Соблюдение требований Центрального Банка: важные сроки и план действий для НФО
Содержание данной статьи проверено и подтверждено:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиТребования, которым необходимо соответствовать НФО в 2023 году
Регулятор в лице центрального банка России (далее — ЦБ) продолжает выдвигать требования, которые следует соблюдать финансовым организациям, а также проводит проверки их выполнения. Требования определены не только для кредитных финансовых организаций, но и для некредитных финансовых организаций (далее — НФО). Значимость соблюдения требований из данных документов очень высока. И это связано не только с тем, что невыполнение требований приведет компанию к штрафам, санкциям, а возможно даже и к ликвидации. В первую очередь невыполнение мер информационной безопасности может привести к утечке и дальнейшему распространению закрытой информации компании или персональных данных пользователей, а также может повлечь за собой нарушение работы всей автоматизированной системы компании.
Ниже будут рассмотрены документы от ЦБ, требованиям которых необходимо соответствовать НФО в 2023 году, а именно: 779-П, 757-П, 802-П, 719-П.
Требования Центрального Банка до 1 июля
Целью положения 779-П является минимизация операционного риска для финансовых организаций, то есть осуществление операционной надежности (далее — ОН). Иными словами, в случае сбоев работы, которые могут возникнуть при каком-либо внутреннем или внешнем воздействии на инфраструктуру организации, работоспособность должна оставаться высокой, а функции работы не изменяться.
Для того чтобы цель, установленная документом, была достигнута, необходимо выполнить ряд требований, которые приведены в документе. А именно создать специальную систему показателей ОН и зафиксировать целевые показатели для каждого процесса в документах компании. Также следует в рамках каждого процесса определить и вести учет подразделений, сотрудников, лиц и поставщиков услуг, с которыми сотрудничает компания. Кроме того, в документе содержатся требования по повышению надежности в целом, например, информирование ЦБ об инцидентах ОН.
Положение вступило в силу 1 октября прошлого года. И организациям уже необходимо выполнять его требования, но согласно пункту 1.2 Положения ЦБ №779, НФО необходимо соблюдать уровни защиты информации (далее — ЗИ) в соответствии с Положением ЦБ №757 (определение уровней идет в соответствии с ГОСТ Р 57580.1). В свою очередь 757-П указывает нам на то, что организации, которые реализуют усиленный и стандартный уровни ЗИ, должны обеспечить уровень соответствия не ниже 4-го (уровни определены в ГОСТ Р 57580.2) к 1 июля 2023 года. Тем самым на осуществление этой меры у компаний остается месяц.
ГОСТ Р 57580.2 определяет 5 уровней соответствия. Целевые показатели для 4-го и 5-го уровней заключаются в пределах от 0,85 до 0,9 и от 0,9 до 1 соответственно.
Исходя из практики проведения аудитов можно смело сказать, что для достижения таких высоких показателей в организации, помимо мер процессов ГОСТа, должны быть реализованы циклы системы ЗИ (планирование, реализация, контроль, совершенствование, жизненный), требования к которым определены в ГОСТ Р 57580.1.
Само положение №757 пришло на замену 684-П и содержит в себе требования к обеспечению ЗИ в целях борьбы с незаконными финансовыми операциями. Документ вступил в силу 1 июля 2021 года.
Требования Центрального Банка в 2023 году
Требования ЦБ для НФО не ограничиваются документами, рассмотренными выше, т. к. существуют еще 802-П и 719-П.
802-П является новой версией бывшего положения №747. Документ вступил в силу 10 декабря 2022, в нем содержатся требования к ЗИ в платежной системе Банка России. Данное положение так же требует проводить оценку по ГОСТ Р 57580.1, согласно которому проверка должна проводиться 1 раз в 2 года. Поэтому, если в 2022 году оценка не проведена, то необходимо ее провести в этом.
719-П вступил в силу 1 января 2022 года и заменил собой прошлый документ 382-П. Стоит отметить, что данные документы сильно отличаются друг от друга. Требования положения ориентированы на усиление защиты информации при переводе денежных средств. В нем содержатся требования о проведении оценки по ГОСТ Р 57580.1 и организация должна иметь не менее 4-го уровня соответствия. Стоит учитывать, что самооценку проводить нельзя, оценка должна проводиться проверяющей организацией, которая является лицензиатом ФСТЭК. Также в документе содержатся технологические меры, которые можно реализовывать самостоятельно.
Рекомендации по соблюдению требований Центрального Банка
Итак, НФО в 2023 году необходимо соответствовать требованиям ЦБ, которые содержатся в положениях 719-П, 802-П, 757-П, 779-П.
Следуя всем этим документам, компаниям необходимо проводить оценку по ГОСТ Р 57580.1 один раз в два года. Поэтому все НФО, которые не проводили оценку в 2022 году, должны провести ее в 2023. Также стоит учитывать тот факт, что согласно документу 757-П с 1 июля 2023 года оценка организаций, которые реализуют стандартный и усиленный уровни ЗИ, должна быть не ниже 4-го уровня соответствия.
Стоит обратить внимание, что выполнение мер по ГОСТ — это, конечно, необходимо, но выполнение общих требований самих положений никто не отменял, поэтому следует проводить не только оценку по ГОСТу, но и аудиты по общим положениям ЦБ.
Для качественного проведения проверки на соответствие требованиям необходимо обратиться к специалистам. Как правило, у этих людей есть соответствующий опыт и они знают то, на что нужно обратить внимание при проверке.
Также довольно часто организации обращаются за помощью уже после проверки ЦБ и имеют на руках замечания, которые нужно оперативно исправить. Чтобы не допускать этого, необходимо заранее планировать проведение аудита, ведь чем раньше провести аудит, тем больше времени останется на устранение несоответствий, к тому же чем больше времени на проверку выделено, тем ниже будет ее стоимость, что тоже немаловажно.
Заключение
Многие из рассмотренных документов вступили в силу уже достаточно давно и если компания до сих пор не соответствует требованиям регулятора, то самое время пройти проверку и исправить недочеты, привести в порядок организационно-распорядительную документацию, возможно, докупить специальные средства ЗИ и расширить штат сотрудников, иначе есть большой риск получить не только лишь предупреждение во время проверки. Невыполнение требований может повлечь за собой огромные штрафы или прекращение деятельности компании.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram