Соблюдение требований Центрального Банка: важные сроки и план действий для НФО

Требования, которым необходимо соответствовать НФО в 2023 году

Регулятор в лице центрального банка России (далее — ЦБ) продолжает выдвигать требования, которые следует соблюдать финансовым организациям, а также проводит проверки их выполнения. Требования определены не только для кредитных финансовых организаций, но и для некредитных финансовых организаций (далее — НФО). Значимость соблюдения требований из данных документов очень высока. И это связано не только с тем, что невыполнение требований приведет компанию к штрафам, санкциям, а возможно даже и к ликвидации. В первую очередь невыполнение мер информационной безопасности может привести к утечке и дальнейшему распространению закрытой информации компании или персональных данных пользователей, а также может повлечь за собой нарушение работы всей автоматизированной системы компании.

Ниже будут рассмотрены документы от ЦБ, требованиям которых необходимо соответствовать НФО в 2023 году, а именно: 779-П, 757-П, 802-П, 719-П.

Требования Центрального Банка до 1 июля

Целью положения 779-П является минимизация операционного риска для финансовых организаций, то есть осуществление операционной надежности (далее — ОН). Иными словами, в случае сбоев работы, которые могут возникнуть при каком-либо внутреннем или внешнем воздействии на инфраструктуру организации, работоспособность должна оставаться высокой, а функции работы не изменяться.

Для того чтобы цель, установленная документом, была достигнута, необходимо выполнить ряд требований, которые приведены в документе. А именно создать специальную систему показателей ОН и зафиксировать целевые показатели для каждого процесса в документах компании. Также следует в рамках каждого процесса определить и вести учет подразделений, сотрудников, лиц и поставщиков услуг, с которыми сотрудничает компания. Кроме того, в документе содержатся требования по повышению надежности в целом, например, информирование ЦБ об инцидентах ОН.

Положение вступило в силу 1 октября прошлого года. И организациям уже необходимо выполнять его требования, но согласно пункту 1.2 Положения ЦБ №779, НФО необходимо соблюдать уровни защиты информации (далее — ЗИ) в соответствии с Положением ЦБ №757 (определение уровней идет в соответствии с ГОСТ Р 57580.1). В свою очередь 757-П указывает нам на то, что организации, которые реализуют усиленный и стандартный уровни ЗИ, должны обеспечить уровень соответствия не ниже 4-го (уровни определены в ГОСТ Р 57580.2) к 1 июля 2023 года. Тем самым на осуществление этой меры у компаний остается месяц.

ГОСТ Р 57580.2 определяет 5 уровней соответствия. Целевые показатели для 4-го и 5-го уровней заключаются в пределах от 0,85 до 0,9 и от 0,9 до 1 соответственно.

Исходя из практики проведения аудитов можно смело сказать, что для достижения таких высоких показателей в организации, помимо мер процессов ГОСТа, должны быть реализованы циклы системы ЗИ (планирование, реализация, контроль, совершенствование, жизненный), требования к которым определены в ГОСТ Р 57580.1.

Само положение №757 пришло на замену 684-П и содержит в себе требования к обеспечению ЗИ в целях борьбы с незаконными финансовыми операциями. Документ вступил в силу 1 июля 2021 года.

Требования Центрального Банка в 2023 году

Требования ЦБ для НФО не ограничиваются документами, рассмотренными выше, т. к. существуют еще 802-П и 719-П.

802-П является новой версией бывшего положения №747. Документ вступил в силу 10 декабря 2022, в нем содержатся требования к ЗИ в платежной системе Банка России. Данное положение так же требует проводить оценку по ГОСТ Р 57580.1, согласно которому проверка должна проводиться 1 раз в 2 года. Поэтому, если в 2022 году оценка не проведена, то необходимо ее провести в этом.

719-П вступил в силу 1 января 2022 года и заменил собой прошлый документ 382-П. Стоит отметить, что данные документы сильно отличаются друг от друга. Требования положения ориентированы на усиление защиты информации при переводе денежных средств. В нем содержатся требования о проведении оценки по ГОСТ Р 57580.1 и организация должна иметь не менее 4-го уровня соответствия. Стоит учитывать, что самооценку проводить нельзя, оценка должна проводиться проверяющей организацией, которая является лицензиатом ФСТЭК. Также в документе содержатся технологические меры, которые можно реализовывать самостоятельно.

Рекомендации по соблюдению требований Центрального Банка

Итак, НФО в 2023 году необходимо соответствовать требованиям ЦБ, которые содержатся в положениях 719-П, 802-П, 757-П, 779-П.

Следуя всем этим документам, компаниям необходимо проводить оценку по ГОСТ Р 57580.1 один раз в два года. Поэтому все НФО, которые не проводили оценку в 2022 году, должны провести ее в 2023. Также стоит учитывать тот факт, что согласно документу 757-П с 1 июля 2023 года оценка организаций, которые реализуют стандартный и усиленный уровни ЗИ, должна быть не ниже 4-го уровня соответствия.

Стоит обратить внимание, что выполнение мер по ГОСТ — это, конечно, необходимо, но выполнение общих требований самих положений никто не отменял, поэтому следует проводить не только оценку по ГОСТу, но и аудиты по общим положениям ЦБ.

Для качественного проведения проверки на соответствие требованиям необходимо обратиться к специалистам. Как правило, у этих людей есть соответствующий опыт и они знают то, на что нужно обратить внимание при проверке.

Также довольно часто организации обращаются за помощью уже после проверки ЦБ и имеют на руках замечания, которые нужно оперативно исправить. Чтобы не допускать этого, необходимо заранее планировать проведение аудита, ведь чем раньше провести аудит, тем больше времени останется на устранение несоответствий, к тому же чем больше времени на проверку выделено, тем ниже будет ее стоимость, что тоже немаловажно.

Заключение

Многие из рассмотренных документов вступили в силу уже достаточно давно и если компания до сих пор не соответствует требованиям регулятора, то самое время пройти проверку и исправить недочеты, привести в порядок организационно-распорядительную документацию, возможно, докупить специальные средства ЗИ и расширить штат сотрудников, иначе есть большой риск получить не только лишь предупреждение во время проверки. Невыполнение требований может повлечь за собой огромные штрафы или прекращение деятельности компании.