Проект Указания Банка России “О внесении изменений в Положение Банка России от 20 апреля 2021 года N 757-П” (по состоянию на 4 сентября 2023 г.)
На основании статьи 764-1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)":
1. Внести в Положение Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"1 следующие изменения:
1 Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.
1.1. В пункте 1.2:
дополнить четвертым абзацем следующего содержания:
"Федеральным законом от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон от 29 декабря 2022 года N 572-ФЗ);";
в абзаце шестом после слов "18 августа 2014 года N 33620" дополнить словами "(далее - приказ ФСБ России N 378).";
абзацы четвертый - шестой считать абзацами пятым - седьмым.
1.2. Подпункт 1.4.4 пункта 1.4 дополнить абзацем следующего содержания:
"микрофинансовые организации, а также микрофинансовые организации, осуществляющие деятельность по оказанию услуг онлайн-микрозаймов, которые в соответствии с Указанием Банка России от 16 ноября 2022 года N 6316-У "О формах, сроках и порядке составления и представления в Банк России отчетности и иных документов и информации микрофинансовых компаний и микрокредитных компаний" предоставляют отчетность в Банк России об оказании таких услуг (далее - микрофинансовая организация, предоставляющая онлайн-микрозайм).".
1.3. В подпункте 1.4.5 пункта 1.4:
в абзаце первом после слов "реализующие усиленный и стандартный уровни защиты информации)," дополнить словами "а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,";
в абзаце втором после слов "реализующие усиленный и стандартный уровни защиты информации," дополнить словами "а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,".
1.4. В пункте 1.8:
в абзаце первом после слов "реализующие усиленный и стандартный уровни защиты информации," дополнить словами "а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,";
в абзаце четвертом после слов "По решению некредитной финансовой организации" дополнить словами ", а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,";
в абзаце шестом после слов "реализующие стандартный уровень защиты информации," дополнить словами "а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,".
1.5. В пункте 1.9:
в абзаце первом после слов "реализующие стандартный уровень защиты информации," дополнить словами "а также микрофинансовые организации, предоставляющие онлайн-микрозаймы,", слова "и подтвердить их составление уполномоченным на это лицом" исключить;
в абзаце втором слова "и подтверждения их составления уполномоченным на это лицом" исключить;
абзац четвертый признать утратившим силу.
1.6. В подпункте 1.10.2 пункта 1.10:
абзац второй после слов "8 июля 2020 года N 58877" дополнить словами "(далее - приказ ФСТЭК России N 21)", после слов "технических и организационных мер" дополнить словами ", а также применение шифровальных (криптографических) средств, указанных в части 1 статьи 19 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в целях нейтрализации угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой;";
абзац третий дополнить словами "(далее - приказ Минкомсвязи России N 210)".
1.7. Подпункт 1.10.3 пункта 1.10 изложить в следующей редакции:
"1.10.3. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:
структурный и логический контроль входящих электронных сообщений, в том числе проверку правильности заполнения полей электронного сообщения (входной контроль);
проверку правильности формирования (подготовки) исходящих электронных сообщений (двойной контроль);
контроль дублирования входящих электронных сообщений;
защиту информации, в том числе обеспечение ее целостности и конфиденциальности криптографическими средствами, при ее передаче по каналам связи.".
1.8. Абзац пятый пункта 1.11 изложить в следующей редакции:
"сведения, однозначно идентифицирующие технологический участок;".
1.9. Подпункт 1.14.2 пункта 1.14 изложить в следующей редакции:
"1.14.2. По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны осуществлять регистрацию:
сведений о защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;
сведений, позволяющих выявить причину возникновения инцидента защиты информации;
результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.".
1.10. Главу 1 дополнить пунктом 1.16 следующего содержания:
"1.16. В целях подтверждения составления электронных сообщений уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны:
обеспечить использование простой или усиленной электронной подписи в соответствии с Федеральным законом "Об электронной подписи";
осуществлять признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, в соответствии со статьей 6 Федерального закона "Об электронной подписи".
В случае использования простой электронной подписи в целях подтверждения составления электронного сообщения уполномоченным на это лицом необходимо обеспечить целостность электронного сообщения с использованием СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.".
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _______ года N ПСД-________) вступает в силу с 1 октября 2024 года.
Председатель Центрального банка Российской Федерации |
СОГЛАСОВАНО:
Директор Федеральной службы безопасности Российской Федерации |
А.В. Бортников |
Директор Федеральной службы по техническому и экспортному контролю |
В.В. Селин |
------------------------------
1 Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный № 63880.
------------------------------
Пояснительная записка к проекту указания Банка России "О внесении изменений в Положение Банка России от 20.04.2021 N 757-П"
Банк России разработал проект указания Банка России "О внесении изменений в Положение Банка России от 20.04.2021 N 757-П" (далее - проект).
Полномочия Банка России по разработке Положения Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П) установлены статьей 76.4-1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ).
В соответствии со статьей 76.4-1 Федерального закона N 86-ФЗ Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 Федерального закона N 86-ФЗ, в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.
На основании пункта 11 статьи 76.1 Федерального закона N 86-ФЗ к некредитным финансовым организациям отнесены микрофинансовые организации.
Внесение изменений в Положение Банка России N 757-П необходимо в целях установления обязательных для микрофинансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 настоящего Федерального закона.
При подготовке проекта использовались механизмы (методологические подходы), аналогичные реализованным в Положении Банка России N 757-П для иных некредитных финансовых организаций, являющихся поднадзорными Банку России.
Проект устанавливает требования к обеспечению защиты информации для микрофинансовых организаций в части:
защиты информации в отношении объектов информационной инфраструктуры в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Росстандарта от 08.08.2017 N 822-ст, соответствующими минимальному уровню защиты информации;
ежегодного тестирования объектов информационной инфраструктуры на предмет проникновений и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
обеспечения использования для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет", прошедших сертификацию или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного и введенного в действие приказом Росстандарта от 08.11.2013 N 1340-ст;
обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом (микрофинансовые организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения).
Ответственное структурное подразделение Банка России по проекту - Департамент информационной безопасности.
Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 18 сентября 2023 года по адресам: nikitinavl@cbr.ru и polivanovave@cbr.ru.
Обзор документа
Для некредитных финансовых организаций (НФО) планируется уточнить требования к обеспечению защиты информации при ведении деятельности в сфере финансовых рынков в целях противодействия незаконным финансовым операциям. Отдельные требования планируется распространить на микрофинансовые организации, выдающие микрозаймы.