FBK Cybersecurity
 

Требования информационной безопасности для НФО (некредитных финансовых организаций)

В целях предотвращения совершения незаконных финансовых операций, для НФО введены обязательные требования в части обеспечения информационной безопасности. Их выполнение находится под контролем ЦБ РФ. Что это за требования? Какими нормативными актами регулируются и кто обязан их соблюдать? Подробные ответы на все эти вопросы вы найдете в этой статье.

Введение

В 2019 году для некредитных финансовых организаций (НФО) начал действовать свод требований по обеспечению информационной безопасности. Главная их задача — исключить любую возможность для совершения несанкционированных операций с финансами, а также защитить НФО, их клиентов и инвесторов от противоправных действий со стороны киберпреступников.

Для каких именно НФО действуют описываемые требования по информационной безопасности

Аббревиатура «НФО» расшифровывается, как некредитные финансовые организации — это вид финансовых институтов, который на профессиональной основе оказывают финансовые услуги в ряде определенных направлений, которые не связаны с кредитованием: страхование, инвестиции, ценные бумаги т.д. Перечень НФО определен в ст. 76.1 86-ФЗ:

  • ИП и юридические лица со статусом профессионального участника фондового рынка,
  • компании, управляющие инвестиционными фондами, в том числе паевыми, а также НПФ,
  • депозитарии инвестиционных фондов (паевых) и НПФ,
  • акционерные общества, занимающиеся инвестированием в рынок ценных бумаг,
  • клиринговые компании,
  • центральные контрагенты,
  • организаторы торговли,
  • центральные депозитарии,
  • компании, оказывающие репозитарные услуги,
  • страховщики,
  • НПФ,
  • МФО,
  • кредитные потребительские (в том числе сельскохозяйственные), а также жилищные накопительные кооперативы,
  • операторы инвестиционных и финансовых платформ,
  • операторы ИС по выпуску или обмену цифровых финансовых активов,
  • ломбарды.
Федеральные законы
Основные законодательные акты, регламентируюе порядок обеспечения информационной безопасности НФО.

1. Закон РФ от 26 июля 2017 года № 187-ФЗ. Данным нормативным актом обеспечивается защита критической информационной инфраструктуры (КИИ) от различных компьютерных атак. Документ описывает:

  • основные принципы защиты КИИ от компьютерных атак,
  • правила обнаружения и ликвидации угроз,
  • категории объектов КИИ,
  • права и обязанности субъектов КИИ,
  • порядок реализации контроля за выполнением всех предписаний.

В случае нарушения требований 187-ФЗ НФО могут привлечь к административной ответственности и назначить штраф от 50 000 до 500 000 рублей (СТ. 12.13.1 КоАП РФ).

Кроме того, при наличии достаточного состава преступления, на виновных лиц (работников/руководителей НФО) могут завести уголовное дело по ст. 274.1 УК РФ. В особенно тяжелых случаях грозит лишение свободы на 3 года.

2. Закон РФ от 27 июля 2006 года № 152-ФЗ. Документ регламентирует обеспечение защиты персональных данных в организации.

Данный нормативный акт регламентирует:
  • порядок работы и обработки личных сведений клиента,
  • права субъекта персональных данных и обязанности оператора,
  • порядок реализации контроля за соблюдением закона.
За значительные нарушения данного ФЗ предусмотрена уголовная ответственность по ст. 140 Уголовного кодекса РФ – штраф до 200 тыс. руб. либо лишение права занимать определенные должности на срок от двух до пяти лет.

По информации «Коммерсантъ» от 30.05.2022, Минцифры согласовало законопроект, ужесточающий ответственность компаний за массовые утечки персональных данных клиентов. Ведомство предлагает ввести для них оборотный штраф в 1% от годового оборота. В случае выявления попыток скрыть инцидент штраф составит до 3% от годового оборота. По законопроекту пока ведется обсуждение.
Положения Центрального Банка России
Главным органом, контролирующим соблюдение НФО правил обеспечения информационной безопасности, выступает Банк России (ЦБ РФ).

1. Положение от 20 апреля 2021 года № 757-П. Основной нормативно-правовой акт изданный ЦБ РФ. В этом документе прописаны следующие основные требования, которые должны соблюдать НФО в части обеспечения ИБ:

  • НФО со стандартным и усиленным уровнем защиты (подробнее об уровнях защиты далее по тексту) при проведении финансовых операций могут использовать только то ПО, которое прошло сертификацию или же оценку соответствия по требованиям не ниже, чем для ОУД4 (оценочный уровень доверия). Такое требование прописано в п. 1.8 Положения 757-П. НФО с минимальным уровнем защиты самостоятельно определяют необходимость в прохождении ПО процесса сертификации или оценки соответствия по ОУД4.
  • Указанные выше НФО (со стандартным и усиленным уровнем защиты) также обязаны каждый год тестировать свою информационную систему на возможность проникновения и уязвимости (тестирование на проникновение).
  • Ежегодно НФО должны определять обязательный для них уровень защиты информации. Данный вопрос регламентируется национальным стандартом ГОСТ Р 57580.1 (п. 1.4-1.4.1 Положения № 757-П).
Сроки и условия проведения аудита разными видами НФО. Требования и методология проведения оценки соответствия по ГОСТ Р 57580.
В соответствии с п. В соответствии с п. 1.5.3 Положения Банка России № 757-П периодически некоторые виды НФО должны проводить независимую оценку соответствия (то есть с привлечением лицензированного независимого эксперта) определенному уровню защиты данных.

Требования и методология описываются в ГОСТ Р 57580: в ГОСТ Р 57580.1-2017 описаны требования, а в ГОСТ Р 57580.2-2018 описана методология проведения оценки соответствия данным требованиям.

Всего существует 3 уровня защиты: минимальный, стандартный и усиленный. Каждый выбирается исходя из специфики деятельности НФО и содержит свой перечень требований. Для НФО данные документы определяют следующие уровни защиты и периодичность проведения оценки соответствия:

1 раз в 3 года
Некредитные финансовые организации со стандартным уровнем защиты:
  • депозитарии инвестиционных фондов (паевых) и НПФ (негосударственных пенсионных фондов),
  • организаторы торговли,
  • компании, занимающиеся клиринговой деятельностью,
  • страховщики с суммой активов более 20 млрд рублей (за последние полгода),
  • НПФ (негосударственные пенсионные фонды),
  • репозитарии (кроме РФТ (регистраторы финансовых транзакций)) и др.

1 раз в год
Некредитные финансовые организации с усиленным уровнем защиты:
  • центральные контрагенты,
  • центральный депозитарий,
  • РФТ (регистраторы финансовых транзакций).
В заключение

Информационная безопасность Некредитных финансовых организаций (НФО) является одним из наиболее приоритетных направлений для FBK CyberSecurity и группы компаний ФБК. Мы ведем постоянный диалог с регуляторами в области информационной безопасности (ФСТЭК, Минкомсвязи, Роскомнадзор, НКЦКИ и др.), поддерживая актуальность наших услуг в части оценки соответствия требованиям по ИБ для финансовых учреждений.

Будем рады ответить на все ваши вопросы по регулированию деятельности НФО в части обеспечения информационной безопасности.

Вы можете обратиться к нашим экспертам для консультации через форму обратной связи, представленной ниже.
Иван Рощупкин
Руководитель направления
Аудит и оценка в области ИБ
FBK CyberSecurity
Другие материалы
    Подпишитесь чтобы получать уведомления о выходе новых материалов и новостей