20 апреля 2021 года Банк России опубликовал на официальном портале проект Положения № 757-П «Об установлении обязательных для не кредитных финансовых организаций требований к обеспечению защиты информацию при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Данное Положение вступает в силу по истечении 10 дней после официальной публикации (дата опубликования – 22 июня 2021 г.) и заменяет Положение № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельность в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Документ полностью изменил свою структуру, теперь он состоит из 4 глав. И если 1 и 4 главы практически идентичны тексту Положения №684-П, то 2 и 3 главы являются нововведением для некредитных финансовых организаций.
Одним из ключевых изменений, при первом прочтении документа, которое бросается в глаза, является изменение перечня некредитных финансовых организаций, реализующих усиленный и стандартный уровни защиты информации, выделение перечня некредитных финансовых организаций, которые реализуют минимальный уровень защиты информации. Также немаловажно выделение Банком России особенностей обеспечения защиты информации для оператора финансовой платформы, регистратора финансовых транзакций (Глава 3) и оператора информационной системы, в которых осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов (Глава 4).
Что изменилось
В Таблице 1 представлены различия 1 и 4 главы Положения 757-П и текста Положения № 684-П.
Таблица 1. Сравнение Положения № 757-П и Положения № 684-П.
|
Положение №684-П |
Положение №757-П |
Различия | ||
|
пункт |
содержание |
пункт |
содержание |
|
|
5.1 |
Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее - дата определения уровня защиты информации). |
1.4.1 |
Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации (далее - дата определения уровня защиты информации). |
Изменен срок определения уровня защиты информации. Теперь у некредитных финансовых организаций есть 10 дней в начале года на определение уровня защиты информации. |
|
5.4 |
Некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации (далее при совместном упоминании - некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации), должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры |
1.4.5 |
Некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации (далее при совместном упоминании - некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации), должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости в порядке и сроки, установленные в разрабатываемых такими некредитными финансовыми организациями документах, регламентирующих процедуры нейтрализации угроз безопасности информации. |
Установлен период проведения тестирования на проникновение. Организации, относящиеся к усиленному и стандартному уровню должны проводить ежегодное тестирование на проникновение. |
|
6 |
Оценка определенного уровня защиты информации |
1.5 |
Оценка соответствия уровня защиты информации |
Скорректирована формулировка с точки зрения соответствия ГОСТ Р 57580.1-2017. |
|
6.1 |
Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - проверяющая организация). |
1.5.1 |
Оценка соответствия уровня защиты информации должна осуществляться некредитными финансовыми организациями с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, No 26, ст. 4049) (далее - проверяющая организация). |
Без изменений |
|
6.2 |
Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018). |
1.5.2 |
1.5.2. Оценка соответствия уровня защиты информации должна осуществляться некредитными финансовыми организациями с привлечением проверяющих организаций в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2018) (далее - ГОСТ Р 57580.2-2018). |
Без изменений |
|
6.3 |
Оценка определенного уровня защиты информации должна осуществляться некредитными финансовыми организациями, реализующими усиленный уровень защиты информации, не реже одного раза в год, некредитными финансовыми организациями, реализующими стандартный уровень защиты информации, - не реже одного раза в три года. |
1.5.3 |
Оценка соответствия уровня защиты информации некредитными финансовыми организациями, реализующими усиленный уровень защиты информации, должна осуществляться не реже одного раза в год, некредитными финансовыми организациями, реализующими стандартный уровень защиты информации, - не реже одного раза в три года. |
Без изменений |
|
8 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом "г" пункта 6.9 ГОСТ Р 57580.2-2018. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 ГОСТ Р 57580.2-2018. |
1.7 |
1.7. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом «r» пункта 6.9 ГОСТ Р 57580.2-2018. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018. |
Без изменений |
|
9 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей (далее - сертификация), или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - анализ уязвимостей). Некредитные финансовые организации, не указанные в абзаце первом настоящего пункта, должны самостоятельно определять необходимость сертификации или анализа уязвимостей. В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего подпункта, некредитные финансовые организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей. По решению некредитной финансовой организации анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации. |
1.8 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»), прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю (далее - сертификация) или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее -ГОСТ Р ИСО/МЭК 15408-3-2013) (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений). Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений. В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, некредитные финансовые организации должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений. По решению некредитной финансовой организации оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации. Некредитные финансовые организации, реализующие усиленный уровень защиты информации, в случае сертификации прикладного программного обеспечения автоматизированных систем и приложений должны обеспечить их сертификацию не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», зарегистрированным Министерством юстиции Российской Федерации 11 сентября 2020 года № 59772 (далее - приказ ФСТЭК России № 76). Некредитные финансовые организации, реализующие стандартный уровень защиты информации, в случае сертификации прикладного программного обеспечения автоматизированных систем и приложений должны обеспечить их сертификацию не ниже 5 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России № 76. |
Добавлена информации о необходимом уровне сертификации прикладного ПО и приложений. Некредитные финансовые организации, реализующие усиленный уровень защиты информации, должны обеспечить либо сертификацию не ниже 4 уровня доверия, либо оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4. Некредитные финансовые организации, реализующие стандартный уровень защиты информации, должны обеспечить либо сертификацию не ниже 5 уровня доверия, либо оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4. |
|
10 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом. Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи". |
1.9 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом. В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения. Указанные в абзаце втором настоящего пункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации. Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; 2019, № 52, ст. 7794). |
Требование расширено. |
|
– |
– |
1.10.2 |
Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций, должна обеспечивать выполнение следующих мероприятий: - в
случае использования единой информационной системы персональных данных,
обеспечивающей обработку, включая сбор и хранение, биометрических
персональных данных, их проверку и передачу информации о степени их
соответствия предоставленным биометрическим персональным данным гражданина
Российской Федерации, - реализацию установленных приказом Федеральной службы
по техническому и экспортному контролю
от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных»,
зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года №
46487, 8 июля 2020 года № 58877, приказом Федеральной службы
безопасности Российской Федерации
от 10 июля
2014 года № 378 «Об
утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите персональных данных
для каждого из уровней защищенности», зарегистрированным Министерством юстиции
Российской Федерации 18 августа
2014 года № 33620, технических и организационных мер в целях нейтрализации
угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических
персональных данных, их проверке и передаче информации о степени их
соответствия предоставленным биометрическим персональным данным гражданина
Российской Федерации; - в случае использования единой системы идентификации и аутентификации - соблюдение требований к обеспечению защиты информации в соответствии Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 21О «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия», зарегистрированным Министерством юстиции Российской Федерации 25 августа 2015 года No 38668, 2 июня 2017 года № 46934. |
Введено новое требование |
|
11.4 |
Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий: - проверку соответствия (сверку) выходных электронных сообщений соответствующим входным электронным сообщениям; - проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях; - направление клиентам некредитных финансовых организаций уведомлений об осуществлении финансовых операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, или договором. |
1.10.5 |
Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий: - проверку соответствия (сверку) выходных электронных сообщений соответствующим входным электронным сообщениям; - проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях; - направление клиентам некредитных финансовых организаций уведомлений об осуществлении финансовых операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, или договором. Некредитные финансовые организации должны реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который некредитной финансовой организацией направляются уведомления о совершаемых финансовых операциях, в том числе при предоставлении клиентам справок (выписок) по финансовым операциям. |
Введено новое требование по подтверждению принадлежности клиенту адреса электронной почты |
|
12 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, с соблюдением следующих требований. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны регистрировать следующую информацию о действиях своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения: - дату (день, месяц, год) и время (часы, минуты, секунды) осуществления финансовой операции, а для клиентов - совершение действий в целях осуществления финансовой операции; - присвоенный работнику (клиенту) идентификатор, позволяющий идентифицировать работника (клиента) в автоматизированной системе, программном обеспечении; - код, соответствующий технологическому участку; - результат осуществления финансовой операции - для работника, совершение действий в целях осуществления финансовой операции - для клиента; - идентификационную информацию, используемую для идентификации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций: для работников (клиентов) - сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) работника (клиента); для клиентов - международный идентификатор абонента-клиента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства клиента. |
1.11 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, с соблюдением следующих требований. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны регистрировать следующую информацию о действиях своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения: - в отношении работника- дату (день, месяц, год) и время (часы, минуты, секунды) осуществления финансовой операции, в отношении клиента совершение действий в целях осуществления финансовой операции; - присвоенный работнику (клиенту) идентификатор, позволяющий идентифицировать работника (клиента) в автоматизированной системе, программном обеспечении; - код, соответствующий технологическому участку; - в отношении работника - результат осуществления финансовой операции, в отношении клиента - совершение действий в целях осуществления финансовой операции; - информацию, используемую для идентификации устройства, с применением которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций: сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) работника (клиента), международный идентификатор абонента-клиента (индивидуальный номер абонента-клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства клиента. |
Уточнена ряд формулировок. Уточнены 2 действия в отношении работника. |
|
13.1
13.2
15 |
– |
1.14.1
1.14.2
1.15 |
– |
В пункты, связанные с обработкой инцидентов, помимо некредитных финансовых организаций, реализующих усиленный и стандартный уровень защиты информации, также был добавлен минимальный уровень защиты информации. Для некредитных финансовых организаций, реализующих усиленный и стандартный уровень защиты информации без изменений. |
|
15 |
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России: - о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов; - о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. |
1.15 |
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны информировать Банк России: - о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети «Интернет», а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации; - o принадлежащих некредитной финансовой организации и (или) администрируемых в ее интересах сайтах в сети «Интернет», которые используются некредитной финансовой организацией для осуществления деятельности в сфере финансовых рынков; - o планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия некредитных финансовых организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет». |
Детализирован порядок информирования Банка России об инцидентах ЗИ.. |
|
18 |
Настоящее Положение не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736). |
4.3 |
Действие настоящего Положения не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017,№ 31, ст. 4736). При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются при осуществлении финансовых операций некредитными финансовыми организациями и которые являются объектами критической информационной инфраструктуры Российской Федерации, настоящее Положение применяется наряду с требованиями Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Действие настоящего Положения не распространяется на лиц, осуществляющих актуарную деятельность. |
Банк Росси явно указал, что необходимо применять как 187-ФЗ, так и Положение № 757-П |
Что нового
Глава 2 и 3 являются новыми. Для оператора финансовой платформы, регистратора финансовых транзакций (Глава 3) и оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов (Глава 4) расширяется перечень защищаемой информации, требования к технологии обработки защищаемой информации. Также к оператору информационной системы, в которой осуществляется выпуск цифровых финансовых активов и оператору обмена цифровых финансовых активов предъявляются требования по выполнению перечня мероприятий для выполнения требований к технологии обработки защищаемой информации.
Одно из самых существенных изменений в Положении 757-П – изменение перечня некредитных финансовых организаций, выполняющих требования усиленного и стандартного уровня защиты информации. Дополнительно, теперь предъявляются требования к организациям, выполняющим минимальный уровень защиты информации.
Более подробно в таблице ниже.
Таблица 2 – Сводный перечень некредитных финансовых организаций, выполняющих требования усиленного, стандартного, минимального уровней.
|
№ |
Положение № 684-П (Было) |
Положение № 757-П (Стало) |
|
Усиленный уровень защиты информации |
||
|
1 |
центральные контрагенты |
центральные контрагенты |
|
2 |
центральный депозитарий |
центральный депозитарий |
|
3 |
– |
регистраторы финансовых транзакций |
|
Стандартный уровень защиты информации |
||
|
4 |
специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов |
специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, размер активов которых, обслуживаемых по договорам об оказании услуг специализированного депозитария, составляет более одного триллиона рублей |
|
5 |
клиринговые организации |
клиринговые организации |
|
6 |
организаторы торговли |
организаторы торговли |
|
7 |
страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей |
страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала двадцать миллиардов рублей |
|
8 |
негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию |
негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию |
|
9 |
негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей |
негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал десять миллиардов рублей |
|
10 |
репозитарии |
репозитарии, не являющиеся регистраторами финансовых транзакций |
|
11 |
брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц |
Изменено на строку 16, 17 Настоящей Таблицы. |
|
12 |
дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал |
Изменено на строку 16, 17 Настоящей Таблицы. |
|
13 |
депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым - пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П "О порядке открытия и ведения депозитариями счетов депо и иных счетов", зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей |
Изменено на строку 16, 17 Настоящей Таблицы. |
|
14 |
регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц |
Изменено на строку 16, 17 Настоящей Таблицы. |
|
15 |
управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления |
Изменено на строку 16, 17 Настоящей Таблицы. |
|
16 |
Были представлены строками 11-15 Настоящей Таблицы. |
брокеры, дилеры, управляющие, депозитарии и регистраторы, определившие хотя бы по одному из показателей деятельности, указанных в графе 2 приложения к Положению Банка России от 27 июля 2014 года № 481-П "О лицензионных требованиях и условиях осуществления профессиональной деятельности на рынке ценных бумаг, ограничениях на совмещение отдельных видов профессиональной деятельности на рынке ценных бумаг, а также о порядке и сроках представления в Банк России отчетов о прекращении обязательств, связанных с осуществлением профессиональной деятельности на рынке ценных бумаг, в случае аннулирования лицензии профессионального участника рынка ценных бумаг", зарегистрированному Министерством юстиции Российской Федерации 25 августа 2015 N 38673, 29 июля 2016 года № 43030, 20 октября 2017 года № 48630, 22 января 2019 года № 53485, 26 января 2021 года № 62231, в качестве годового диапазона квартальный диапазон, указанный в графе 5 приложения к Положению Банка России № 481-П, по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации |
|
17 |
Были представлены строками 11-15 Настоящей Таблицы. |
брокеры, дилеры, управляющие, депозитарии и регистраторы, указанные в абзаце десятом подпункта 2.1.11 пункта 2.1 Положения Банка России № 481-П |
|
18 |
– |
операторы инвестиционной платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг по привлечению инвестиций и (или) договоры об оказании услуг по содействию в инвестировании |
|
19 |
– |
операторы инвестиционной платформы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем ста тысячам лиц, с которыми заключены договоры об оказании услуг оператора финансовой платформы |
|
20 |
– |
операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, осуществляющие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов |
|
21 |
– |
операторы обмена цифровых финансовых активов, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли оказание услуг более чем двадцати пяти тысячам лиц, с которыми заключены договоры об оказании услуг оператора обмена цифровых финансовых активов |
|
Минимальный уровень защиты информации |
||
|
22 |
– |
специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанные в подпункте 1.4.3 настоящего пункта |
|
23 |
– |
брокеры, дилеры, управляющие, депозитарии и регистраторы, не указанные в подпункте 1.4.3 настоящего пункта |
|
24 |
– |
управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов |
|
25 |
– |
форекс-дилеры |
|
26 |
– |
операторы финансовой платформы, не указанные в подпункте 1.4.3 настоящего пункта |
|
27 |
– |
операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, не указанные в подпункте 1.4.3 настоящего пункта |
|
28 |
– |
операторы обмена цифровых финансовых активов, не указанные в подпункте 1.4.3 настоящего пункта |
|
29 |
– |
страховые организации, не указанные в подпункте 1.4.3 настоящего пункта |
|
30 |
– |
общества взаимного страхования |
|
31 |
– |
страховые брокеры |
|
32 |
– |
лица, указанные в абзаце третьем пункта 5 статьи 61 Закона Российской Федерации от 27 ноября 1992 года№ 4015-I «Об организации страхового дела в Российской Федерации» (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, № 2, ст. 56; Собрание законодательства Российской Федерации, 1998, № 1, ст. 4; 2020, № 30, ст. 4738) |
Сроки
Сроки вступления в силу отдельных пунктов Положения также были откорректированы. Сравнение сроков исполнения Положения № 684-П и Положения № 757-П представлено в таблице.Таблица 3 – Сроки выполнения мероприятий по защиту информации.
|
Мероприятие |
Раздел положения 757-П |
Уровень защиты информации |
Дата вступления в силу | |
|
Положение №684-П |
Положение №757-П |
|||
|
Тестирования на проникновение |
пп. 1.4.5 |
Стандартный уровень Усиленный уровень |
01.01.2021 |
Со дня вступление Положения в силу. Без изменений. |
|
Использование ПО по сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю по 5 или 4 уровню доверия, или оценку соответствия по требованиям к оценочному уровню доверия, не ниже, чем ОУД 4. |
п. 1.8 |
Стандартный уровень Усиленный уровень |
01.01.2020 |
Со дня вступление Положения в силу. Без изменений. |
|
Определение уровня защиты информации |
пп. 1.4.1, пп. 1.4.2 |
Стандартный уровень Усиленный уровень Минимальный уровень |
01.01.2021 |
Со дня вступление Положения в силу. Без изменений. |
|
Оценка соответствия уровня защиты информации |
п. 1.5 |
Стандартный уровень Усиленный уровень |
01.01.2021 |
Со дня вступление Положения в силу. Без изменений. |
|
Обеспечить уровень соответствия не ниже 3 (третьего) уровня соответствия |
п. 1.7 |
Стандартный уровень Усиленный уровень |
01.01.2022 – 30.06.2023 |
01.01.2022 – 30.06.2023 |
|
Обеспечить уровень соответствия не ниже 4 (четвертого) уровня соответствия |
п. 1.7 |
Стандартный уровень Усиленный уровень |
01.07.2023 |
01.07.2023 |
|
Изменения в перечень организаций, которые должны соблюдать усиленный или стандартный уровень |
Абзац четвертый пп. 1.4.2; Абзацы одиннадцатый, четырнадцатый пп.1.4.3; Главы 2 и 3, за исключением абзаца четвертого пункта 3.3. |
Стандартный уровень Усиленный уровень |
– |
01.01.2022 |
|
Изменения в перечень организаций, которые должны соблюдать усиленный или минимальный уровень |
пп. 1.4.4. |
Минимальный уровень |
– |
01.07.2022 |
|
Требования к операторам финансовой платформы, регистратора финансовых транзакций |
Глава 2 |
– |
– |
01.01.2022 |
|
Требования к операторам информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых |
Глава 3, за исключение четвёртого абзаца п.3.3 |
– |
– |
01.01.2022 |
|
Требования к операторам информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых |
Четвёртый абзаца п.3. |
– |
– |
01.01.2024 |
|
Доведение рекомендаций до клиентов по ИБ |
п. 1.13 |
Стандартный уровень Усиленный уровень Минимальный уровень |
Со дня вступление Положения в силу. Без изменений. |
Со дня вступление Положения в силу. Без изменений. |
|
Регистрация инцидентов защиты информации |
п. 1.14, п. 1.15 |
Стандартный уровень Усиленный уровень |
Со дня вступление Положения в силу. Без изменений. |
Со дня вступление Положения в силу. Без изменений. |
|
Требования к целостности электронных сообщений, требования регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации |
п.1.9, п.1.10 |
Стандартный уровень Усиленный уровень |
Со дня вступление Положения в силу. Без изменений. |
Со дня вступление Положения в силу. Без изменений. |
Остались вопросы? Нужна консультация? |
Решить мой вопрос
|
