Документы для некредитных финансовых организаций для соблюдения Положения Банка России от 17.04.2019 г. №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
1. Документы по Федеральному закону №152-ФЗ от 27.07.2006 «О персональных данных» и Указанию Банка России от 10.12.2015 №3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».
В соответствии с абз. 6 п. 1 Положения 684-П некредитная финансовая организация обязана применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» в случае если защищаемая информация содержит персональные данные.
2. Внесение сведений о некредитной финансовой организации в реестр операторов, осуществляющих обработку персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). При необходимости обновление сведений.
3. Информация для клиентов некредитной финансовой организации:
- о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода
В соответствии с п. 2 Положения 684-П некредитная финансовая организация обязана обеспечивать доведение до заемщиков рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.
4. Документы, подготовленная в соответствии с требованиями Национального стандарта РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 г. №822-ст и методическими рекомендациями Банка России по обеспечению непрерывности деятельности некредитных финансовых организаций от 18.08.2016 года №28-М.
По любому вопросу звоните по телефону +7(952) 045-74-83 (WhatsApp, Telegram) или пишите на электронную почту info@law115.ru
Обзор требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций
В целях противодействия осуществлению незаконных финансовых операций Банк России в Положении от 17 апреля 2019 г. №684-П (далее - Положение №684-П) установил обязательные для некредитных финансовых организаций (далее НФО) требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.
Согласно Положению №684-П каждая НФО должна определить уровень защиты информации. Уровни защиты информации установлены Национальным стандартом РФ ГОСТ Р 57580.1-2017.
Уровень защиты информации – это определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации (3.11 ГОСТ 57580.1-2017).
ГОСТ 57580.1-2017 определяет три уровня защиты информации:
- уровень 3 - минимальный;
- уровень 2 - стандартный;
- уровень 1 - усиленный.
Вместе с тем, требования ЦБ к защите информации будут применяться в пять этапов.
Этапы вступления в силу Положения №684-П
1 этап – 1 июня 2019 года.
С указанной даты вступило в силу Положение №684-П, за исключение пунктов 9, 5, 6, абз. 1 п. 8, абз. 2 п. 8.
С 1 июля 2020 года ЦБ РФ вправе применять меры к некредитным финансовым организациям за несоблюдение требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций
2 этап – 1 января 2020 года.
Начитается применяться пункт 9 Положения №684-П, согласно которому НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых НФО своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 08.11.2013 года №1340-ст «Об утверждении национального стандарта».
По решению НФО анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.
Иные НФО должны самостоятельно определять необходимость сертификации или анализа уязвимостей.
3 этап – 1 января 2021 года.
Вступают в силу пункты 5 и 6 Положения №684-П. С указанной даты защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется НФО, должна осуществляться НФО в соответствии с требованиями ГОСТ Р 57580.1-2017. Требования ГОСТ Р 57580.1-2017 должны применяться по результатам определения НФО применимого к ней в течение календарного года уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017, с соблюдением следующих требований:
1. Определение уровня защиты информации должно осуществляться ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации.
2. Требования ГОСТ Р 57580.1-2017, соответствующие усиленному уровню защиты информации, должны соблюдать:
- центральные контрагенты,
- центральный депозитарий.
3. Требования ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации, должны соблюдать следующие НФО:
- специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- клиринговые организации;
- организаторы торговли;
- страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала 20 миллиардов рублей;
- негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
- негосударственные пенсионные фонды, осуществляющие деятельность по негосударственному пенсионному обеспечению, размер средств пенсионных резервов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышал 10 миллиардов рублей;
- репозитарии;
- брокеры, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключили сделки купли-продажи ценных бумаг за счет своих клиентов при осуществлении брокерской деятельности в объеме более 100 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли брокерское обслуживание более чем 100 000 лиц;
- дилеры, которые в течение последних трех кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали за свой счет на организованных торгах сделки купли-продажи ценных бумаг в объеме более 200 000 миллионов рублей в квартал;
- депозитарии (в том числе расчетные депозитарии), осуществившие в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, учет ценных бумаг на счетах, предусмотренных пунктом 2.1 и абзацами вторым - пятым пункта 2.2 Положения Банка России от 13 ноября 2015 года N 503-П "О порядке открытия и ведения депозитариями счетов депо и иных счетов", зарегистрированного Министерством юстиции Российской Федерации 16 декабря 2015 года N 40137, открытых в депозитарии, стоимость которых превышала 500 000 миллионов рублей;
- регистраторы, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, открыли лицевые счета в реестрах владельцев эмиссионных ценных бумаг, инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия более чем 1 000 000 лиц;
- управляющие, которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, заключали сделки купли-продажи ценных бумаг при осуществлении деятельности по управлению ценными бумагами в объеме более 20 000 миллионов рублей в квартал и (или) которые в течение трех последних кварталов по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, осуществляли доверительное управление ценными бумагами и денежными средствами более чем 2 000 лиц, с которыми заключены договоры доверительного управления.
4. НФО, реализующие усиленный уровень защиты информации, и НФО, реализующие стандартный уровень защиты информации, должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия определенного ими уровня защиты информации требованиям ЦБ, с соблюдением следующих требований:
1. Оценка определенного уровня защиты информации должна осуществляться с привлечением сторонних организаций, имеющих соответствующую лицензию.
2. Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями ГОСТ Р 57580.2-2018.
3. Оценка определенного уровня защиты информации должна осуществляться НФО, реализующими усиленный уровень защиты информации, не реже одного раза в год, НФО, реализующими стандартный уровень защиты информации, - не реже одного раза в три года.
4 этап – 1 января 2022 года.
С указанной даты начинает применяться абзац первый пункта 8 Положения №684-П. НФО реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом "г" пункта 6.9 ГОСТ Р 57580.2-2018. Третий уровень соответствия, подразумевает организационные и технические меры процесса системы защиты информации, которые реализуются НФО в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в НФО. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации осуществляются бессистемно и/или эпизодически;
5 этап – 1 июля 2023 года.
Применяется второй абзац пункта 8 Положения №684-П. НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 ГОСТ Р 57580.2-2018. Четвертый уровень соответствия – это организационные и технические меры процесса системы защиты информации реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в НФО. В НФО в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации.