Положение банка России № 757-П
Автор статьи:
Кобец Дмитрий Андреевич
Эксперт в сфере информационной безопасности25 июня 2021 года было опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Зарегистрировано в Минюсте РФ 15 июня 2021 г. Регистрационный № 63880.
Возможно заинтересует:
Вебинар «Что делать Банкам и НФО в 2024 году?»
Вебинар «Положение Банка России № 757-П на замену 684-П для некредитных финансовых организаций»
Презентация к вебинару: Разбор нового Положения ЦБ РФ № 757-П от 22 июня 2021 года
Некредитные финансовые организации — это?
Некредитные финансовые организации — это отдельно выделенный тип финансовых организаций, осуществляющих установленные ЦБ РФ виды деятельности. С 2013 года в отношении них Банком России был установлен контроль, надзор и государственное регулирование.
Перечень некредитных финансовых организаций
На кого распространяется данное Положение 757-П (или кому будет полезна настоящая статья):
- Участники рынка ценных бумаг;
- Инвестиционные фонды, паевые инвестиционные фонды;
- Негосударственные пенсионные фонды;
- Клиринговые организации;
- Субъекты страхового дела;
- Микрофинансовые организации
- и другие согласно Федеральному закону от 10.07.2002 №86-ФЗ (ред. от 13.06.2023) «О Центральном банке Российской Федерации (Банке России)».
Положение Центрального банка Российской Федерации 757-П замена 684-П
С выходом данного Положения отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.
Иными словами, можно сказать, что Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации при осуществлении деятельности в сфере финансовых рынков, конкретизирует особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов, введены дополнительные технологические меры в части использования ЕИС персональных данных, а также ЕСИА, установлены дополнительные требования к порядку информирования Банка России. Однако, новые требования не распространяются на лиц, осуществляющих актуарную деятельность.
Изменения и отличия в 757-П от 684-П
Давайте рассмотрим изменения и основные отличия Нового Положения от предыдущего. Их не очень много, но они имеются.
- Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. В Положении № 684-П определение уровня защиты информации должно было производится не позднее первого рабочего дня календарного года.
- Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие усиленному уровню защиты информации. К имеющимся в Положении № 684-П (центральные контрагенты, центральный депозитарий) добавились Регистраторы Финансовых транзакций.
- Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие стандартному уровню защиты информации.
- Добавился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие минимальному уровню защиты информации. В Положении № 684-П «минимальный» уровень вообще не упоминался, и решение о выполнении требований ГОСТ Р 57580.1-2017 организациям не попадающим под усиленный и стандартный уровни, организации должны были принимать самостоятельно.
К ним относят:
— Специализированные депозитарии ИФ, ПИФ и НПФ, стоимость активов которых < 1трлн. руб;
— Брокеры, дилеры, управляющие депозитарии и регистраторы, не попадающие под условия соответствия стандартному уровню;-
— Управляющие компании ИФ, паевых ИФ, и НПФ;
— Форекс-дилеры;
— Операторы финансовой платформы, которым не нужно соответствовать стандартному уровню;
— Операторы информационных систем, выпускающих ЦФА, которым не нужно соответствовать стандартному уровню;
— Оператор обмена ЦФА, которому не нужно соответствовать стандартному уровню;
— Страховые организации, не попадающие под условия соответствия стандартному уровню;
— Общества взаимного страхования;
— Страховые брокеры. - Изменились требования к прикладному программному обеспечению. Для организаций реализующих усиленный и стандартный уровень защиты информации появилось требование обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее — ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее — ГОСТ Р ИСО/МЭК 15408-3-2013). В Положении № 684-П было указано требование о проведении Анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.
Оценка соответствия отличается от анализа уязвимостей количеством классов доверия, которые надо подтвердить, и как следствие, количеством мероприятий.
- Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации. В Положении № 684-П данное требование распространялось на организации, реализующие стандартный и усиленный уровень защиты информации.
Регистрация инцидентов:
— Порядок информирования ЦБ РФ о сведения об инцидентах ИБ должен быть регламентирован;
— Информация о принятых мерах и мероприятиях по реагированию на инциденты ИБ передаётся в ЦБ РФ;
— Информирование об используемых сайтах, необходимых для осуществления финансовой деятельности. - Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код), в целях противодействия незаконным финансовым операциям. В положении № 684-П распространялось абсолютно на все некредитные финансовые операции.
Так же изменения коснулись и организаций, реализующих стандартный и усиленный уровень:
- В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости. Ранее таких требований не было.
- В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения. Данное требование не распространяется на некредитные финансовые организации в случаях, когда используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации.
- Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение и реализацию требований установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» в случае использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
- Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 210 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» в случае использования единой системы идентификации и аутентификации.
Когда Положение 757-П ЦБ РФ вступает в силу?
Положение Банка России № 757-П в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 4 декабря 2020 года № ПСД-29) вступает в силу по истечении 10 дней после дня его официального опубликования, а именно с 01 июля 2021 года. С этого же дня признается утратившим силу Положение Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
С 01 июля 2021 года Положение 757-П вступает в силу, а Положение 684-П признается утратившим силу.
Однако имеются пункты Положения, которым дается отсрочка на их реализацию и вступление в законную силу. К таким требования относятся:
- регистраторы финансовых транзакций должны реализовать требования по защите информации в соответствии с ГОСТ Р 57580.1-2017 к 1 января 2022 года;
- некредитные финансовые организации реализующие минимальный уровень защиты информации, должны обеспечить выполнение требований ГОСТ Р 57580.1-2017 к 1 июля 2022 года;
- некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия с 1 января 2022 года и действует по 30 июня 2023 года, а четвертый уровень соответствия с 1 июля 2023 года;
- требование по использованию узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности и применяемых информационных технологий, в том числе реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных, хранение узлами информационной системы доверенных сетевых адресов и реализацию механизма проверки некорректных узлов информационной системы для операторов информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов вступает в силу с 1 января 2024 года.
В заключении хочется отметить, что новое Положение № 757-П для некредитных финансовых организаций направлено на повышение требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, а, следовательно, положительно влияет на экономическую составляющую нашей страны.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
Задать вопрос эксперту
Связанные услуги
Наши кейсы по теме
Увеличение значения оценки соответствия требованиям ГОСТ Р 57580.1–2017
Заказчику потребовалось повысить числовое значение оценки для соответствия требованиям ГОСТ Р 57580.1–2017. Он обратился за консультацией в RTM Group. Эксперты проанализировали информационную инфраструктуру компании и предложили меры решения проблемы.
Проведение аудита на соответствие требованиям 757-П
Заказчик обратился в RTM Group с целью проведения аудита по 684-П. Требовалось не только осуществить оценку по ГОСТ Р 57580, но и проверить выполнение общих требований.