Положение банка России № 757-П

25 июня 2021 года было опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”. Зарегистрировано в Минюсте РФ 15 июня 2021 г. Регистрационный № 63880.

Возможно заинтересует:
Вебинар «Что делать Банкам и НФО в 2024 году?»
Вебинар «Положение Банка России № 757-П на замену 684-П для некредитных финансовых организаций»

Презентация к вебинару: Разбор нового Положения ЦБ РФ № 757-П от 22 июня 2021 года

Некредитные финансовые организации – это?

Некредитные финансовые организации – это отдельно выделенный тип финансовых организаций, осуществляющих установленные ЦБ РФ виды деятельности. С 2013 года в отношении них Банком России был установлен контроль, надзор и государственное регулирование.

Перечень некредитных финансовых организаций

На кого распространяется данное Положение 757-П (или кому будет полезна настоящая статья):

1. Участники рынка ценных бумаг;
2. Инвестиционные фонды, паевые инвестиционные фонды;
3. Негосударственные пенсионные фонды;
4. Клиринговые организации;
5. Субъекты страхового дела;
6. Микрофинансовые организации
7. и другие согласно Федеральному закону от 10.07.2002 №86-ФЗ (ред. от 13.06.2023) “О Центральном банке Российской Федерации (Банке России)”.

Положение Центрального банка Российской Федерации 757-П замена 684-П

С выходом данного Положения отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

Иными словами, можно сказать, что Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации при осуществлении деятельности в сфере финансовых рынков, конкретизирует особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов, введены дополнительные технологические меры в части использования ЕИС персональных данных, а также ЕСИА, установлены дополнительные требования к порядку информирования Банка России. Однако, новые требования не распространяются на лиц, осуществляющих актуарную деятельность.

Изменения и отличия в 757-П от 684-П

Давайте рассмотрим изменения и основные отличия Нового Положения от предыдущего. Их не очень много, но они имеются.

1. Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. В Положении № 684-П определение уровня защиты информации должно было производится не позднее первого рабочего дня календарного года.
2. Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие усиленному уровню защиты информации. К имеющимся в Положении № 684-П (центральные контрагенты, центральный депозитарий) добавились Регистраторы Финансовых транзакций.
3. Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие стандартному уровню защиты информации.
   
4. Добавился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие минимальному уровню защиты информации. В Положении № 684-П «минимальный» уровень вообще не упоминался, и решение о выполнении требований ГОСТ Р 57580.1-2017 организациям не попадающим под усиленный и стандартный уровни, организации должны были принимать самостоятельно.
   

   К ним относят:

   – Специализированные депозитарии ИФ, ПИФ и НПФ, стоимость активов которых < 1трлн. руб;
   – Брокеры, дилеры, управляющие депозитарии и регистраторы, не попадающие под условия соответствия стандартному уровню;-
   – Управляющие компании ИФ, паевых ИФ, и НПФ;
   – Форекс-дилеры;
   – Операторы финансовой платформы, которым не нужно соответствовать стандартному уровню;
   – Операторы информационных систем, выпускающих ЦФА, которым не нужно соответствовать стандартному уровню;
   – Оператор обмена ЦФА, которому не нужно соответствовать стандартному уровню;
   – Страховые организации, не попадающие под условия соответствия стандартному уровню;
   – Общества взаимного страхования;
   – Страховые брокеры.

5. Изменились требования к прикладному программному обеспечению. Для организаций реализующих усиленный и стандартный уровень защиты информации появилось требование обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети “Интернет”, прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности”, утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст “Об утверждении национального стандарта” (М., ФГУП “Стандартинформ”, 2014) (далее – ГОСТ Р ИСО/МЭК 15408-3-2013). В Положении № 684-П было указано требование о проведении Анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.
    

   Оценка соответствия отличается от анализа уязвимостей количеством классов доверия, которые надо подтвердить, и как следствие, количеством мероприятий.

6. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации. В Положении № 684-П данное требование распространялось на организации, реализующие стандартный и усиленный уровень защиты информации.
   

   Регистрация инцидентов:

   – Порядок информирования ЦБ РФ о сведения об инцидентах ИБ должен быть регламентирован;
   – Информация о принятых мерах и мероприятиях по реагированию на инциденты ИБ передаётся в ЦБ РФ;
   – Информирование об используемых сайтах, необходимых для осуществления финансовой деятельности.

7. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее – вредоносный код), в целях противодействия незаконным финансовым операциям. В положении № 684-П распространялось абсолютно на все некредитные финансовые операции.

Так же изменения коснулись и организаций, реализующих стандартный и усиленный уровень:

1. В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости. Ранее таких требований не было.
2. В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения. Данное требование не распространяется на некредитные финансовые организации в случаях, когда используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации.
3. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение и реализацию требований установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” в случае использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
4. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 210 “Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия” в случае использования единой системы идентификации и аутентификации.

Когда Положение 757-П ЦБ РФ вступает в силу?

Положение Банка России № 757-П в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 4 декабря 2020 года № ПСД-29) вступает в силу по истечении 10 дней после дня его официального опубликования, а именно с 01 июля 2021 года.  С этого же дня признается утратившим силу Положение Банка России от 17 апреля 2019 года № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

С 01 июля 2021 года Положение 757-П вступает в силу, а Положение 684-П признается утратившим силу.

Однако имеются пункты Положения, которым дается отсрочка на их реализацию и вступление в законную силу. К таким требования относятся:

1. регистраторы финансовых транзакций должны реализовать требования по защите информации в соответствии с ГОСТ Р 57580.1-2017 к 1 января 2022 года;
2. некредитные финансовые организации реализующие минимальный уровень защиты информации, должны обеспечить выполнение требований ГОСТ Р 57580.1-2017 к 1 июля 2022 года;
3. некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия с 1 января 2022 года и действует по 30 июня 2023 года, а четвертый уровень соответствия с 1 июля 2023 года;
4. требование по использованию узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности и применяемых информационных технологий, в том числе реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных, хранение узлами информационной системы доверенных сетевых адресов и реализацию механизма проверки некорректных узлов информационной системы для операторов информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов вступает в силу с 1 января 2024 года.

В заключении хочется отметить, что новое Положение № 757-П для некредитных финансовых организаций направлено на повышение требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, а, следовательно, положительно влияет на экономическую составляющую нашей страны.