FBK Cybersecurity
 

Оценка по требованиям положения Банка России №757-П

Основные задачи для НФО в рамках 757-П
В июне 2022 года в РФ официально начало работать Положение Центробанка от 20.04.21 № 757-П. Данный нормативный акт заменил собой действовавшее ранее Положение № 684-П.

Главной целью обновления этого документа является обеспечение более высокого уровня защиты данных при осуществлении деятельности некредитными финансовыми организациями. В рамках этого направления перед НФО поставлены следующие ключевые задачи:

  1. Обеспечить безопасность данных, к которым имеет доступ данная категория организаций. Сюда относятся отдельные виды информации, которую НФО получают, обрабатывают, передают и хранят.

  2. При обеспечении защиты информации, НФО должны руководствоваться технической документацией СКЗИ и нормативной базой, регулирующей данную сферу.

  3. Соблюдать установленный для конкретного вида НФО соответствующий уровень защиты (уровни защиты прописаны в ГОСТ Р 57580.1-2017) и проводить оценочные процедуры для подтверждения соответствия требованиям положения в пределах установленного срока.
В чем разница между №684-П и №757-П?
Как уже было отмечено выше, Положение 757-П пришло на смену Положению 648-П. Эти два документа схожи между собой, однако последняя версия претерпела ряд существенных изменений.

Так, 1 и 4 главы Положения 757-П практически идентичны 684-П. Основные нововведения содержатся в 2 и 3 главах, которых ранее не было.

Какие новшества появились:

  1. Расширен и изменен список НФО, обязанных применять усиленный и стандартный уровень защиты информации.
  2. Добавлен перечень организаций, которые должны обеспечить минимальный уровень защиты данных (ранее эта категория не была выделена).
  3. Обозначены конкретные требования, которые должны выполнять операторы финансовой платформы и ИС, а также РФТ (в рамках защиты информации).
  4. Изменен срок, отведенный для оценки степени соответствия уровню защиты информации.
На кого распространяется действие 757-П?
Требования, прописанные в Положении Центробанка 757-П, главным образом ориентированы на отдельные виды НФО. Их полный перечень приведен в ст. 76.1 Закона РФ № 86-ФЗ. Сюда вошли:
  • страховые организации,
  • брокеры,
  • управляющие компании ИФ, ПИФа и НПФ,
  • компании, занимающиеся клиринговой деятельностью,
  • компании, осуществляющие депозитарную деятельность в рамках ИФ, ПИФа и НПФ,
  • центральные контрагенты,
  • организаторы торговли и ряд других организаций.
Оценка соответствия требованиям № 757-П по ГОСТ Р 57580.1
В рамках Положения № 757-П выделяется три уровня защиты данных: усиленный, стандартный и минимальный.

Требования, предъявляемые на каждом из перечисленных уровней, описаны в ГОСТ Р 57580.1-2017.

Усиленный уровень защиты информации

Данный уровень защиты информации должны обеспечить НФО со статусом центрального контрагента или депозитария, а также РФТ.

Стандартный уровень защиты информации

Стандартный уровень ЗИ установлен для таких категорий НФО, как:
  • специализированные депозитарии ИФ, ПИФа и НПФ с размером активов от 1 трлн рублей,
  • клиринговые организации,
  • организаторы торговли,
  • страховые организации с суммой активов за последние 6 месяцев, превышающей 20 млрд рублей,
  • НПФ, занимающиеся ОПС,
  • НПФ, занимающиеся НПС, с суммой резервов (за последние 6 месяцев) свыше 10 млрд рублей,
  • репозитарии, не являющиеся РФТ,
  • отдельные категории брокеров, дилеров, регистраторов, депозитариев и управляющих,
  • ОИП и ОФП (если за последние 3 квартала оказали услуги более 100 тыс. клиентам),
  • операторы ИС и обмена ЦФА (если за последние 3 квартала оказали услуги более 25 тыс. клиентам).
Минимальный уровень защиты информации

В состав компаний, обязанных соблюдать минимальный уровень защиты данных вошли специализированные депозитарии ИФ, ПИФа и НПФ, брокеры, дилеры, управляющие, ОФП, операторы ИС и обмена ЦФА, страховщики (не перечисленные в списке выше), а также управляющие компании ИФ, ПИФов и негосударственных ПФ, форекс-дилеры, страховые брокеры и ОВС.

Не применяют уровни защиты информации по ГОСТ Р 57580.1

НФО не включенные в перечни организаций, применяющих усиленный, стандартный или минимальный уровни защиты информации обязаны проводить самостоятельно или с привлечением сертифицированного подрядчика (по желанию) определять принадлежность к одному из обозначенных уровней защиты информации по ГОСТ Р 57580.1, а также проводить оценку соответсвия ПО (пункты 1.1-1.3, 1.4.1).
К таковым относятся:
  • бюро кредитных историй,
  • микрофинансовые организации,
  • рейтинговые агентства,
  • ломбарды,
  • кредитные потребительские кооперативы,
  • жилищные накопительные кооперативы,
  • сельскохозяйственные кредитные потребительские кооперативы.
Статус МФО, МКК и МФК в 757-П
В соответствии с официальными разъяснениями, предоставленными Банком РФ, требования Положения № 757-П распространяются на МФО (МКК и МФК) лишь в части п. 1.1-1.3, где закреплены следующие обязанности:
  • обеспечить сохранность информации, с которой работаю НФО,
  • обеспечить защиту данных за счет использования СКЗИ,
  • при необходимости проводить оценку средств сети на соответствие требованиям, которые к ним предъявляются (если такое условие прописано в технической документации на СКЗИ).
Тестирование на проникновение в рамках 757-П
В соответствии с п. 1.4.5 Положения Центробанка № 757-П для НФО, применяющих усиленный и стандартный уровень защиты обязаны каждый год тестировать свою информационную инфраструктуру на возможность проникновения, а также проводить анализ уязвимостей.
Санкции за невыполнение требований
Выполнение требований, прописанных в Положении Центробанка № 757-П обязательно для всех перечисленных НФО.

В случае несоблюдения предписаний этого нормативного акта, нарушитель может понести административную ответственность по ст. 13.12 КоАП РФ.

В зависимости от характера правонарушения, могут быть назначены следующие виды наказаний:
  • штраф в размере от 10 000 до 30 000 рублей,
  • приостановка деятельности компании (до 3 месяцев),
  • изъятие средств защиты информации (если было установлено, что они являются несертифицированными).
Другие материалы