Положение Банка России №757-П вместо 684-П

Положение Банка России № 757-П от 22 июня 2021 г. заменяет Положение № 684-П

«Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

Документ полностью изменил свою структуру, теперь он состоит из 4 глав. 1 и 4 главы практически идентичны тексту Положения №684-П, 2 и 3 главы являются нововведением для некредитных финансовых организаций.

Одно из самых существенных изменений в Положении 757-П – изменение перечня некредитных финансовых организаций, выполняющих требования усиленного и стандартного уровня защиты информации. Дополнительно, теперь предъявляются требования к организациям, выполняющим минимальный уровень защиты информации.

Что нового?

1. Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. В Положении № 684-П определение уровня защиты информации должно было производится не позднее первого рабочего дня календарного года.

2. Расширился список организаций, которые должны соблюдать требования ГОСТ Р. 57580.1-2017 соответствующие усиленному уровню защиты информации. К имеющимся в Положении № 684-П (центральные контрагенты, центральный депозитарий) добавились Регистраторы Финансовых транзакций.

3. Расширился список организаций, которые должны соблюдать требования ГОСТ Р. 57580.1-2017 соответствующие стандартному уровню защиты информации.

Изменения

  • Специализированные депозитарии ИФ, ПИФ и НПФ, размер активов которых превышает 1 трлн. рублей
  • Репозитарии, не являющиеся регистраторами финансовых транзакций
  • Брокеры, дилеры, управляющие, депозитарии и регистраторы, для которых определены условия, указанные в Положении 481-П
  • Остальных НФО, «пришедших» из 684-П, изменения которых не коснулись

Новый перечень НФО:

  • Оператор инвестиционной платформы (во 2-4 квартал обслужили более 100 000 лиц)
  • Оператор финансовой платформы (во 2-4 квартал обслужили более 100 000 лиц)
  • Оператор информационных систем, которые выпускают ЦФА (во 2-4 квартал обслужили более 25 000 лиц)
  • Оператор обмена ЦФА (во 2-4 квартал обслужили более 25 000 лиц)

4. Добавился список организаций, которые должны соблюдать требования ГОСТ Р. 57580.1-2017 соответствующие минимальному уровню защиты информации. В Положении № 684-П «минимальный» уровень вообще не упоминался, и решение о выполнении требований ГОСТ Р 57580.1-2017 организациям не попадающим под усиленный и стандартный уровни, организации должны были принимать самостоятельно.

  • Специализированные депозитарии ИФ, ПИФ и НПФ, стоимость активов которых менее 1 трл. рублей
  • Брокеры, дилеры, управляющие, депозитарии и регистраторы, не попадающие под условия соответствия Стандартному уровню
  • Управляющие компании ИФ, паевых ИФ и НПФ
  • Форекс-дилеры
  • Операторы финансовой платформы, которым не нужно соответствовать Стандартному уровню
  • Операторы информационных систем, выпускающих ЦФА, которым не нужно соответствовать Стандартному уровню
  • Оператор обмена ЦФА, которым не нужно соответствовать Стандартному уровню
  • Страховые организации, не попадающие под условия соответствия Стандартному уровню
  • Общества взаимного страхования
  • Страховые брокеры

5. Изменились требования к прикладному программному обеспечению. Анализ уязвимостей по ОУД 4 заменен на оценку соответствия по ОУД 4.

6. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации. В Положении № 684-П данное требование распространялось на организации, реализующие стандартный и усиленный уровень защиты информации.

7. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код), в целях противодействия незаконным финансовым операциям. В положении № 684-П распространялось абсолютно на все некредитные финансовые операции.

С 01 июля 2021 года Положение 757-П вступает в силу, а Положение 684-П признается утратившим силу.





Напишите нам, чтобы получить консультацию по вопросам Положения №757-П и мы свяжемся с Вами!

Заполнить

Преимущества нашей компании

  • Наша компания обладает необходимой лицензией по технической защите конфиденциальной информации для проведения работ от Федеральной службы по техническому и экспортному контролю.
  • В нашей компании работают два специалиста, сертифицированных по программе «Введение, внедрение и оценка соответствия финансовых организаций ГОСТ Р 57589 «Безопасность финансовых (банковских) операций», подготовленной разработчиками стандарта
  • Наши специалисты получили опыт, успешно реализовав проекты в нескольких крупных банках, доведя оценку до необходимого третьего уровня.

ЭТАПЫ ПРОЕКТА

1 Этап

Определение области оценки соответствия и согласование плана оценки

2 Этап

Удаленная проверка организационно-распорядительной документации заказчика на соответствие требованиям Положения и ГОСТ 57580

3 Этап

Оценка соответствия на месте, включающая: анализ конфигураций информационных систем и оборудования,
используемых технических и организационных мер защиты информации, интервью с ответственными сотрудниками, сбор свидетельств аудита.

4 Этап

Подготовка предварительной версии отчетной документации и рекомендаций по обеспечению организацией необходимого уровня защищенности

5 Этап

Доработка заказчиком несоответствий

6 Этап

Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Банка России

РЕЗУЛЬТАТЫ ПРОЕКТА

По результатам выполненных работ будут подготовлены следующие отчётные материалы:

 

  • отчет о предварительной оценке соответствия требованиям ГОСТ Р 57580.1 – 2017
  • рекомендации по повышению уровня защищенности и общей оценки
  • отчет об оценке соответствия требованиям ГОСТ Р 57580.1-2017 и Положения № 757-П , включающий

— сведения о проверяющей организации;

— сведения о руководителе и членах проверяющей группы;

— сведения о проверяемой организации;

— сведения о заказчике оценки соответствия ЗИ;

— цель оценки соответствия ЗИ;

— сроки проведения оценки соответствия ЗИ;

Заинтересованы в услуге? Напишите нам!