Положение Банка России № 757-П от 20 апреля 2021 г. об установлении обязательных для НФО требований к обеспечению защиты информации
Положение Банка России от 20.04.2021 N 757-П вступает с силу с 3 июля 2021 г. (за исключением отдельных положений). С этой же даты утрачивает силу Положение Банка России от 17 апреля 2019 года N 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Часть требований по защите информации, установленная ранее в Положении Банка России от 17 апреля 2019 года N 684-П, сохраняется:
- в случае если защищаемая информация содержит персональные данные, НФО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
- обеспечение защиты информации с помощью СКЗИ НФО должны осуществлять в соответствии с технической документацией на СКЗИ, а также указанными в положении ФЗ и НПА Российской Федерации (Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи"; постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и пр.);
- в случае если НФО применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности;
- безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ;
- НФО должны осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017. Указанный ГОСТ должен применяться по результатам определения НФО реализуемого в течение календарного года уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017 (далее - уровень защиты информации);
- НФО должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям; о возможных рисках несанкционированного доступа к защищаемой информации; о мерах по предотвращению несанкционированного доступа к защищаемой информации.
Также остается неизменным состав защищаемой информации.
Положением Банка России от 20.04.2021 N 757-П изменен срок определения некредитными финансовыми организациями уровня защиты информации – теперь они должны это делать ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. Также меняются перечни НФО, которые должны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие усиленному, стандартному и минимальному уровню защиты информации. Так, по общему правилу, управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (далее – УК) с 1 июля 2022 года обязаны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации. Это правило не работает, если УК совмещает свою деятельность с деятельностью по управлению ценными бумагами. В этом случае она должна обеспечить соблюдение требований ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации, при условии, что при совмещении деятельности она использует единые объекты информационной инфраструктуры.
Если рассматривать УК, на которые распространяются требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации, следует обратить внимание на следующее:
1) в отличии от НФО, реализующих усиленный и стандартный уровень защиты информации (для которых это является обязательным), управляющие компании для прикладного программного обеспечения автоматизированных систем и приложений могут самостоятельно определять:
- необходимость сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю; или
- оценки соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013.
По решению УК такая оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений может проводиться самостоятельно или с привлечением проверяющей организации.
2) на такие УК возлагаются обязанности:
- по осуществлению регистрации инцидентов защиты информации в соответствии со своими внутренними документами;
- по представлению сведений о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии такого должностного лица (отдельного структурного подразделения).
При этом к инцидентам защиты информации УК должны относить события, которые привели или по ее оценке могут привести к осуществлению финансовых операций без согласия (волеизъявления) клиента УК, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет".
Также следует учитывать, что УК будут обязаны информировать Банк России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет", а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный УК или Банком России инцидент защиты информации;
- о принадлежащих УК и (или) администрируемых в ее интересах сайтах в сети "Интернет", которые используются ею для осуществления деятельности в сфере финансовых рынков;
- о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
Указанные сведения должны предоставляться в Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия УК с Банком России с использованием такой технической инфраструктуры, УК должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет". На сегодняшний день мы не располагаем информацией о ее размещении на сайте Банка России.
Положение Банка России от 20.04.2021 N 757-П вступает с силу с 3 июля 2021 г. (за исключением отдельных положений).
22.06.2021
