FBK Cybersecurity

Оценка соответствия
требованиям Положения Банка России № 757-П

Главная страница
/
Услуги
/
Оценка соответствия требованиям Положения Банка России № 757-П

Положение Банка России №757-П устанавливает требования по информационной безопасности к некредитным финансовым организациям

В качестве методологии проведения оценки соответствия требвоаниям 757-П используется ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций

757-П является полноценной заменой Положения Банка России от 17 апреля 2019 г. № 684-П

ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
как на методологию для проведения оценочных мероприятий

Эксперты FBK CyberSecurity проводят оценку соответствия требованиям Положения Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» для некредитных финансовых организаций

О чем говорится в Положении Банка России №757-П

Для некредитных финансовы организаций (НФО)
757-П устанавливает требования к некредитным финансовым организациям (далее: НФО): страховым организациям, брокерам, управляющим компаниям ИФ, ПИФам и НПФ, компаниям, занимающимся клиринговой деятельностью, компаниям, осуществляющим депозитарную деятельность в рамках ИФ, ПИФа и НПФ, центральным контрагентам, организаторам торговли и ряду других организаций.
Методология оценки соответствия
757-П в качестве методологии проведения оценки соответствия ссылается на ГОСТ Р 57580.1, в соответствие с требованиями которого некредитная финансовая организация обязана определить для себя требуемый уровень защиты информации (далее: уровни ЗИ), который и определяет перечень необходимых мер защиты информации (далее: меры ЗИ) для отдельных видов НФО.
Определение уровня ЗИ и оценка соответствия
Определение уровня защиты информации должно осуществляться всеми НФО ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации (п. 1.4.1. 757-П).

НФО реализующие стандартный
и усиленный уровень ЗИ обязаны проходить оценку соответствия определенного ими уровня защиты информации с привлечением компании-лицензиата ФСТЭК (п. 1.5. и 1.5.1. 757-П): 1 раз в год для усиленного уровня ЗИ и 1 раз в 3 года для стандартного уровня ЗИ.

Исходный документ Положение Банка России №757-П

Ключевые требования к НФО по Положению 757-П

Оценка по требованиям ГОСТ Р 57580.1 в рамках 757-П

Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации. Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации. Обо всех нюансах проведения оценки финансовой организации по ГОСТ Р 57580.1 вы можеет прочитать по ссылке.

Для стандартного и усиленного уровня ЗИ: не реже одного раза в 2 года проходить независимую оценку соответствия требованиям ГОСТ Р 57580.1 с участием компании лицензиата ФСТЭК.

Организации, реализующие стандартный и усиленный уровень ЗИ обязаны обеспечить хранение отчета о результатах оценки соответствия на срок не менее чем пяти лет с даты его выдачи проверяющей организацией.

Тестирование на проникновение в рамках 757-П

Некредитные финансовые организации реализующие стандартный и усиленный уровень ЗИ должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Эксперты FBK CyberSecurity проводят внешнее и внутренне тестирвоание на проникновение, а также тестирование методами социальной инженериии (ссылка на страницу услуги), что полностью исчерпывает потребности организации в оценке качества технической защиты элементов инфраструктуры.

Оценка прикладного программного обеспечения в рамках 757-П (ОУД 4)

Для стандартного и усиленного уровня ЗИ: обеспечить использование прикладного программное обеспечения, прошедшего сертификацию в системе ФСТЭК или или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 (п. 1.8. 757-П). Для стандартного уровня ЗИ - не ниже 4-го уровня доверия, для усиленного уровня ЗИ - не ниже 5-го уровня доверия (в соответствии с Приказом ФСТЭК от 2 июня 2020 года N 76).

Для минимального уровня ЗИ: самостоятельно определить необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений (п. 1.8. 757-П).

В обоих случаях участие независимой организации в проведении оценки ППО по ОУД4 не регламентируется, однако настоятельно рекомендуется.

Использование квалифицированной электронной подписи

Для стандартного и усиленного уровня ЗИ: обеспечить реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных средств криптографической защиты информации (далее: СКЗИ), реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения (п. 1.9. 757-П).

Исключение: реализация данной меры необязательна, если в организации используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни ЗИ, как неактуальные в модели угроз и нарушителей безопасности информации.

Этапы оказания услуг

Анализ внутренних документов организации

Интервьюирование сотрудников и предварительная оценка

Проверка свидетельств для подтверждения выполнения технических мер

Итоговая оценка, подготовка и подписание отчета