В этой статье рассмотрим уровни защиты информации, установленные Положением Банка России от 20 апреля 2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее Положение 757-П).
Согласно пункту 1.4 Положения №757-П каждая некредитная финансовая организация обязана самостоятельно не реже одного раза в год определять для себя уровень защиты информации. Далее на основании, которого она определяет состав организационных и технических мер по защите информации.
Национальный стандарт РФ ГОСТ Р «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. №822-ст (далее ГОСТ Р 57580.1-2017) содержит следующее определение этого термина. Уровень защиты информации - это определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
ГОСТ Р 57580.1-2017 выделяет три уровня защиты информации:
- уровень 3 - минимальный;
- уровень 2 - стандартный;
- уровень 1 - усиленный.
В зависимости от вида деятельности, от размера активов и количества клиентов Банк России в положении №757-П перечисляет некредитные финансовые организации, которые обязаны применять тот или иной уровень защиты информации.
Кстати, в пунктах 1.4.2, 1.4.3 и 1.4.4 Положения №757-П, где перечисляются некредитные финансовые организации, применяющие тот или иной уровень защиты, перечислены не все виды некредитных финансовых организаций из статьи 76.1 Федерального закона от 10 июля 2002 г. №86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Более того, в Положении №757-П не раскрывается алгоритм действий для финансовых организаций, не перечисленных в пунктах 1.4.2-1.4.4 Положения №757-П. В правоприменительной практике это вызывает вопросы при определении мер по защите информации и при разработке локальных актов. Представляется, что здесь снова возникает необходимость в чек-листах, составленных Банком России в помощь некредитным финансовых организациям.
ГОСТ Р 57580.1-2017 гласит, что уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации,
- состава предоставляемых финансовых услуг;
- реализуемых бизнес-процессов;
- технологических процессов в рамках данного контура безопасности;
- объема финансовых операций;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
В Положении №757-П Банк России используя описанные критерии разделил финансовые организации по трем уровням защиты. Между тем, анализ обращений в ООО «Ю-ПИТЕР КОНСАЛТИНГ» показывает, что многие финансовые организации испытывают трудности при определении уровня защиты информации или не находят свой вид деятельности в Положении №757-П и ошибочно считают, что на них не распространяются требования по защите информации. Для повышения правовой грамотности предпринимателей по вопросам защиты информации, представляется целесообразным, создание онлайн-сервиса по аналогии с сервисом Федеральной налоговой службы «Реестр субъектов малого и среднего бизнеса», где по ИНН можно выяснить к какой категории бизнеса относится та или иная компания.
Создание такой системы позволило бы предпринимателям и их работникам, не имеющим специального образования без лишних трудозатрат определять свой уровень защиты и комплекс необходимых мер по защите информации.
Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ. Телефон +7(952) 045-74-83 Почта info@law115.ru
Комментариев пока нет