Регулятор представил для публичного обсуждения проект Положения об установлении обязательных для НФО требований к обеспечению защиты информации при осуществлении деятельности в целях противодействия осуществлению незаконных финансовых операций

Банк России разработал проект в целях установления требований к обеспечению защиты информации в отношении некредитных финансовых организаций, осуществляющих деятельность в сфере финансовых рынков, предусмотренную частью первой статьи 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в том числе операторов финансовой платформы, регистраторов финансовых транзакций, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов, операторов инвестиционных платформ.

Кроме того, ввиду многочисленных обращений некредитных финансовых организаций, вносятся изменения в части расчета показателей, при которых организации выполняют требования к уровням защиты информации¹, а также иные положения, уточняющие действующие нормы. Указанные изменения направлены на устранение административной нагрузки на некредитные финансовые организации и призваны реализовать единообразный подход Банка России к классификации некредитных финансовых организаций на организации крупных, средних и малых форм.

В связи с расширением состава субъектов, на которые распространяется действие нормативного акта, а также необходимостью внесения значительного объема изменений, целесообразна отмена Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение №684-П) и разработка взамен нового нормативного акта Банка России.

Проект устанавливает требования к:

•  реализации мер защиты информации для объектов информационной инфраструктуры некредитных финансовых организаций в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017² с учетом необходимости реализации усиленного, стандартного или минимального уровня защиты информации при достижении определенных показателей;
•  сертификации или оценке соответствия прикладного программного обеспечения, используемого некредитными финансовыми организациями, обрабатывающего защищаемую информацию посредством информационнотелекоммуникационной сети «Интернет», а также представляемого клиентам для осуществления финансовых операций;
•  технологическим мерам защиты информации и протоколированию.

Проект подготавливается взамен действующего нормативного акта Банка России – Положения №684-П.

Новеллами, содержащимися в проекте, являются:

•  уточнение показателей, которые относят некредитные организации к некредитным организациям, осуществляющим усиленный и стандартный уровни защиты информации, новая категория некредитных финансовых организаций, реализующих минимальный уровень защиты информации;
•  уточнение формулировок в части сертификации и оценки соответствия прикладного программного обеспечения, а также в части требования к целостности и авторству при направлении электронных сообщений;
•  дополнительные технологические меры в части использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, Единой системы идентификации и аутентификации, а также в части реализации механизмов подтверждения принадлежности клиенту адреса электронной почты, на который некредитной финансовой организацией направляются уведомления о совершаемых финансовых операциях;
•  дополнительные требования к порядку информирования Банка России;
•  специальные главы, регулирующие особенности обеспечения защиты информации при осуществлении деятельности оператора финансовой платформы, регистратора финансовых транзакций, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов (в части дополнительных перечней защищаемой информации, дополнительных технологических мер).

¹ В части устранения противоречий с Положением Банка России от 27.07.2015 № 481-П «О лицензионных требованиях и условиях осуществления профессиональной деятельности на рынке ценных бумаг, ограничениях на совмещение отдельных видов профессиональной деятельности на рынке ценных бумаг, а также о порядке и сроках представления в Банк России отчетов о прекращении обязательств, связанных с осуществлением профессиональной деятельности на рынке ценных бумаг, в случае аннулирования лицензии профессионального участника рынка ценных бумаг»

² Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта»

Дата окончания приема экспертных заключений – 29.11.2020.

Ответственные за получение экспертных заключений – Краева Ольга Сергеевна, заместитель начальника Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности (kraevaos@cbr.ru), Никитина Виктория Леонидовна, начальник отдела нормативного регулирования Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности (nikitinavl@cbr.ru).

Подробно ознакомиться с документом можно по ссылке >>>.