Положение № 757-П: какие задачи решает, кого касается и что будет, если его проигнорировать

В июне 2021 года в России вступило в силу Положение Банка России от 20.04.21 № 757-П, которое заменило Положение № 684-П. В нормативном акте появились новые требования по защите информации для некредитных финансовых организаций (НФО), чтобы работать на финансовом рынке.

В этом материале мы расскажем об основных задачах Положения № 757-П, разберем отличия от Положения № 684-П и выясним, какие уровни защиты информации должны соблюдать конкретные НФО.

Какие задачи стоят перед НФО

Главная цель Положения Банка России № 757-П — обеспечить высокий уровень защиты данных, с которыми работают некредитные финансовые организации. Поэтому перед НФО стоят задачи:

• защищать информацию, которую они получают, подготавливают, обрабатывают, передают и хранят в автоматизированных системах;
• защищать информацию в отношении объектов ИТ-инфраструктуры (например, параметры настроек);
• соблюдать установленный для конкретного вида НФО уровень защиты и ежегодно проводить оценку для подтверждения соответствия требованиям Положения.

Что нового в Положении № 757-П

Основные пункты Положения Банка России №757-П дублируют пункты Положения № 684-П. Изменения коснулись второй и третьей главы, где:

• расширили и изменили список НФО, которые обязаны применять усиленный и стандартный уровень защиты информации;
• добавили список организаций, которые должны обеспечить минимальный уровень защиты данных;
• изменили требования к прикладному программному обеспечению;
• обозначили требования, которые должны выполнять ОФП, ИС и РФТ;
• установили, что определять уровень защиты информации НФО нужно ежегодно не позднее десятого рабочего дня календарного года.

Какому уровню защиты информации должны соответствовать НФО

В Положении № 757-П выделяют три уровня защиты данных: усиленный, стандартный и минимальный. Требования для каждого уровня указаны в ГОСТ Р 57580.1-2017.

Усиленный уровень защиты информации

Усиленный уровень должны обеспечить НФО со статусом центрального контрагента, депозитария или регистраторы финансовых транзакций.

Стандартный уровень защиты информации

Стандартный уровень установлен для следующих НФО:

• специализированные депозитарии ИФ, ПИФа и НПФ с размером активов от 1 трлн. рублей;
• клиринговые организации;
• организаторы торговли;
• страховые организации с суммой активов за последние шесть месяцев, которая превышает 20 млрд. рублей;
• НПФ, которые занимаются обязательным пенсионным страхованием;
• НПФ, которые занимаются НПС (с суммой резервов за последние 6 месяцев свыше 10 млрд. рублей);
• репозитории, которые не являются регистраторами финансовых транзакций;
• отдельные категории брокеров, дилеров, регистраторов, депозитариев и управляющих;
• ОИП и ОФП (если за последние 3 квартала оказали услуги более 100 тыс. клиентам);
• операторы ИС и обмена ЦФА (если за последние 3 квартала оказали услуги более 25 тыс. клиентам).

Минимальный уровень защиты информации

• Минимальный уровень защиты информации должны соблюдать:
• специализированные депозитарии ИФ, ПИФа и НПФ;
• брокеры, дилеры, управляющие, ОФП;
• операторы ИС и обмена ЦФА;
• страховщики, которых нет в списке НФО, стандартного уровня защиты информации;
• управляющие компании ИФ, ПИФов и негосударственных ПФ;
• форекс-дилеры;
• страховые брокеры и ОВС.

Не применяют уровни защиты информации

НФО, которых нет в перечнях, обязаны самостоятельно или с привлечением подрядчика определять принадлежность к одному из уровней защиты информации по ГОСТ Р 57580.1 и проводить оценку соответствия ПО. К таким НФО относятся:

• бюро кредитных историй;
• микрофинансовые организации;
• рейтинговые агентства;
• ломбарды;
• кредитные потребительские кооперативы;
• жилищные накопительные кооперативы;
• сельскохозяйственные кредитные потребительские кооперативы.

Обязанности МФО (МКК и МФК)

Требования Положения № 757-П распространяются на МФО (МКК и МФК) лишь в части п. 1.1-1.3, в которых прописаны обязанности:

• обеспечить сохранность информации, с которой работают НФО;
• обеспечить защиту данных за счет использования СКЗИ;
• при необходимости проводить оценку средств сети на соответствие требованиям, которые к ним предъявляются (если такое условие прописано в технической документации на СКЗИ).

Что будет, если не соблюдать требования Положения

Требования Положения № 757-П обязательны для НФО. Если не соблюдать их, бизнес может понести административную ответственность по ст. 13.12 КоАП РФ. В зависимости от правонарушения, организации грозит:

• штраф в размере от 10 000 до 30 000 рублей;
• приостановка деятельности компании до 3 месяцев;
• изъятие средств защиты информации, если установлено, что они несертифицированные.

Как ITGLOBAL.COM Security помогает НФО выполнять требования нормативных актов

Специалисты ITGLOBAL.COM Security готовы взять на себя оценку соответствия требованиям нормативных документов Банка России в сфере информационной безопасности (ГОСТ Р 57580) и подготовить подробные отчеты для регулятора, проанализировать наличие уязвимостей, провести пентест или подключить к центру мониторинга событий безопасности (SOC).

При этом следует отметить, что НФО, которые обязаны поддерживать усиленный и стандартный уровень защиты информации, должны каждый год тестировать свою ИТ-инфраструктуру на возможность “взломов”, а также проводить анализ уязвимостей.