8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
Перейти к услуге

Положение банка России № 757-П

Автор статьи:

25 июня 2021 года было опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Зарегистрировано в Минюсте РФ 15 июня 2021 г. Регистрационный № 63880.

Презентация к вебинару: Разбор нового Положения ЦБ РФ № 757-П от 22 июня 2021 года

 

Положение 757-П замена 684-П

С выходом данного Положения отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.

Иными словами, можно сказать, что Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации при осуществлении деятельности в сфере финансовых рынков, конкретизирует особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов, введены дополнительные технологические меры в части использования ЕИС персональных данных, а также ЕСИА, установлены дополнительные требования к порядку информирования Банка России. Однако, новые требования не распространяются на лиц, осуществляющих актуарную деятельность.

    Нужна консультация?

     

    Изменения и отличия в 757-П от 684-П

    Давайте рассмотрим изменения и основные отличия Нового Положения от предыдущего. Их не очень много, но они имеются.

    1. Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. В Положении № 684-П определение уровня защиты информации должно было производится не позднее первого рабочего дня календарного года.
    2. Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие усиленному уровню защиты информации. К имеющимся в Положении № 684-П (центральные контрагенты, центральный депозитарий) добавились Регистраторы Финансовых транзакций.
    3. Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие стандартному уровню защиты информации.
      Список организаций, которые должны соблюдать требования ГОСТ 57580 соответствующие стандартному уровню защиты информации
    4. Добавился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие минимальному уровню защиты информации. В Положении № 684-П «минимальный» уровень вообще не упоминался, и решение о выполнении требований ГОСТ Р 57580.1-2017 организациям не попадающим под усиленный и стандартный уровни, организации должны были принимать самостоятельно.
      Список организаций, которые должны соблюдать требования ГОСТ 57580 соответствующие минимальному уровню защиты информации
    5. Изменились требования к прикладному программному обеспечению. Для организаций реализующих усиленный и стандартный уровень защиты информации появилось требование обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее — ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее — ГОСТ Р ИСО/МЭК 15408-3-2013). В Положении № 684-П было указано требование о проведении Анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.

      Оценка соответствия отличается от анализа уязвимостей количеством классов доверия, которые надо подтвердить, и как следствие, количеством мероприятий.

    6. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации. В Положении № 684-П данное требование распространялось на организации, реализующие стандартный и усиленный уровень защиты информации.
      Регистрация инцидентов защиты информации
    7. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код), в целях противодействия незаконным финансовым операциям. В положении № 684-П распространялось абсолютно на все некредитные финансовые операции.

    Так же изменения коснулись и организаций, реализующих стандартный и усиленный уровень:

    1. В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости. Ранее таких требований не было.
    2. В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения. Данное требование не распространяется на некредитные финансовые организации в случаях, когда используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации.
    3. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение и реализацию требований установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» в случае использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
    4. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 210 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» в случае использования единой системы идентификации и аутентификации.
    Нужен аудит по 757-П?

     

    Когда Положение 757-П ЦБ РФ вступает в силу?

    Положение Банка России № 757-П в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 4 декабря 2020 года № ПСД-29) вступает в силу по истечении 10 дней после дня его официального опубликования, а именно с 01 июля 2021 года.  С этого же дня признается утратившим силу Положение Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

    С 01 июля 2021 года Положение 757-П вступает в силу, а Положение 684-П признается утратившим силу.

     

    Однако имеются пункты Положения, которым дается отсрочка на их реализацию и вступление в законную силу. К таким требования относятся:

    • регистраторы финансовых транзакций должны реализовать требования по защите информации в соответствии с ГОСТ Р 57580.1-2017 к 1 января 2022 года;
    • некредитные финансовые организации реализующие минимальный уровень защиты информации, должны обеспечить выполнение требований ГОСТ Р 57580.1-2017 к 1 июля 2022 года;
    • некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия с 1 января 2022 года и действует по 30 июня 2023 года, а четвертый уровень соответствия с 1 июля 2023 года;
    • требование по использованию узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности и применяемых информационных технологий, в том числе реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных, хранение узлами информационной системы доверенных сетевых адресов и реализацию механизма проверки некорректных узлов информационной системы для операторов информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов вступает в силу с 1 января 2024 года.

     

    В заключении хочется отметить, что новое Положение № 757-П для некредитных финансовых организаций направлено на повышение требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, а, следовательно, положительно влияет на экономическую составляющую нашей страны.

     

    Задать вопрос эксперту

      Связанные услуги