Основные задачи для НФО в рамках 757-П
В июне 2022 года в РФ официально начало работать
Положение Центробанка от 20.04.21 № 757-П. Данный нормативный акт заменил собой действовавшее ранее Положение № 684-П.
Главной целью обновления этого документа является обеспечение более высокого уровня защиты данных при осуществлении деятельности некредитными финансовыми организациями. В рамках этого направления перед НФО поставлены следующие ключевые задачи:
- Обеспечить безопасность данных, к которым имеет доступ данная категория организаций. Сюда относятся отдельные виды информации, которую НФО получают, обрабатывают, передают и хранят.
- При обеспечении защиты информации, НФО должны руководствоваться технической документацией СКЗИ и нормативной базой, регулирующей данную сферу.
- Соблюдать установленный для конкретного вида НФО соответствующий уровень защиты (уровни защиты прописаны в ГОСТ Р 57580.1-2017) и проводить оценочные процедуры для подтверждения соответствия требованиям положения в пределах установленного срока.
В чем разница между №684-П и №757-П?
Как уже было отмечено выше, Положение 757-П пришло на смену Положению 648-П. Эти два документа схожи между собой, однако последняя версия претерпела ряд существенных изменений.
Так, 1 и 4 главы Положения 757-П практически идентичны 684-П. Основные нововведения содержатся в 2 и 3 главах, которых ранее не было.
Какие новшества появились:
- Расширен и изменен список НФО, обязанных применять усиленный и стандартный уровень защиты информации.
- Добавлен перечень организаций, которые должны обеспечить минимальный уровень защиты данных (ранее эта категория не была выделена).
- Обозначены конкретные требования, которые должны выполнять операторы финансовой платформы и ИС, а также РФТ (в рамках защиты информации).
- Изменен срок, отведенный для оценки степени соответствия уровню защиты информации.
На кого распространяется действие 757-П?
Требования, прописанные в Положении Центробанка 757-П, главным образом ориентированы на отдельные виды НФО. Их полный перечень приведен в ст. 76.1
Закона РФ № 86-ФЗ. Сюда вошли:
- страховые организации,
- брокеры,
- управляющие компании ИФ, ПИФа и НПФ,
- компании, занимающиеся клиринговой деятельностью,
- компании, осуществляющие депозитарную деятельность в рамках ИФ, ПИФа и НПФ,
- центральные контрагенты,
- организаторы торговли и ряд других организаций.
Оценка соответствия требованиям № 757-П по ГОСТ Р 57580.1
В рамках Положения № 757-П выделяется три уровня защиты данных: усиленный, стандартный и минимальный.
Требования, предъявляемые на каждом из перечисленных уровней, описаны в ГОСТ Р 57580.1-2017.
Усиленный уровень защиты информации
Данный уровень защиты информации должны обеспечить НФО со статусом центрального контрагента или депозитария, а также РФТ.
Стандартный уровень защиты информации
Стандартный уровень ЗИ установлен для таких категорий НФО, как:
- специализированные депозитарии ИФ, ПИФа и НПФ с размером активов от 1 трлн рублей,
- клиринговые организации,
- организаторы торговли,
- страховые организации с суммой активов за последние 6 месяцев, превышающей 20 млрд рублей,
- НПФ, занимающиеся ОПС,
- НПФ, занимающиеся НПС, с суммой резервов (за последние 6 месяцев) свыше 10 млрд рублей,
- репозитарии, не являющиеся РФТ,
- отдельные категории брокеров, дилеров, регистраторов, депозитариев и управляющих,
- ОИП и ОФП (если за последние 3 квартала оказали услуги более 100 тыс. клиентам),
- операторы ИС и обмена ЦФА (если за последние 3 квартала оказали услуги более 25 тыс. клиентам).
Минимальный уровень защиты информации
В состав компаний, обязанных соблюдать минимальный уровень защиты данных вошли специализированные депозитарии ИФ, ПИФа и НПФ, брокеры, дилеры, управляющие, ОФП, операторы ИС и обмена ЦФА, страховщики (не перечисленные в списке выше), а также управляющие компании ИФ, ПИФов и негосударственных ПФ, форекс-дилеры, страховые брокеры и ОВС.
Не применяют уровни защиты информации по ГОСТ Р 57580.1
НФО не включенные в перечни организаций, применяющих усиленный, стандартный или минимальный уровни защиты информации обязаны проводить самостоятельно или с привлечением сертифицированного подрядчика (по желанию) определять принадлежность к одному из обозначенных уровней защиты информации по ГОСТ Р 57580.1, а также проводить оценку соответсвия ПО (пункты 1.1-1.3, 1.4.1).
К таковым относятся:
- бюро кредитных историй,
- микрофинансовые организации,
- рейтинговые агентства,
- ломбарды,
- кредитные потребительские кооперативы,
- жилищные накопительные кооперативы,
- сельскохозяйственные кредитные потребительские кооперативы.
Статус МФО, МКК и МФК в 757-П
В соответствии с
официальными разъяснениями, предоставленными Банком РФ, требования Положения № 757-П распространяются на МФО (МКК и МФК) лишь в части п. 1.1-1.3, где закреплены следующие обязанности:
- обеспечить сохранность информации, с которой работаю НФО,
- обеспечить защиту данных за счет использования СКЗИ,
- при необходимости проводить оценку средств сети на соответствие требованиям, которые к ним предъявляются (если такое условие прописано в технической документации на СКЗИ).
Тестирование на проникновение в рамках 757-П
В соответствии с п. 1.4.5 Положения Центробанка № 757-П для НФО, применяющих усиленный и стандартный уровень защиты обязаны каждый год тестировать свою информационную инфраструктуру на возможность проникновения, а также проводить анализ уязвимостей.
Санкции за невыполнение требований
Выполнение требований, прописанных в Положении Центробанка № 757-П обязательно для всех перечисленных НФО.
В случае несоблюдения предписаний этого нормативного акта, нарушитель может понести административную ответственность по ст. 13.12 КоАП РФ.
В зависимости от характера правонарушения, могут быть назначены следующие виды наказаний:
- штраф в размере от 10 000 до 30 000 рублей,
- приостановка деятельности компании (до 3 месяцев),
- изъятие средств защиты информации (если было установлено, что они являются несертифицированными).