Термин «некредитные финансовые организации» появился после ликвидации Федеральной службы по финансовому рынку на основании Указа Президента РФ от 25 июля 2013 г. №645 «Об упразднении Федеральной службы по финансовым рынкам, изменении и признании утратившими силу некоторых актов Президента Российской Федерации» и передачи ее контрольно-надзорных полномочий Банку России.
После получения новых полномочий, а иначе говоря новой группы поднадзорных лиц, ЦБ приобрел статус «мегарегулятора» финансового рынка. Таким образом, Банк России, который на протяжении многих десятилетий зарекомендовал себя как специальный надзорный орган за деятельностью кредитных организаций (банков и небанковских кредитных организаций) неожиданно для всех получает новые полномочия по надзору за некредитными финансовыми организациями. Это очень важный переломный момент, который состоялся в 2013 году и повлиял на дальнейшее нормотворчество Банка России.
После получения новых полномочий Банк России был вынужден адаптироваться к новым поднадзорным компаниям, а финансовые организации в свою очередь «ждали» новых инструкций и разъяснений со стороны ЦБ. Первое время нормативные требования по защите информации для финансового рынка состояли из нормативных актов в сфере персональных данных:
- Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
- Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- и другие нормативные акты.
После того, как прошел небольшой период адаптации между ЦБ и некредитными финансовыми организациями, Банк России начал предпринимать шаги по защите информации, используемой некредитными финансовыми организациями. Но по большей части это были немногочисленные рекомендации или разъяснения ЦБ РФ, не регистрируемые в Министерстве юстиции, а, следовательно, не имеющие статуса нормативного правового акта. Также нужно отметить, что многие рекомендации «опирались» на требования по защите информации, установленные Банком России для кредитных организаций.
В 2019 году Банк России впервые разрабатывает и публикует единые требования по защите информации в виде Положения Банка России от 17 апреля 2019 г. №684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Эти требования применялись не длительное время в период с 1 июня 2019 года по 3 июля 2021 года. Итого 2 года.
В 2021 году Банк России обновляет свои требования по защите информации и публикует Положение Банка России от 20 апреля 2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Особенность новых требований, вступивших в силу в 2021 году заключается в том, что ЦБ выделил три категории требований в зависимости от вида некредитной финансовой организации. Свои требования Банк России разделил по главам. Первая глава содержит в себе общие требования по защите информации. Вторая глава – специальные требования по защите информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций. Третья глава – специальные требования по защите информации при осуществлении деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов.
Если Вы столкнулись с трудностями в разработке системы защиты информации, то наши специалисты готовы оказать Вам помощь в разработке документации по требованиям Банка России, а также обучить Ваших сотрудников.
Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ. Телефон +7(952) 045-74-83 Почта info@law115.ru
Комментариев пока нет