Положение Банка России 684-П

Положение Банка России от 17 апреля 2019 г. N 684-П “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций” устанавливает требования для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях противодействия осуществлению незаконных финансовых операций. Положение устанавливает необходимость осуществления защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

Положение 684-П должно выполняться следующими некредитным организациям:

• центральные контрагенты (усиленный уровень защиты информации),
• центральный депозитарий (усиленный уровень защиты информации),
• специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (стандартный уровень защиты информации),
• клиринговые организации (стандартный уровень защиты информации),
• организаторы торговли (стандартный уровень защиты информации),
• страховые организации (стандартный уровень защиты информации),
• негосударственные пенсионные фонды (стандартный уровень защиты информации),
• репозитарии (стандартный уровень защиты информации),
• брокеры (стандартный уровень защиты информации),
• дилеры (стандартный уровень защиты информации),
• депозитарии (стандартный уровень защиты информации),
• регистраторы;
• управляющие*.

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить уровень соответствия не ниже третьего уровня соответствия с 1 января 2022 года.

Для подтверждения соответствия некредитные организации должны проводить внешнюю оценку соответствия требованиям 684-П (включая ГОСТ Р 57580.2-2018) организацией, имеющей лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». Оценка проводится ежегодно для организаций, реализующих усиленный уровень защиты информации, и раз в три года для организаций, реализующих стандартный уровень защиты информации.