должна обеспечить следующее:

● подписание электронных документов должно проводиться таким образом, чтобы обеспечивалась целостность;
● осуществление регулирования, реализации и контроля за технологией обработки защищаемых данных, данная технология должна обеспечивать целостность и достоверность защищаемых данных;
● применение СКЗИ для защиты данных при осуществлении переводов денежных средств, если СКЗИ российского производства, то они должны иметь сертификаты на соответствия;
● изготовление криптографических ключей должно проводиться самостоятельно клиентом, либо же самой финансовой организацией, при этом безопасность их изготовления должна быть реализована с помощью организационных и технических мер защиты данных, в соответствии с технической документацией;
● информирование клиентов в сфере защиты данных от воздействия вредоносного кода, то есть организации необходимо расположить на своем интернет-сайте документ с рекомендациями, в котором будут описаны риски получения НСД к данным клиента и мерам, которые будут направлены на снижение этих рисков;
● установить во внутренней документации финансовой организации порядок обнаружения инцидентов, реагирования на них и регистрации;
● хранение отчета о проведении оценки соответствия защиты данных как минимум на протяжении пяти лет;

Что необходимо для аудита 683-П?

Итак, подведем итоги что необходимо при проведении оценки согласно 683-П:

● оценка системы защиты данных по ГОСТ;
● ОУД.4;
● пентест;
● общие требования.

Зачем тогда 672-П? Во-первых, когда выпускали 672-П не знали, что выйдет 683-П. Во-вторых, 683-П подразумевает применение отличного от 672-П уровня защит информации, но ЦБ разрешает делать один отчет, просто включив все области.

Вернемся к главному вопросу. Для чего проводить аудит по 683-П? Потому что этого требует ЦБ РФ. Этого уже достаточно, если вы не хотите получить штрафные санкции от регулятора, за невыполнения требований.

Представляем Вашему вниманию статью на тему Аудит 683-П. Зачем проводить и что необходимо?. У нас на сайте размещены материалы о новости политики, новости мира, новости экономики, новости общества, армии, науки, hi-tech, бизнесе, спорте, авто, кино и тв и обо всем, что так или иначе связано с этим. Сайт содержит как обзорную информацию в статьях, так и большое количество аналитической информации. Свежие и актуальные новости экономики позволяют подробнее узнать о тех или иных экономических критериях и показателях, разобраться в деятельности организаций, вопросах функционирования товарных и финансовых рынков.

Публикация на тему Аудит 683-П. Зачем проводить и что необходимо? собрала в себе максимум полезной информации, которая представлена удобочитаемым текстом и легка в восприятии. Будьте в курсе новостей финансовых рынков и аналитики. Совместите приятное с полезным, проведите Ваше время с нашим порталом новостей.
Система навигации сайта позволяет на интуитивном уровне ориентироваться среди многочисленных статей. Сайт регулярно обновляется, не пропустите самые важные новости!