8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

757‑П: Приведение в соответствие и оценка для НФО

Мы предлагаем:

  • Обеспечение соответствия ГОСТ Р 57580.1-2017
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
  • Обеспечение соответствия основной части 757-П
  • Разработка организационно-распорядительной документации для соответствия 757-П и ГОСТ Р 57580.1-2017

Вы получаете:

Ввиду существенного отличия требований ГОСТ 57580 от уже привычных требований, мы окажем, помимо всего прочего, консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.

Важно:

Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

757‑П: Приведение в соответствие и оценка для НФО
Нужна консультация?

Эксперты по приведению в соответствие требованиям 757-П для НФО

Эксперт по приведению в соответствие требованиям 757-П для НФО Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 757-П для НФО Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 757-П для НФО Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 757-П для НФО Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 757-П для НФО Алтухов Артём Валерьевич

Алтухов Артём Валерьевич

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2017 года

Профиль >>

Все эксперты
Эксперт по приведению в соответствие требованиям 757-П для НФО Федюнина Анастасия Валерьевна

Федюнина Анастасия Валерьевна

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2019 года

Профиль >>

Все эксперты

Суть 757-П

25 июня 2021 года было опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Зарегистрировано в Минюсте РФ 15 июня 2021 г. Регистрационный № 63880. С выходом данного Положения отменяется действие Положение Банка России от 17 апреля 2019 г. № 684-П.

Скачать Положение 757-П можно по ссылке ( pdf).

Иными словами, можно сказать, что Положение № 757-П вышло на замену Положения № 684-П, и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации при осуществлении деятельности в сфере финансовых рынков, конкретизирует особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, а также оператора обмена таких активов, введены дополнительные технологические меры в части использования ЕИС персональных данных, а также ЕСИА, установлены дополнительные требования к порядку информирования Банка России. Однако, новые требования не распространяются на лиц, осуществляющих актуарную деятельность.

Аналогичное Положение под номером 683-П принято в отношении банков.

Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции необходимо четко разобрать содержание 757-П и выделить главное.

Какая информация должна защищаться по 757-П?

Некредитные финансовые организации в целях противодействия осуществлению незаконных финансовых операций при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых некредитными финансовыми организациями (далее соответственно — автоматизированные системы, защищаемая информация, защита информации):

  • информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций (далее — электронные сообщения);
  • информации, необходимой некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
  • информации об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях;
  • ключевой информации средств криптографической защиты информации, используемой некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (далее — криптографические ключи).

В случае если защищаемая информация содержит персональные данные, некредитные финансовые организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2021, № 1, ст. 54) (далее — Федеральный закон «О персональных данных».

На кого распространяются требования 757-П?

Все без исключения некредитные финансовые организации должны выполнять пункты 1.1-1.3 757-П. Содержание данных пунктов указывает на большой объем требований по работе со средствами криптографической защиты.

Важно!

Мероприятия по организации работы со средствами криптозащиты аналогичны банковским и требуют проведения значительных работ со стороны НФО или привлекаемыми организациями.

Далее 757-П, а именно пункты 1.4-1.15, содержат требования для тех НФО, которые обязаны реализовать усиленный, стандартный и минимальный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Некредитные финансовые организации, реализующий любой уровень (усиленный, стандартный, минимальный), должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код), в целях противодействия незаконным финансовым операциям.

Глава 2 посвящена Особенностям обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций.

Глава 3 посвящена Особенностям обеспечения защиты информации при осуществлении деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов.

    Нужна консультация?

    Какие НФО должны соответствовать ГОСТ Р 57580.1-2017?

    Усиленный уровень

    Требования по усиленному уровню защиты информации должны соблюдать:

    • центральные контрагенты;
    • центральный депозитарий;
    • регистраторы финансовых транзакций.

    Стандартный уровень

    Самая обширная часть НФО должна соблюдать требования, соответствующие стандартному уровню защиты информации по ГОСТ Р 57580.1-2017. В частности, стандартному уровню должны соответствовать:

    • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, размер активов которых, обслуживаемых по договорам об оказании услуг специализированного депозитария, составляет более одного триллиона рублей;
    • клиринговые организации;
    • организаторы торговли;
    • страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала двадцать миллиардов рублей;
    • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
    • негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал десять миллиардов рублей;
    • репозитарии, не являющиеся регистраторами финансовых транзакций;
    • брокеры, дилеры, управляющие, депозитарии и регистраторы, определившие хотя бы по одному из показателей деятельности, указанных в графе 2 приложения к Положению Банка России от 27 июля 2015 года № 481-П «О лицензионных требованиях и условиях осуществления профессиональной деятельности на рынке ценных бумаг, ограничениях на совмещение отдельных видов профессиональной деятельности на рынке ценных бумаг, а также о порядке и сроках представления в Банк России отчетов о прекращении обязательств, связанных с осуществлением профессиональной деятельности на рынке ценных бумаг, в случае аннулирования лицензии профессионального участника рынка ценных бумаг», зарегистрированному Министерством юстиции Российской Федерации 25 августа 2015 года № 38673, 29 июля 2016 года № 43030, 20 октября 2017 года № 48630, 22 января 2019 года № 53485, 26 января 2021 года № 62231 (далее — Положение Банка России № 481-П), в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации;
    • брокеры, дилеры, управляющие, депозитарии и регистраторы, указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П;
    • операторы инвестиционной платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг по привлечению инвестиций и (или) договоры об оказании услуг по содействию в инвестировании;
    • операторы финансовой платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг оператора финансовой платформы;
    • операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, осуществлявшие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов;
    • операторы обмена цифровых финансовых активов, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора обмена цифровых финансовых активов.

    Минимальный уровень

    В Положении 757-П появился перечень организаций, который должны реализовывать минимальный уровень защиты информации. К таким организациям относятся:

    • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • брокеры, дилеры, управляющие, депозитарии и регистраторы, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
    • форекс-дилеры;
    • операторы финансовой платформы, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • операторы обмена цифровых финансовых активов, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • страховые организации, не указанные в перечне организаций, реализующих стандартный уровень защиты информации;
    • общества взаимного страхования;
    • страховые брокеры;

    Что делать не попадающим под ГОСТ 57580 в соответствии с 757-П?

    Выделяется отдельная группа НФО, для которой 757-П является обязательным, но при этом они не подпадают под усиленный, стандартный или минимальный уровень защиты по ГОСТ Р 57580.1-2017.

    К таковым относятся:

    • Бюро кредитных историй
    • Микрофинансовые организации
    • Рейтинговые агентства
    • Ломбарды
    • Кредитные потребительские кооперативы
    • Жилищные накопительные кооперативы
    • Сельскохозяйственные кредитные потребительские кооперативы

    Такие НФО должны выполнять требования пунктов 1.1-1.3, пункта 1.4.1 (в части ежегодного определения уровня) и пункта 1.8 (в части самостоятельного определения необходимости сертификации и оценки соответствия прикладного программного обеспечения).

    Важно! На данную категорию НФО не распространяется требование проводить внешнюю оценку соответствия (аудит) по требованиям ГОСТ Р 57580

    Фактически нужно:

    1. Выделить и описать защищаемую информацию
    2. Довести до клиентов рекомендации по антивирусной защите
    3. Обеспечить работу с криптографией в соответствии с законом об электронной подписи, 66 приказом ФСБ России и пр.
    4. Создать ежегодную процедуру определения уровня защиты информации
    5. Определить необходимость сертификации или оценку соответствия (ОУД 4, ГОСТ Р ИСО/МЭК 15408-3-2013)

    Данные работы могут быть выполнены специалистами RTM Group одним этапом в сроки и цены указанные ниже.

    Как выполнить требования 757-П по усиленному, стандартному и минимальному уровню защиты информации?

    Оптимальным для приведения в соответствие требованиям 757-П и ГОСТа 57580.1 является разделение работ на 2 проекта.

    Проект №1 — Результатом которого будет частичное соответствие требованиям ГОСТа 57580.1 и четкий план приведения в соответствие

    Данный проект оптимально разделить на 3 этапа:

    Этап 1. Обследование внутренних информационных систем на предмет выявления ИС подпадающих под защиту в соответствии с Положением Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

    На данном этапе Исполнитель выявляет ИС, а также информацию, защита которых должна быть осуществлена в соответствии с требованиями ГОСТ Р 57580.1-2017.

    Проведение GAP-анализа на соответствие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положению от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

    На данном этапе:

    • составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1-2017;
    • оценивается выполнение мер по защите информации по ГОСТ Р 57580.1-2017 (с комментариями);
    • оценивается выполнение требований Положения от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

    По результатам данного этапа готовится оценка степени соответствия ГОСТ Р 57580.1-2017, а также план приведения в соответствие.

    Этап 2. Разработка Политики информационной безопасности и Частных политик (Положений)

    На данном этапе Исполнитель готовит базовые документы по защите информации включая, но не ограничиваясь:

    • Политика информационной безопасности;
    • Частная политика (положение) по антивирусной защите;
    • Частная политика (положение) по криптографической защите;
    • Частная политика (положение) по защите сети Интернет;
    • Частная политика (положение) по управлению инцидентами информационной безопасности;
    • и пр.

    Точный перечень документов определяется по результатам Этапа 1.

    Этап 3. На данном этапе: Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

    По результатам проведенных работ оформляется отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018, в частности, содержащий, в том числе:

    • перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
    • обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
    • числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
    • опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
    • опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

    Предоставленный отчет может быть предъявлен Банку России.

    Ниже представлен пример коммерческого предложения (Проект №1) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580.

     

    Проект №2 — Итоговое приведение в соответствие требованиям 757-П.

    Данный проект является результирующим. Детальный план работ определяется в зависимости от содержания плана приведения в соответствие 757-П (разрабатывается по итогу Проекта №1).

    Ниже представлен пример коммерческого предложения (Проект №2) для тех НФО, которые реализуют стандартный или усиленный уровень ГОСТ 57580. Для тех, кому ГОСТ не нужен, объем работ будет значительно меньше (как было указано выше).

     

    Оценка по ГОСТ Р 57580 для некредитных финансовых организаций

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией. В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    Как указано выше 757-П выделяет из всех некредитных финансовых организаций 3 группы НФО, которые должны соответствовать усиленному, стандартному или минимальному уровню защиты информации по ГОСТ Р 57580.1-2017. Именно такие НФО обязаны проводить внешнюю оценку соответствия по методике, указанной в ГОСТ Р 57580.2-2018.

    Оценка соответствия уровня защиты информации некредитными финансовыми организациями, реализующими усиленный уровень защиты информации, должна осуществляться не реже одного раза в год, некредитными финансовыми организациями, реализующими стандартный уровень защиты информации, — не реже одного раза в три года.

    Когда 757-П вступает в силу?

    Положение вступает в силу с 01 июля 2021 года, однако часть положений содержат отсрочку. В частности:

    • Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 с 1 января 2022 года.
    • Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018 с 1 июля 2023 года.
    • Требования безопасности для операторов финансовой платформы и регистраторов финансовых транзакций, а также требования безопасности для оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов вступают в силу с 1 января 2022 года.
    • Требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации, должны соблюдать следующие некредитные финансовые организации с 1 июля 2022 года.

    Дополнительные услуги по 757-П

    Сторонние организации, обладающие лицензиями ФСТЭК России, могут проводить следующие работы:

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать работы по 757-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Видео по приведению в соответствие требованиям 757-П для НФО

    Почему RTM Group

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    В составе ТК №122

    Партнер «Академии Информационных Систем»

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Цены на услуги по приведению в соответствие требованиям 757-П для НФО

    Наименование услуги Стоимость

    Консультация

    бесплатно

    Оценка соответствия по 757-П (без ОУД4)

    Срок — от 6 недель

    Опросный лист (анкета)

    от 300 000 руб.

    Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, финальная этап аудита общих требований 757-П (без ОУД4)

    Срок — от 10 недель

    от 600 000 руб.

    Оценка соответствия по ГОСТ Р 57580

    Срок — от 10 недель

    от 600 000 руб.

    Аудит в 3 этапа: GAP-анализ, разработка ОРД, финальная оценка соответствия по ГОСТ Р 57580

    Срок — от 12 недель

    от 800 000 руб.

    Полный аудит соответствия требованиям 757-П и проведение оценки по ГОСТ Р 57580

    Срок — от 18 недель

    от 1 000 000 руб.

    Разработка организационно-распорядительной документации (ОРД) на соответствие требованиям 757-П

    Срок — от 2 недель

    от 200 000 руб.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    Наши преимущества

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    3 лицензии

    ФСТЭК России и ФСБ России

    382-П, 683-П, 684-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Аудиты и экспертизы

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 400 аудитов

    Сотрудники компании провели более 400 аудитов по различным критериям

    FAQ: Часто задаваемые вопросы

    А те, кто не попадает ни в усиленный, ни в стандартный, ни в минимальный? Перечень ведь исчерпывающий

    Перечень исчерпывающий для ГОСТ, но само положение включает в себя не только требования по ГОСТ, это очень важно, то же самое было в 684-п. У нас есть пункты, например, 1.1-1.3, которые распространяются на все некредитные финансовые организации независимо от того, какой у них объем, какой вид деятельности и так далее. Если они у нас фигурируют в перечне некредитных финансовых организаций, указанном в 76 статье Федерального закона, то на них эти пункты 1.1-1.3 распространяются.
    Плюс – у нас еще есть целых две главы, которые распространяют свое действие на тех, кто работает с цифровыми финансовыми активами, для них глава 3, и для операторов финансовой платформы, регистраторов финансовых транзакций, это глава 2. Там отдельные технологические меры, которые расширяют перечень защищаемой информация и некоторые технологические меры по поводу их защиты. Таким образом, повторюсь еще раз – пункт 1.1-1.3 нужны всем, даже если НФО под ГОСТ не попадает.

    Усиленный уровень защиты по ГОСТ именно для РФТ, а для тех кто к ним подключается этот уровень защиты не нужен?

    Регистратор финансовых транзакций – это отдельный вид деятельности. Те, кто к ним подключаются, должны смотреть на свой вид деятельности. Это как если, допустим, вы являетесь клиентом банка «ВТБ» или «Сбербанк», вам не надо беспокоиться о том, чтобы для клиента был проведен ОУД, об этом должен беспокоиться сам банк. Точно также и здесь: если вы сами не являетесь регистратором финансовых транзакций, то пункты требований на вас не распространяются.

    Оценка соответствия по ОУД 4 — это разве не деятельность испытательных лабораторий?

    На самом деле очень хороший вопрос. Вообще оценку соответствия по оценочному уровню доверия проводит испытательная лаборатория, но вообще оценочные уровни доверия предназначены для средств защиты информации, таких как межсетевой экран, например, и вот их делают испытательные лаборатории. Здесь сказано, что может сделать любой лицензиат ФСТЭК или вообще некредитная финансовая организация сама, чтобы не ограничивать круг исполнителей, потому что у той же испытательной лаборатории это займет года полтора, и это только оценка, не считая подготовки документов. Кто сталкивался с сертификацией и оценкой знает, что процесс очень длительный. И для этого дают возможность более широкому кругу исполнителей проводить данные работы.

    Положение ЦБ РФ 757-П распространяется на ломбарды, но ломбарды не подпадают ни под один уровень ГОСТ 57580. Какие обязанности возложены на ломбарды по данному Положению?

    Это пункт 1.1-1.3, это значит – надо определить перечень защищаемой информации, защищать персональные данные, применять СКЗИ в соответствии с особыми положениями, и в общем-то такие требования, которые распространяются на все некредитные финансовые организации, в том числе на ломбарды, независимо от того, какой уровень ГОСТ организация применяет или не применяет.

    Что делать, если уже провели анализ уязвимостей по ОУД-4 (п.9 684-П), а сейчас по новому 757-П необходимо провести оценку соответствия не ниже ОУД-4? Нужно проводить дополнительные работы для соответствия новому 757-П?

    Во-первых, необходимо разработать и внедрить документацию по поддержке жизненного цикла, оценки знания по безопасности и тестированию. Отчетность по оценке соответствия тоже шире, чем по анализу уязвимостей, и если по анализу уязвимости достаточно было одного отчета об оценке, то при оценке соответствия необходимо еще выдать подтверждение соответствия, по-моему, называется документ по оценке знаний по безопасности, и провести выборочное функциональное тестирование. Я думаю, чем функциональное тестирование от тестирования уязвимости отличается пояснять не надо. То есть объем работ, мы оценивали отдельные проекты – вырастает примерно в три раза по сравнению с анализом уязвимостей. В то же время те, кто уже провели анализ уязвимостей, могут использовать его результаты при проведении оценки соответствия. Если у вас достаточно компетентно проведен анализ, то результаты скорее всего будут зачтены исполнителю, даже если это другой. Там и документы заявителя, и результаты самого анализа могут быть использованы, разумеется, при проведении оценки соответствия.

    Вопрос к последнему абзацу п.1.8 (в случае сертификации ПО …).Это к кому относится в целом? к НПФ, в том числе?

    Пункт 1.8 относится к некредитным финансовым организациям, реализующим усиленный и стандартный уровень защиты информации. Негосударственные пенсионные фонды вполне могут реализовывать стандартный уровень защиты информации, надо просто смотреть объемы и деятельность. Соответственно, если негосударственный пенсионный фонд по своим объемам попадает под стандартный уровень, то пункт 1.8 на него распространяется. И последний абзац соответственно: в случае сертификации ПО – то есть здесь уже НПО сам принимает решение, нужна ему сертификацию или он будет проходить оценку соответствия.

    О каких именно инцидентах нужно информировать ЦБ? Грубо говоря, если работник не убрал флешку в сейф или работник подхватил троян через интернет об этом нужно информировать ЦБ?

    В перечне типов инцидентов принято ссылаться на СТОБР 2018 года, потому что другой информации от ЦБ нет, и там есть вполне определенный перечень инцидентов. То есть инцидент, связанный с нарушением требований к обеспечению защиты информации. Если, например, сотрудник не вытащил ключ с цифровой подписью из компьютера и ушел домой, то это инцидент класса МТI.

    Поясните, в чем отличие анализа уязвимости и оценки соответствия. Подробнее… какие документы должны быть дополнительно?

    Перечень документов на самом деле достаточно большой. И конкретный перечень документов ничего не даст, потому что важно не название документа, а его содержание. Повторюсь – содержание документа должно быть по поддержке жизненного цикла, то есть какие-то процедуры поставки, процедуры внедрения, процедуры поддержки. А тестирование – то есть это планы функционального тестирования, нагрузочного, выборочного, внутреннего тестирования, и документы по оценке заданий по безопасности.

    О каких финансовых транзакциях мы говорим в рамках НПФ? это в продолжении вопросам о ПЭП

    В рамках НПФ надо смотреть вообще, какие они могут быть именно в конкретном НПФ. Мы сталкивались на практике с тем, что клиент, например, может распоряжаться своими накоплениями каким-то образом, в частности передавать в управляющие компании или оставлять на депозите. Вот это распоряжение о передаче кому-то денежных средств – это вполне себе финансовая транзакция, но в том НПФ, в котором мы сталкивались, это делалось по письменному заявлению, соответственно ни о какой электронной подписи там речь не шла.
    Вообще не все некредитные финансовые организации осуществляют финансовые транзакции. Я думаю, это тоже понятно. Понятно, что финансовые транзакцие осуществляют те, кто управляет цифровыми активами, понятно, что финансовые транзакции осуществляют регистраторы этих транзакций, но далеко не для всех некредитных финансовых организаций вообще таковые транзакции актуальны. Поэтому при выполнении 757-п необходимо, во-первых, определиться с видами деятельности, определиться с бизнес-процессами, которые эти виды деятельности реализуют, и на каких этапах этих самых бизнес-процессов у вас могут появиться финансовые транзакции. Если транзакций нет, если вы распоряжение по каким-то финансовым действием и клиенту принимаете в письменном виде или в ходе личного визита он там как-то это делает, то требования, которые касаются защиты электронных сообщений и финансовых транзакций, собственно говоря, неприменимы будут к данной некредитной финансовой организации.

    В 757-П нет термина финансовая транзакция, есть электронный документ?

    Нет термина «финансовая транзакция». В самом названии документа есть формулировка «противодействие осуществлению незаконных финансовых операций». Совершенную финансовую операцию мы просто называем транзакцией как синоним. Транзакция осуществляется на основании документа, документ может быть электронный, может быть бумажный, третьего пока не дано. Соответственно, если у нас финансовая транзакция, то есть уже совершенный перевод делается на основании электронного документа, то такой электронный документ необходимо защищать в соответствии со всеми требованиями 757-П. Если у нас транзакции проводятся на основании устного обращения, как прописано уже договоре с клиентом, либо письменного его заявления и нет электронного документ, то, соответственно, ни о какой защите этих самых финансовых операций, финансовых транзакций электронных документов речи идти не может.

    Заявление на открытие счета подпадает под 757-П?

    Напрямую не попадает, но других каких-то сведений о том, чтобы открытие счета именно являлось финансовой операцией пока не было. А вот если мы счет закрываем и выдаем какое-то распоряжение о том, куда надо перечислить остатки денежных средств, это вполне себе будет финансовая операция.

    Наши отзывы по приведению в соответствие требованиям 757-П для НФО

    Благодарность от ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ»

    17.02.2021

    ООО «ЖЕНЕВА ЭССЕТ ЭНД ВЭЛФ МЕНЕДЖМЕНТ» благодарит компанию ООО «РТМ ТЕХНОЛОГИИ» за проведённый аудит соответствия системы защиты информации требованиям Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» и помощь в разработке организационно-распорядительных документов. Со своей стороны хотим отметить высокую компетентность специалистов ООО «РТМ ТЕХНОЛОГИИ» по вопросам информационной безопасности. В рамках предварительного GAP-анализа специалисты ООО «РТМ ТЕХНОЛОГИИ» помогли сформировать пакет организационно-распорядительных документов и дали целевые, грамотно составленные рекомендации по ИБ. По результатам выполненных работ, надеемся на дальнейшее позитивное сотрудничество и рекомендуем компанию ООО «РТМ ТЕХНОЛОГИИ» как профессиональную аудиторскую компанию. С уважением, Генеральный директор А.Н. Бабичев

    Услуги для вас

    Полезные статьи

    НАМ ДОВЕРЯЮТ