Документы по 683-П ЦБ РФ

Положение Банка России № 683-П уже действует больше двух лет, однако, вопросы о соответствии требованиям нормативного документа до сих пор актуальны. Одним из вопросов является составление перечня организационно-распорядительной документации в области применения Положения № 683-П (подробнее на сайте RTM Group).

Нормативный документ включает в себя группы требований, которые необходимо выполнять при осуществлении банковской деятельности, а именно:

  • безопасность технологии обработки защищаемой информации;
  • безопасность прикладного программного обеспечения автоматизированных систем и приложений;
  • безопасность объектов информационной инфраструктуры;
  • и ряд иных требований.

Требования и ориентировочный перечень внутренних документов 683-П

Для начала необходимо определить информацию, подлежащую защите в соответствии с Положением № 683-П. Результатом работ должно быть документарное определение перечня защищаемой информации.

Следующие пункты связаны с применением мер в отношении технологии обработки защищаемой информации. Здесь было бы неплохо иметь документарное описание технологии обработки информации на всех технологических участках, а также процедуры контроля установленных правил обработки защищаемой информации. Это поможет не только при выполнении требований Положения № 683-П, но и при адаптации новых сотрудников в сфере информационной безопасности (ИБ) для понимания бизнес-процессов или при расследовании инцидентов, как пример.

Далее необходимо учесть требования законодательства в области защиты персональных данных и использования средств криптографической защиты информации (СКЗИ) и разработать соответствующие пакеты документов, регламентирующих порядок обеспечения ИБ в указанных областях.  

Так как исследуемый нормативный документ нацелен на предотвращение переводов денежных средств без согласия клиентов, то одним из его требований является формирование для клиентов рекомендаций по предотвращению несанкционированного доступа к защищаемой информации и по защите от вредоносных кодов.

Далее по документу встречаем требования по управлению инцидентами ИБ, и лишний раз убеждаемся, что процедуры управления инцидентами должны быть документарно определены, в том числе и процедуры взаимодействия с регулятором и иными подразделениями организации.

Документы по ГОСТ 57580.1

В Положении № 683-П также имеются ссылки на выполнение требований ГОСТ 57580, который, в свою очередь, предусматривает документарное определение всех процессов защиты информации в организации. С учетом этого, помимо документов, указанных выше, необходимо разработать комплекты документов в области ИБ:

  • определение процедур управления логическим доступом (контроль за учетными записями и правами, парольная защита, правила предоставления логического доступа и т. д.);
  • определение правил предоставления физического доступа;
  • определение правил учета объектов и ресурсов доступа, а также правил контроля их состава;
  • определение процедур защиты вычислительной сети (выделение контуров безопасности и внутренних сегментов сети, установление разрешенных правил межсетевого взаимодействия, контроль сетевой активности, защита почтового обмена и беспроводных сетей);
  • определение правил поиска и устранения уязвимостей системы защиты информации;
  • определение процедур резервного копирования данных;
  • определение правил обновления программного обеспечения (ПО) в организации и контроля состава на рабочих станциях и серверном оборудовании;
  • определения порядка реализации антивирусной защиты в организации;
  • определение возможных каналов утечки информации и регламентация мер по предотвращению утечек;
  • определение правил работы с носителями информации;
  • определение правил регистрации, мониторинга и хранения событий защиты информации;
  • определение правил управления и обработки инцидентов ИБ;
  • определение правил защиты среды виртуализации;
  • определение правил защиты удаленного доступа;
  • определение правил защиты информации на стадиях жизненного цикла применяемых автоматизированных систем;
  • определение процедур контроля за реализацией процессов защиты информации;
  • определение порядка фиксации решений о совершенствовании системы защиты информации;
  • определение порядка повышения осведомленности в области ИБ для сотрудников организации.

Таким образом, формируется перечень направлений для разработки внутренних нормативных документов, который может варьироваться в зависимости от особенностей инфраструктуры организации и актуальных угроз безопасности информации.