Положение 757-П

Положение Банка России от 20.04.2021 N 757-П  «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Настоящее положение разработано на основании статьи 76.4-1  Федерального закона от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

Кого касается
Некредитные финансовые организации.

Самое главное
Устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в целях противодействия осуществлению незаконных финансовых операций.

Используемые термины
Некредитными финансовыми организациями (НФО) в соответствии ФЗ от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации». признаются лица, осуществляющие следующие виды деятельности:
  • профессиональных участников рынка ценных бумаг;
  • управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
  • специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
  • акционерных инвестиционных фондов;
  • клиринговую деятельность;
  • деятельность по осуществлению функций центрального контрагента;
  • деятельность организатора торговли;
  • деятельность центрального депозитария;
  • деятельность субъектов страхового дела;
  • негосударственных пенсионных фондов;
  • микрофинансовых организаций;
  • кредитных потребительских кооперативов;
  • жилищных накопительных кооперативов;
  • сельскохозяйственных кредитных потребительских кооперативов;
  • деятельность оператора инвестиционной платформы;
  • ломбардов;
  • оператора финансовой платформы;
  • операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
  • операторов обмена цифровых финансовых активов.

Краткое изложение
Положение 757-П от 20.04.2021 устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.

Информация, которую необходимо защищать:
НФО, в целях противодействия осуществления незаконных финансовых операций при работе в сфере финансовых рынков, должны осуществлять защиту следующей информации:
  • электронных сообщений;
  • информации, необходимой для авторизации клиентов при осуществлении финансовых операций;
  • информации об осуществленных НФО и их клиентами финансовых операциях;
  • криптографических ключей.

Если защищаемая информация содержит персональные данные, НФО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Обеспечение защиты информации с помощью средств криптографической защиты информации (СКЗИ) некредитные финансовые организации должны осуществлять в соответствии с технической документацией на СКЗИ, а также федеральными законами и нормативными правовыми актами РФ.

Если НФО применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия ФСБ.

Некредитные финансовые организации должны осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». 

НФО должны определять уровень защиты информации ежегодно не позднее 10 рабочего дня календарного года.

НФО, которые должны реализовать усиленный уровень защиты информации по ГОСТ Р 57580.1-2017:
  • центральные контрагенты;
  • центральный депозитарий;
  • регистраторы финансовых транзакций.

НФО, которые должны реализовать стандартный уровень защиты информации по ГОСТ Р 57580.1-2017:
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, размер активов которых, обслуживаемых по договорам об оказании услуг специализированного депозитария, составляет более одного триллиона рублей;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации, стоимость активов которых в течение последних шести календарных месяцев подряд по состоянию на 31 декабря года, предшествующего дате определения уровня защиты информации, превышала двадцать миллиардов рублей;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • и др., полный список можно увидеть в подпункте 1.4.3. пункта 1.4. 757-П.

НФО, которые должны реализовать минимальный уровень защиты информации по ГОСТ Р 57580.1-2017:
  • специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
  • брокеры, дилеры, управляющие, депозитарии и регистраторы, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
  • управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • форекс-дилеры;
  • операторы финансовой платформы, не указанные в подпункте 1.4.3. пункта 1.4. 757-П;
  • общества взаимного страхования;
  • страховые брокеры;
  • и др., полный список можно увидеть в подпункте 1.4.4. пункта 1.4. 757-П.

НФО, которые реализуют усиленный и стандартный уровни защиты информации, должны:

1. Ежегодно тестировать объекты информационной инфраструктуры на предмет проникновений и проводить анализ уязвимостей информационной безопасности.

2. Оценивать соответствия ее уровня с привлечением сторонних организаций, имеющих лицензию на проведение данного типа работ и услуг.
  • НФО с усиленным уровнем защиты — осуществляет оценку соответствия 1 раз в год.
  • НФО со стандартным уровнем защиты — осуществляет оценку соответствия 1 раз в 3 года.

3. Обеспечить уровень соответствия не ниже 4 уровня соответствия.

НФО, которые реализуют усиленный, стандартный и минимальный уровни защиты информации, должны:
1. Обеспечивать доведение рекомендаций для клиентов по защите информации от воздействия вредоносных кодов, в целях противодействия незаконным финансовым операциям; 

2. Довести до клиентов:
  • информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
  • информацию о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия.

3. Должны обеспечивать регистрацию инцидентов защиты информации. Для каждого инцидента регистрируются следующие данные:
  • защищаемая информации, обрабатываемая на технологическом участке, на котором произошел несанкционированный доступ к защищаемой информации;
  • результат реагирования на инцидент защиты информации, в том числе совершенные действия по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.
4. Некредитные финансовые организации должны осуществлять информирование Банка России:
  • о выявленных инцидентах защиты информации, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный НФО или Банком России инцидент защиты информации;
  • о принадлежащих НФО и (или) администрируемых в ее интересах сайтах в сети Интернет, которые используются НФО для осуществления деятельности в сфере финансовых рынков;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети Интернет, в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Основной способ информирования.
Автоматизированная система обработки инцидентов (АСОИ ФинЦЕРТ) — основной канал передачи информации об инцидентах в Банк России. Резервные способы передачи информации используются только в случаях отсутствия телекоммуникационной доступности личного кабинета участника информационного обмена и (или) отсутствия технической возможности передачи информации.

К резервным способам передачи информации относятся:
  • Электронная почта ФинЦЕРТ (fincert@cbr.ru);
  • Телефон дежурной службы ФинЦЕРТ +7 (495) 772-70-90.

При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются при осуществлении финансовых операций НФО и которые являются объектами критической информационной инфраструктуры РФ, Положение 757-П применяется наряду с требованиями ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Глава 2 положения 757-П раскрывает особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций.

Глава 3 положения 757-П раскрывает особенности обеспечения защиты информации при осуществлении деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов.

Полная версия документа

Оставьте заявку на  бесплатную консультацию