Положение 757-П
Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Настоящее положение разработано на основании статьи 76.4-1 Федерального закона от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».Кого касается
Некредитные финансовые организации.
Самое главное
Устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в целях противодействия осуществлению незаконных финансовых операций.
Используемые термины
Некредитными финансовыми организациями (НФО) в соответствии ФЗ от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации». признаются лица, осуществляющие следующие виды деятельности:
- профессиональных участников рынка ценных бумаг;
- управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- акционерных инвестиционных фондов;
- клиринговую деятельность;
- деятельность по осуществлению функций центрального контрагента;
- деятельность организатора торговли;
- деятельность центрального депозитария;
- деятельность субъектов страхового дела;
- негосударственных пенсионных фондов;
- микрофинансовых организаций;
- кредитных потребительских кооперативов;
- жилищных накопительных кооперативов;
- сельскохозяйственных кредитных потребительских кооперативов;
- деятельность оператора инвестиционной платформы;
- ломбардов;
- оператора финансовой платформы;
- операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
- операторов обмена цифровых финансовых активов.
Краткое изложение
Положение 757-П от 20.04.2021 устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.
Информация, которую необходимо защищать:
НФО, в целях противодействия осуществления незаконных финансовых операций при работе в сфере финансовых рынков, должны осуществлять защиту следующей информации:
- электронных сообщений;
- информации, необходимой для авторизации клиентов при осуществлении финансовых операций;
- информации об осуществленных НФО и их клиентами финансовых операциях;
- криптографических ключей.
Если защищаемая информация содержит персональные данные, НФО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Обеспечение защиты информации с помощью средств криптографической защиты информации (СКЗИ) некредитные финансовые организации должны осуществлять в соответствии с технической документацией на СКЗИ, а также федеральными законами и нормативными правовыми актами РФ.
Если НФО применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия ФСБ.
Некредитные финансовые организации должны осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
НФО должны определять уровень защиты информации ежегодно не позднее 10 рабочего дня календарного года.
НФО, которые должны реализовать усиленный уровень защиты информации по ГОСТ Р 57580.1-2017:
- центральные контрагенты;
- центральный депозитарий;
- регистраторы финансовых транзакций.
НФО, которые должны реализовать стандартный уровень защиты информации по ГОСТ Р 57580.1-2017:
- специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, размер активов которых, обслуживаемых по договорам об оказании услуг специализированного депозитария, составляет более одного триллиона рублей;
- клиринговые организации;
- организаторы торговли;
- страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала двадцать миллиардов рублей;
- негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
- и др., полный список можно увидеть в подпункте 1.4.3. пункта 1.4. 757-П.
НФО, которые должны реализовать минимальный уровень защиты информации по ГОСТ Р 57580.1-2017:
- специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
- брокеры, дилеры, управляющие, депозитарии и регистраторы, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
- управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- форекс-дилеры;
- операторы финансовой платформы, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
- общества взаимного страхования;
- страховые брокеры;
- и др., полный список можно увидеть в подпункте 1.4.4. пункта 1.4. 757-П.
НФО, которые реализуют усиленный и стандартный уровни защиты информации, должны:
1. Ежегодно тестировать объекты информационной инфраструктуры на предмет проникновений и проводить анализ уязвимостей информационной безопасности.
2. Оценивать соответствия ее уровня с привлечением сторонних организаций, имеющих лицензию на проведение данного типа работ и услуг.
- НФО с усиленным уровнем защиты — осуществляет оценку соответствия 1 раз в год.
- НФО со стандартным уровнем защиты — осуществляет оценку соответствия 1 раз в 3 года.
3. Обеспечить уровень соответствия не ниже 4 уровня соответствия.
НФО, которые реализуют усиленный, стандартный и минимальный уровни защиты информации, должны:
1. Обеспечивать доведение рекомендаций для клиентов по защите информации от воздействия вредоносных кодов, в целях противодействия незаконным финансовым операциям;
2. Довести до клиентов:
- информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- информацию о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия.
3. Должны обеспечивать регистрацию инцидентов защиты информации. Для каждого инцидента регистрируются следующие данные:
- защищаемая информации, обрабатываемая на технологическом участке, на котором произошел несанкционированный доступ к защищаемой информации;
- результат реагирования на инцидент защиты информации, в том числе совершенные действия по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.
- о выявленных инцидентах защиты информации, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный НФО или Банком России инцидент защиты информации;
- о принадлежащих НФО и (или) администрируемых в ее интересах сайтах в сети Интернет, которые используются НФО для осуществления деятельности в сфере финансовых рынков;
- о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети Интернет, в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
Основной способ информирования.
Автоматизированная система обработки инцидентов (АСОИ ФинЦЕРТ) — основной канал передачи информации об инцидентах в Банк России. Резервные способы передачи информации используются только в случаях отсутствия телекоммуникационной доступности личного кабинета участника информационного обмена и (или) отсутствия технической возможности передачи информации.
К резервным способам передачи информации относятся:
- Электронная почта ФинЦЕРТ (fincert@cbr.ru);
- Телефон дежурной службы ФинЦЕРТ +7 (495) 772-70-90.
При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются при осуществлении финансовых операций НФО и которые являются объектами критической информационной инфраструктуры РФ, Положение 757-П применяется наряду с требованиями ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Глава 2 положения 757-П раскрывает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций.
Глава 3 положения 757-П раскрывает особенности обеспечения защиты информации при осуществлении деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов.