757-П: что нового для некредитных финансовых организаций?

Что нового для НФО?

Прошел почти год с момента, как Положение 684-П было заменено на Положение 757-П. Новый документ гораздо объемнее предыдущего. Однако, до сих пор неясно, какие ключевые отличия имеются в 757-П по сравнению с 684-П. Наш небольшой материал призван расставить все по местам. Надеемся, что он внесет ясность для тех некредитных финансовых организаций (НФО), которым необходимо выполнять требования документа.

Итак, что нового по сравнению с 684-П?

1. Изменен срок определения уровня защиты информации. В новом Положении у некредитных финансовых организаций есть 10 дней в начале года на определение уровня защиты информации.
2. Расширился список организаций, которые должны соблюдать требования ГОСТ Р 57580.1-2017 соответствующие усиленному, стандартному и минимальному уровням защиты информации (добавлены в перечень операторы инвестиционной платформы, операторы финансовой платформы, операторы информационных систем, которые выпускают ЦФА и операторы обмена ЦФА).
3. Расширено требование по сертификации ПО, добавлена информация о необходимом уровне сертификации прикладного ПО и приложений.
4. НФО, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны в соответствии со своими внутренними процедурами осуществлять регистрацию инцидентов защиты информации.
5. Введено новое требование по подтверждению принадлежности клиенту адреса электронной почты (некредитные финансовые организации должны реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который НФО направляются уведомления о совершаемых финансовых операциях, в том числе, при предоставлении клиентам справок (выписок) по финансовым операциям).

На кого распространяется? Перечень некредитных финансовых организаций (НФО)

Почти на все НФО, реализующие минимальный, стандартный и усиленные уровни защиты. Ниже представлено распределение НФО по группам в зависимости от рода деятельности и от уровней защиты.

Минимальный уровень защиты определен для следующих организаций:

• специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• брокеры, дилеры, управляющие, депозитарии и регистраторы, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
• форекс-дилеры;
• операторы финансовой платформы, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• операторы обмена цифровых финансовых активов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• страховые организации, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
• общества взаимного страхования;
• страховые брокеры.

Стандартный уровень защиты определен для следующих организаций:

• специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, размер активов которых, обслуживаемых по договорам об оказании услуг специализированного депозитария, составляет более одного триллиона рублей;
• клиринговые организации;
• организаторы торговли;
• страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала двадцать миллиардов рублей;
• негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
• негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал десять миллиардов рублей;
• репозитарии, не являющиеся регистраторами финансовых транзакций;
• брокеры, дилеры, управляющие, депозитарии и регистраторы, определившие хотя бы по одному из показателей деятельности, указанных в графе 2 приложения к Положению Банка России от 27 июля 2015 года № 481-П «О лицензионных требованиях и условиях осуществления профессиональной деятельности на рынке ценных бумаг, ограничениях на совмещение отдельных видов профессиональной деятельности на рынке ценных бумаг, а также о порядке и сроках представления в Банк России отчетов о прекращении обязательств, связанных с осуществлением профессиональной деятельности на рынке ценных бумаг, в случае аннулирования лицензии профессионального участника рынка ценных бумаг», зарегистрированному Министерством юстиции Российской Федерации 25 августа 2015 года № 38673, 29 июля 2016 года № 43030, 20 октября 2017 года № 48630, 22 января 2019 года № 53485, 26 января 2021 года № 62231 (далее — Положение Банка России № 481-П), в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации;
• брокеры, дилеры, управляющие, депозитарии и регистраторы, указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П;
• операторы инвестиционной платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг по привлечению инвестиций и (или) договоры об оказании услуг по содействию в инвестировании;
• операторы финансовой платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг оператора финансовой платформы;
• операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, осуществлявшие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов;
• операторы обмена цифровых финансовых активов, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора обмена цифровых финансовых активов.

Усиленный уровень защиты определен для следующих организаций:

• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций.

Также выделяется отдельная группа НФО, для которой 757-П является обязательным, но при этом они не подпадают под усиленный, стандартный или минимальный уровень защиты по ГОСТ Р 57580.1-2017.

К этой группе относятся:

1. Бюро кредитных историй
2. Микрофинансовые организации
3. Рейтинговые агентства
4. Ломбарды
5. Кредитные потребительские кооперативы
6. Жилищные накопительные кооперативы
7. Сельскохозяйственные кредитные потребительские кооперативы

Такие НФО должны выполнять требования пунктов 1.1-1.3, пункта 1.4.1 (в части ежегодного определения уровня) и пункта 1.8 (в части самостоятельного определения необходимости сертификации и оценки соответствия прикладного программного обеспечения).

Что по срокам?

Данное Положение вступило в силу с 1 июля 2021 года, и определяет следующие сроки:

• НФО с минимальным уровнем защиты информации должны соблюдать требования с 1 июля 2022 года
• Требования безопасности для операторов финансовой платформы и регистраторов финансовых транзакций, а также требования безопасности для оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов вступают в силу с 1 января 2022 года.
• НФО, реализующие стандартный и усиленный уровни защиты информации, должны соблюдать требования с 1 июля 2023 года.
• НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия по ГОСТ 57580 не ниже третьего с 1 января 2022 года, и не ниже четвертого с 1 июля 2023 года.