logo
 

Оценка соответствия требованиям Положения Банка России № 757-П


Положение Банка России №757-П устанавливает требования по информационной безопасности к некредитным финансовым организациям
В качестве методологии проведения оценки соответствия требвоаниям 757-П используется ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
757-П является полноценной заменой Положения Банка России от 17 апреля 2019 г. № 684-П
  • ГОСТ Р 57580.1-2017 - устанавливает защитные меры и уровни защиты информации для финансовых организаций
  • ГОСТ Р 57580.2-2018 - определеяет методологию проведения оценки соответствия требованиям к определенному уровню защиты
  • ГОСТ Р 57580.1 - применяется кредитными организациями, некредитными финансовыми организациями, а также субъектами национальной платежной системы
  • Положения ЦБ РФ в области информационной безопасности (719-П (Банки), 747-П (Банки) и 757-П (НФО)) ссылаются на ГОСТ Р 57580.1
    как на методологию для проведения оценочных мероприятий
Эксперты FBK CyberSecurity проводят оценку соответствия требованиям Положения Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» для некредитных финансовых организаций
О чем говорится в Положении Банка России №757-П
  • Для некредитных финансовы организаций (НФО)
    757-П устанавливает требования к некредитным финансовым организациям (далее: НФО): страховым организациям, брокерам, управляющим компаниям ИФ, ПИФам и НПФ, компаниям, занимающимся клиринговой деятельностью, компаниям, осуществляющим депозитарную деятельность в рамках ИФ, ПИФа и НПФ, центральным контрагентам, организаторам торговли и ряду других организаций.
  • Методология оценки соответствия
    757-П в качестве методологии проведения оценки соответствия ссылается на ГОСТ Р 57580.1, в соответствие с требованиями которого некредитная финансовая организация обязана определить для себя требуемый уровень защиты информации (далее: уровни ЗИ), который и определяет перечень необходимых мер защиты информации (далее: меры ЗИ) для отдельных видов НФО.
  • Определение уровня ЗИ и оценка соответствия
    Определение уровня защиты информации должно осуществляться всеми НФО ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации (п. 1.4.1. 757-П).

    НФО реализующие стандартный
    и усиленный уровень ЗИ обязаны проходить оценку соответствия определенного ими уровня защиты информации с привлечением компании-лицензиата ФСТЭК (п. 1.5. и 1.5.1. 757-П): 1 раз в год для усиленного уровня ЗИ и 1 раз в 3 года для стандартного уровня ЗИ.
Ключевые требования к НФО по Положению 757-П
Оценка по требованиям ГОСТ Р 57580.1 в рамках 757-П

Стандарт выделяет 8 процессов и 10 подпроцессов для которых разработаны меры защиты информации. Объем применяемых мер зависит от уровня ЗИ, установленного для вида финансовой организации. Обо всех нюансах проведения оценки финансовой организации по ГОСТ Р 57580.1 вы можеет прочитать по ссылке.

Для стандартного и усиленного уровня ЗИ: не реже одного раза в 2 года проходить независимую оценку соответствия требованиям ГОСТ Р 57580.1 с участием компании лицензиата ФСТЭК.

Организации, реализующие стандартный и усиленный уровень ЗИ обязаны обеспечить хранение отчета о результатах оценки соответствия на срок не менее чем пяти лет с даты его выдачи проверяющей организацией.


Тестирование на проникновение в рамках 757-П

Некредитные финансовые организации реализующие стандартный и усиленный уровень ЗИ должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Эксперты FBK CyberSecurity проводят внешнее и внутренне тестирвоание на проникновение, а также тестирование методами социальной инженериии (ссылка на страницу услуги), что полностью исчерпывает потребности организации в оценке качества технической защиты элементов инфраструктуры.
Оценка прикладного программного обеспечения в рамках 757-П (ОУД 4)

Для стандартного и усиленного уровня ЗИ: обеспечить использование прикладного программное обеспечения, прошедшего сертификацию в системе ФСТЭК или или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 (п. 1.8. 757-П). Для стандартного уровня ЗИ - не ниже 4-го уровня доверия, для усиленного уровня ЗИ - не ниже 5-го уровня доверия (в соответствии с Приказом ФСТЭК от 2 июня 2020 года N 76).

Для минимального уровня ЗИ: самостоятельно определить необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений (п. 1.8. 757-П).

В обоих случаях участие независимой организации в проведении оценки ППО по ОУД4 не регламентируется, однако настоятельно рекомендуется.


Использование квалифицированной электронной подписи

Для стандартного и усиленного уровня ЗИ: обеспечить реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных средств криптографической защиты информации (далее: СКЗИ), реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения (п. 1.9. 757-П).

Исключение: реализация данной меры необязательна, если в организации используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни ЗИ, как неактуальные в модели угроз и нарушителей безопасности информации.
Этапы оказания услуг
Анализ внутренних документов организации
Интервьюирование сотрудников и предварительная оценка
Проверка свидетельств для подтверждения выполнения технических мер
Итоговая оценка, подготовка и подписание отчета
Разработка / доработка необходимой внутренней нормативной документации
В комплекс также могут входить следующие услуги FBK CS
779-П
Требования Банка России к НФО в части управления операционным риском
435 приказ Минцифры
Оценка соответствия требованиям при интеграции с Единой биометрической системой
152-ФЗ
Оценка соответствия требованиям в области защиты персональных данных
Тестирование на проникновение
Техническая оценка защищенности
в рамках требований положений Центрального Банка России или по инициативе организации
Повышение осведомленности
в области ИБ
Обучение в области информационной безопасности для рядовых сотрудников
Почему FBK CyberSecurity?
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Будучи дочерним предприятием ФБК мы представляем практику одной из крупнейших российских аудиторских групп
Сертифицированные специалисты и эксперты
в области кибербезопасности
Мы оцениваем не только номинальное соответствие требованиям регулятора,
но и практическую эффективность принятых мер
Почему FBK CyberSecurity?
У нас есть успешный опыт работы с крупнейшими игроками в своих отраслях
Свяжитесь с нами для уточнения деталей и стоимости
Нажимая на кнопку "Отправить" вы соглашаетесь
с Политикой конфиденциальности FBK CyberSecurity