Положение Банка России от 20 апреля 2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» устанавливает обязанность некредитных финансовых организаций применения ГОСТ Р 57580.1-2017. В Положении №757-П подробно описаны процесс подготовки к оценке соответствия, меры по защиты информации, которые должны быть реализованы в финансовой организации, этапы реализации мероприятий по защите информации и т.д.
С 2017 года первого Национального стандарта серии «Безопасность финансовых (банковских) операций» - ГОСТ Р 57580.1-2017 - начался новый этап развития стандартизации для некредитных финансовых организаций.
ГОСТ Р 57580.1-2017 формализует подход к построению системы организации и управления защитой информации на базе следующих принципов:
- определение области действия путем идентификации и учета объектов информатизации;
- выбор мер защиты информации исходя из значимости организации, объемов банковских операций и видов деятельности;
- адаптация выбранных мер с учетом технической возможности и экономической целесообразности их реализации (соответствие риск-аппетиту);
- обеспечение полноты и качества реализуемых мер посредством контроля и оценки их эффективности, в том числе путем проведения периодических независимых аудитов (оценок соответствия);
- постоянное совершенствование мер защиты информации. Банк России Положении №757-П установил необходимость применения ГОСТ Р 57580.1-2017 и определил: область применения, критерии выбора уровня защиты и периодичность и форму проведения оценки соответствия.
ГОСТ Р 57580.1-2017 гласит, что применяемые некредитной финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:
- организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;
- сбор, защиту и хранение данных регистрации о событиях защиты информации;
- анализ данных регистрации о событиях защиты информации;
- регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (пункт 7.7.1.1 ГОСТ Р 57580.1-2017).
Для реализации этих положений в пункте 1.14 Положения №757-П предусмотрено, что некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны осуществлять регистрацию инцидентов защиты информации, а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии такого должностного лица (отдельного структурного подразделения).
Вам также может быть полезна следующая информация:
По мнению ЦБ РФ к инцидентам защиты информации должны относить события, которые привели или по их оценке могут привести к осуществлению финансовых операций без согласия (волеизъявления) клиента некредитной финансовой организации, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети Интернет.
По каждому инциденту защиты информации некредитные финансовые организации должны осуществлять регистрацию:
- защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;
- результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны информировать Банк России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети «Интернет», а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации;
- о принадлежащих некредитной финансовой организации и (или) администрируемых в ее интересах сайтах в сети «Интернет», которые используются некредитной финансовой организацией для осуществления деятельности в сфере финансовых рынков;
- о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России вышеперечисленные сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России.
В случае технической невозможности взаимодействия некредитных финансовых организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия.
Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
Между тем, форма такого сообщения до сих пор по состоянию на дату написания статьи не утверждена, а также не утверждены ее обязательные реквизиты, сроки направления сообщения и структурное подразделение Банка России, в которое следует направлять эти сведения.
Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ. Телефон +7(952) 045-74-83 Почта info@law115.ru
Комментариев пока нет