Все новости Коллегии

Срок проведения мероприятий некредитными финансовыми организациями по обеспечению защиты информации перенесен на 01.07.2019

Банк России издал 31.12.2019 г. письмо № ИН-014-56/106 «О реализации некредитными финансовыми организациями требований Положения Банка России № 684-П». Принятие Положения Банка России № 684-П от 17.04.2019 г. «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – «Положение Банка России № 684-П»), которому посвящено письмо Банка России от 31.12.2019 г. № ИН-014-56/106, связано с необходимостью минимизации риска несанкционированного доступа к защищаемой информации в некредитных финансовых организациях (в том числе, страховых организациях, далее – «НФО») с целью осуществления финансовых операций лицами, не обладающими правом их осуществления. Принятие Положения Банка России № 684-П направлено на реализацию новых полномочий Банка России по пресечению незаконных финансовых операций (ст. 76.4-1 Федерального закона от 10.07.2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» в ред. ФЗ от 27.06.2018 г. № 167-ФЗ).

Согласно Положению Банка России №684-П все НФО должны осуществлять защиту информации, которая содержится в автоматизированных системах НФО:
  • информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде (электронные сообщения);
  • информация, необходимая НФО для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
  • информация об осуществленных НФО и клиентами НФО финансовых операциях;
  • ключевая информация средств криптографической защиты информации, используемой НФО и клиентами НФО при осуществлении финансовых операций.
Согласно п. 2 Положения Банка России № 684-П НФО обязаны обеспечить доведение до своих клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации и о мерах по предотвращению несанкционированного доступа к защищаемой информации. В силу п. 4 Положения Банка России № 684-П при применении НФО средств криптографической защиты российского производства, средства криптографической защиты должны иметь сертификаты соответствия ФСБ РФ.

В отношении страховых организаций, стоимость активов которых в течение последних шести календарных месяцев подряд превышала 20 миллиардов рублей установлены особые правила защиты информации (последние обязаны применять стандартный уровень защиты информации). С этой целью Банком России в Положении № 684-П установлены повышенные требования к указанным страховым организациям по защите информации при осуществлении деятельности в сфере финансовых рынков в отношении:используемого НФО программного обеспечения и приложений;способов подписания НФО электронных сообщений;технологии обработки защищаемой информации и иные требования.

На страховые организации, не соответствующие указанным финансовым показателям (при стоимости активов менее 20 миллиардов рублей), не распространяются специальные меры защиты информации, предусмотренные, в частности, п.п. 5.2, 5.3 Положения Банка России №684-П (Письмо Банка России от 06.08.2019 г. № 56-1-11/448).

В письме Банка России от 31.12.2019 г. № ИН-014-56/106 отмечается, что для проведения комплекса организационных и технологических мероприятий согласно Положению Банка России № 684-П НФО требуются дополнительные временные издержки. В этой связи Банк России не будет применять к участникам финансового рынка меры ответственности за несоблюдение требований, предусмотренных Положением Банка России № 684-П до 01.07.2020 г. Тем самым Банк России принял решение предоставить НФО дополнительный срок для реализации мер защиты, предусмотренных Положением Банка России № 684-П.

Для соблюдения требований Положения Банка России № 684-П НФО необходимо:предусмотреть во внутренних документах процедуру доведения до своих клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации и о мерах по предотвращению несанкционированного доступа к защищаемой информации;
при использовании средств криптографической защиты российского производства получить сертификаты соответствия ФСБ РФ на средства криптографической защиты;соблюдать особые правила защиты информации (в т.ч. проводить анализ уязвимости ПО, регламентировать технологии безопасной обработки защищаемой информации, регистрировать действия работников и клиентов, выполняемые с использованием информационных систем и проч.) при стоимости активов в течение последних шести календарных месяцев подряд свыше 20 миллиардов рублей.

Авторы:
Ксения Степанищева, советник
Сергей Трущин, юрист
Аналитика Ксения Степанищева Сергей Трущин 2020