Обратный звонок
Главная \ Новости \ Инциденты защиты информации в некредитной финансовой организации

Инциденты защиты информации в некредитной финансовой организации

Положение Банка России от 20 апреля 2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» устанавливает обязанность некредитных финансовых организаций применения ГОСТ Р 57580.1-2017. В Положении №757-П подробно описаны процесс подготовки к оценке соответствия, меры по защиты информации, которые должны быть реализованы в финансовой организации, этапы реализации мероприятий по защите информации и т.д.

С 2017 года первого Национального стандарта серии «Безопасность финансовых (банковских) операций» - ГОСТ Р 57580.1-2017 - начался новый этап развития стандартизации для некредитных финансовых организаций.

ГОСТ Р 57580.1-2017 формализует подход к построению системы организации и управления защитой информации на базе следующих принципов:

  1. определение области действия путем идентификации и учета объектов информатизации;
  2. выбор мер защиты информации исходя из значимости организации, объемов банковских операций и видов деятельности;
  3. адаптация выбранных мер с учетом технической возможности и экономической целесообразности их реализации (соответствие риск-аппетиту);
  4. обеспечение полноты и качества реализуемых мер посредством контроля и оценки их эффективности, в том числе путем проведения периодических независимых аудитов (оценок соответствия);
  5. постоянное совершенствование мер защиты информации. Банк России Положении №757-П установил необходимость применения ГОСТ Р 57580.1-2017 и определил: область применения, критерии выбора уровня защиты и периодичность и форму проведения оценки соответствия.

ГОСТ Р 57580.1-2017 гласит, что применяемые некредитной финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:

  1. организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;
  2. сбор, защиту и хранение данных регистрации о событиях защиты информации;
  3. анализ данных регистрации о событиях защиты информации;
  4. регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (пункт 7.7.1.1 ГОСТ Р 57580.1-2017).

Для реализации этих положений в пункте 1.14 Положения №757-П предусмотрено, что некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны осуществлять регистрацию инцидентов защиты информации, а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии такого должностного лица (отдельного структурного подразделения).

professional_v1-lin Вам также может быть полезна следующая информация:

Курс повышения квалификации по программе «Защита информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

По мнению ЦБ РФ к инцидентам защиты информации должны относить события, которые привели или по их оценке могут привести к осуществлению финансовых операций без согласия (волеизъявления) клиента некредитной финансовой организации, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети Интернет.

По каждому инциденту защиты информации некредитные финансовые организации должны осуществлять регистрацию:

  1. защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;
  2. результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.

Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны информировать Банк России:

  1. о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети «Интернет», а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации;
  2. о принадлежащих некредитной финансовой организации и (или) администрируемых в ее интересах сайтах в сети «Интернет», которые используются некредитной финансовой организацией для осуществления деятельности в сфере финансовых рынков;
  3. о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России вышеперечисленные сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности взаимодействия некредитных финансовых организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».

Между тем, форма такого сообщения до сих пор по состоянию на дату написания статьи не утверждена, а также не утверждены ее обязательные реквизиты, сроки направления сообщения и структурное подразделение Банка России, в которое следует направлять эти сведения.

Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ.  Телефон  +7(952) 045-74-83 Почта info@law115.ru

Теги проверки ЦБ НФО ЦБ информационная безопасность
Комментарии

Комментариев пока нет

Яндекс.Метрика ;
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить