Cервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Положение № 757-П: какие задачи решает, кого касается и что будет, если его проигнорировать

В июне 2021 года в России вступило в силу Положение Банка России от 20.04.21 № 757-П, которое заменило Положение № 684-П. В нормативном акте появились новые требования по защите информации для некредитных финансовых организаций (НФО), чтобы работать на финансовом рынке.

В этом материале мы расскажем об основных задачах Положения № 757-П, разберем отличия от Положения № 684-П и выясним, какие уровни защиты информации должны соблюдать конкретные НФО.

Какие задачи стоят перед НФО

Главная цель Положения Банка России № 757-П — обеспечить высокий уровень защиты данных, с которыми работают некредитные финансовые организации. Поэтому перед НФО стоят задачи:

Что нового в Положении № 757-П

Основные пункты Положения Банка России №757-П дублируют пункты Положения № 684-П. Изменения коснулись второй и третьей главы, где:

Какому уровню защиты информации должны соответствовать НФО

В Положении № 757-П выделяют три уровня защиты данных: усиленный, стандартный и минимальный. Требования для каждого уровня указаны в ГОСТ Р 57580.1-2017.

Усиленный уровень защиты информации

Усиленный уровень должны обеспечить НФО со статусом центрального контрагента, депозитария или регистраторы финансовых транзакций.

Стандартный уровень защиты информации

Стандартный уровень установлен для следующих НФО:

Минимальный уровень защиты информации

Не применяют уровни защиты информации

НФО, которых нет в перечнях, обязаны самостоятельно или с привлечением подрядчика определять принадлежность к одному из уровней защиты информации по ГОСТ Р 57580.1 и проводить оценку соответствия ПО. К таким НФО относятся:

Обязанности МФО (МКК и МФК)

Требования Положения № 757-П распространяются на МФО (МКК и МФК) лишь в части п. 1.1-1.3, в которых прописаны обязанности:

Что будет, если не соблюдать требования Положения

Требования Положения № 757-П обязательны для НФО. Если не соблюдать их, бизнес может понести административную ответственность по ст. 13.12 КоАП РФ. В зависимости от правонарушения, организации грозит:

Как ITGLOBAL.COM Security помогает НФО выполнять требования нормативных актов

Специалисты ITGLOBAL.COM Security готовы взять на себя оценку соответствия требованиям нормативных документов Банка России в сфере информационной безопасности (ГОСТ Р 57580) и подготовить подробные отчеты для регулятора, проанализировать наличие уязвимостей, провести пентест или подключить к центру мониторинга событий безопасности (SOC).

При этом следует отметить, что НФО, которые обязаны поддерживать усиленный и стандартный уровень защиты информации, должны каждый год тестировать свою ИТ-инфраструктуру на возможность “взломов”, а также проводить анализ уязвимостей.