Обратный звонок
Главная \ База знаний \ Уровни защиты информации в некредитных финансовых организациях

Уровни защиты информации в некредитных финансовых организациях

В этой статье рассмотрим уровни защиты информации, установленные Положением Банка России от 20 апреля 2021 г. №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее Положение 757-П).

Согласно пункту 1.4 Положения №757-П каждая некредитная финансовая организация обязана самостоятельно не реже одного раза в год определять для себя уровень защиты информации. Далее на основании, которого она определяет состав организационных и технических мер по защите информации.

Национальный стандарт РФ ГОСТ Р «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. №822-ст (далее ГОСТ Р 57580.1-2017) содержит следующее определение этого термина. Уровень защиты информации - это определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.

ГОСТ Р 57580.1-2017 выделяет три уровня защиты информации:

  1. уровень 3 - минимальный;
  2. уровень 2 - стандартный;
  3. уровень 1 - усиленный.

В зависимости от вида деятельности, от размера активов и количества клиентов Банк России в положении №757-П перечисляет некредитные финансовые организации, которые обязаны применять тот или иной уровень защиты информации.

Кстати, в пунктах 1.4.2, 1.4.3 и 1.4.4 Положения №757-П, где перечисляются некредитные финансовые организации, применяющие тот или иной уровень защиты, перечислены не все виды некредитных финансовых организаций из статьи 76.1 Федерального закона от 10 июля 2002 г. №86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Более того, в Положении №757-П не раскрывается алгоритм действий для финансовых организаций, не перечисленных в пунктах 1.4.2-1.4.4 Положения №757-П. В правоприменительной практике это вызывает вопросы при определении мер по защите информации и при разработке локальных актов. Представляется, что здесь снова возникает необходимость в чек-листах, составленных Банком России в помощь некредитным финансовых организациям.

ГОСТ Р 57580.1-2017 гласит, что уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:

  1. вида деятельности финансовой организации,
  2. состава предоставляемых финансовых услуг;
  3. реализуемых бизнес-процессов;
  4. технологических процессов в рамках данного контура безопасности;
  5. объема финансовых операций;
  6. размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
  7. значимости финансовой организации для финансового рынка и национальной платежной системы.

В Положении №757-П Банк России используя описанные критерии разделил финансовые организации по трем уровням защиты. Между тем, анализ обращений в ООО «Ю-ПИТЕР КОНСАЛТИНГ» показывает, что многие финансовые организации испытывают трудности при определении уровня защиты информации или не находят свой вид деятельности в Положении №757-П и ошибочно считают, что на них не распространяются требования по защите информации. Для повышения правовой грамотности предпринимателей по вопросам защиты информации, представляется целесообразным, создание онлайн-сервиса по аналогии с сервисом Федеральной налоговой службы «Реестр субъектов малого и среднего бизнеса», где по ИНН можно выяснить к какой категории бизнеса относится та или иная компания.

Создание такой системы позволило бы предпринимателям и их работникам, не имеющим специального образования без лишних трудозатрат определять свой уровень защиты и комплекс необходимых мер по защите информации.

Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ.  Телефон  +7(952) 045-74-83 Почта info@law115.ru

Теги проверки ЦБ НФО Банк России информационная безопасность
Комментарии

Комментариев пока нет

Яндекс.Метрика ;
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить