пиф: от идеи до реализации

Специальная программа

УК+ПИФ под ключ
Когда нужны гарантии, обращаются к нам!

Положение Банка России № 757-П от 20 апреля 2021 г. об установлении обязательных для НФО требований к обеспечению защиты информации

Положение Банка России № 757-П от 20 апреля 2021 г. "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"

22.06.2021г. опубликовано Положение Банка России № 757-П от 20 апреля 2021 г. "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"

Положение Банка России от 20.04.2021 N 757-П вступает с силу с 3 июля 2021 г. (за исключением отдельных положений). С этой же даты утрачивает силу Положение Банка России от 17 апреля 2019 года N 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Часть требований по защите информации, установленная ранее в Положении Банка России от 17 апреля 2019 года N 684-П, сохраняется:

  • в случае если защищаемая информация содержит персональные данные, НФО должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";
  • обеспечение защиты информации с помощью СКЗИ НФО должны осуществлять в соответствии с технической документацией на СКЗИ, а также указанными в положении ФЗ и НПА Российской Федерации (Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи"; постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и пр.);
  • в случае если НФО применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности;
  • безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ;
  • НФО должны осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017. Указанный ГОСТ должен применяться по результатам определения НФО реализуемого в течение календарного года уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017 (далее - уровень защиты информации);
  • НФО должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям; о возможных рисках несанкционированного доступа к защищаемой информации; о мерах по предотвращению несанкционированного доступа к защищаемой информации.

Также остается неизменным состав защищаемой информации.

Положением Банка России от 20.04.2021 N 757-П изменен срок определения некредитными финансовыми организациями уровня защиты информации – теперь они должны это делать ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации. Также меняются перечни НФО, которые должны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие усиленному, стандартному и минимальному уровню защиты информации. Так, по общему правилу, управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (далее – УК) с 1 июля 2022 года обязаны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации. Это правило не работает, если УК совмещает свою деятельность с деятельностью по управлению ценными бумагами. В этом случае она должна обеспечить соблюдение требований ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации, при условии, что при совмещении деятельности она использует единые объекты информационной инфраструктуры.

Если рассматривать УК, на которые распространяются требования ГОСТ Р 57580.1-2017, соответствующие минимальному уровню защиты информации, следует обратить внимание на следующее:

1) в отличии от НФО, реализующих усиленный и стандартный уровень защиты информации (для которых это является обязательным), управляющие компании для прикладного программного обеспечения автоматизированных систем и приложений могут самостоятельно определять:

  • необходимость сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю; или
  • оценки соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013.
    По решению УК такая оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений может проводиться самостоятельно или с привлечением проверяющей организации.

2) на такие УК возлагаются обязанности:

  • по осуществлению регистрации инцидентов защиты информации в соответствии со своими внутренними документами;
  • по представлению сведений о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии такого должностного лица (отдельного структурного подразделения).

При этом к инцидентам защиты информации УК должны относить события, которые привели или по ее оценке могут привести к осуществлению финансовых операций без согласия (волеизъявления) клиента УК, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет".

Также следует учитывать, что УК будут обязаны информировать Банк России:

  • о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет", а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный УК или Банком России инцидент защиты информации;
  • о принадлежащих УК и (или) администрируемых в ее интересах сайтах в сети "Интернет", которые используются ею для осуществления деятельности в сфере финансовых рынков;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Указанные сведения должны предоставляться в Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия УК с Банком России с использованием такой технической инфраструктуры, УК должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет". На сегодняшний день мы не располагаем информацией о ее размещении на сайте Банка России.

Положение Банка России от 20.04.2021 N 757-П вступает с силу с 3 июля 2021 г. (за исключением отдельных положений).


22.06.2021

Темы статьи:

Управляющая компания ПИФ
Лицензионные требования
Тенденции
Законотворчество

Еще по темам: