8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Новости » Проекты изменений в Положения 821-П и 757-П ЦБ РФ

Проекты изменений в Положения 821-П и 757-П ЦБ РФ

13 августа 2024
Проекты изменений в Положения 821-П и 757-П ЦБ РФ

 

На данный момент статус документа неизвестен. Проект документа пропал с сайта регулятора.

12.08.2024 г. на сайте Банка России в разделе информационной безопасности опубликованы Проект указания Банка России «О внесении изменений в Положение Банка России от 17 августа 2023 года № 821-П» и Проект указания Банка России «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П».

Помимо общих корректировок, которые давно напрашивались из-за неточного толкования требований, проекты содержат несколько критических изменений.

Для 757-П

  1. Микрофинансовые организации теперь должны соответствовать требованиям по минимальному уровню защиты ГОСТ 57580.1 и соответствующим требованиям 757-П к субъектам с минимальным уровнем защиты
  2. Ранее операторы инвестиционных платформ и негосударственные пенсионные фонды, которые не превышали порог по резервам или клиентам, не попадали под регулирование по минимальному уровню (а только по стандартному при превышении порога) – теперь такие “незначительные” организации уже не выпадают из регулирования, а подпадают под минимальный уровень
  3. Добавлен запрет сведения процесса аутентификации к однократной аутентификации через ЕСИА. Новые правила утоняют, что такое подтверждение должно проводиться каждый раз отдельно
  4. Расширена область требований по применению электронной подписи. Теперь организации с минимальным уровнем защиты подпадают под эти требования

Для 821-П

  1. Центральный Банк уточняет, что при трансграничных переводах между ОПДС и иностранными банками на основании соглашений, ОПДС должны направлять в Центральный Банк копии таких соглашений.
  2. Уточняется, что Банки, для которых требования по уровню доверия к СЗИ повысились (с 5 до 4 уровня по приказу ФСТЭК №76), имеют 18 месяцев на проведение сертификации (или замену).

Среди менее важных корректировок можно выделить упоминание о требованиях к защите биометрических ПДн при взаимодействии через ЕБС.

Для всех совмещающих деятельность банков и деятельность по 757-П ЦБ уточнил, что в едином контуре должен реализовываться наивысший из уровней защиты по ГОСТ57580.1.

Для обоих положений Центральный Банк добавляет еще одно требование к организации, привлекаемой для аудита по ГОСТ 57580.1 – в дополнении к лицензиям, требуется подтверждение того, что организация соответствует требованиям ГОСТ Р ИСО/МЭК 17021-1-2017.

Для обоих положений уточняется, по какой форме субъекты финансовой сферы, указанные в 821-П и 757-П должны предоставлять отчетность о реализации технологических мер защиты (0409071, 0420433 и т.д.).

По вопросу проведения оценки ПО, которое используется в рамках финансовой деятельности, Центральный Банк уточняет, что она:

  • Должна проводиться при каждом изменении исходного кода ПО
  • Может не проводиться, если разработчик (НФО или субъекты 821-П) имеет заключение, что его “процессы разработки программного обеспечения и приложений включают меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений”

Оба проекта изменяют формулировку требования о подтверждении уполномоченного лица – теперь такое подтверждение реализуется с помощью электронной подписи с использованием личного ключевого носителя. Оба положения расширяют перечень регистрируемых данных при осуществлении финансовых операций.

Среди нового можно выделить требование о регистрации геолокации устройства, с которого был совершен доступ к банковской АС и защищаемой информации (при наличии таких данных).

Для субъектов 821-п и НФО добавлены нормативные сроки предоставления данных об инцидентах, данных по их расследованию и нормативные сроки ответа на запросы ЦБ.

Также Центральный Банк уточняет, что аудит выполнения требований по технологическим мерам защиты и выполнению требований по ОУД-4 должны проводиться периодически, наравне с аудитами по ГОСТ57580.1.

Планируемые сроки

В сопроводительные письма обоих проектов указано, что предложения и замечания по ним принимаются до 25 августа 2025 года.

  • Оба проекта, согласно содержанию самих проектов, будут приняты с 1 октября 2025 года
  • Требования к микрофинансовым организациям предпринимательского финансирования и микрофинансовым организациям, учредителем, акционером или участником которых является Российская Федерация, субъект Российской Федерации, муниципальное образование отложены до 1 октября 2026 года
  • Иные микрофинансовые организации (без государственного участия) подпадают под требования уже с 1 октября 2025 года