Защита финансовых организаций

Защита финансовых организаций
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Необходимость проведение стороннего аудита обоснована следующими положениями:

  • Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

  • Положение Банка России от 23 декабря 2020 г. № 747-П «О требованиях к защите информации в платежной системе Банка России».

  • Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

  • Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Наименование документа/кому необходимо выполнять

Минимальный
(3 уровень ЗИ)

Стандартный
(2 уровень ЗИ)

Усиленный
(1 уровень ЗИ)

Периодичность проведения/необходимый уровень соответствия

Последствия невыполнения

Оценка соответствия ГОСТ 57580

683-п
(кредитные организации)

Не предъявлено

Согласно п.3.1 Положения 683-П

Согласно п.3.1 Положения 683-П

Согласно п.9 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года.

ст.74 ФЗ №86 [1]

Уровень соответствия не ниже 3
(Ei > 0,7) в соответствии с ГОСТ 57580.2-2018 с 01.01.2021.

Уровень соответствия не ниже 4
(Ei > 0,85) в соответствии с ГОСТ 57580.2-2018 с 01.01.2023.

747-П
Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП

Не предъявлено

ССНП согласно п.3 Положения 747-П (с 01.06.2021 вступило в силу)

СБП согласно п.4 Положения 747-П (с 01.06.2021 вступило в силу)

ОУИО СБП согласно п.5 Положения 747-П (с 01.01.2022 вступает в силу)

Сегмент ОПКЦ Согласно п.6 Положения 747-П должен реализовывать усиленный уровень (с 01.06.2021 вступило в силу)

Согласно п.19 Оценка соответствия ГОСТ 57580 не реже одного раза в 2 года (с 01.06.2021 вступило в силу).

ст. 34 ФЗ №161 [2]

Уровень соответствия не ниже 4 согласно ГОСТ Р 57580.2-2018 с 01.01.23.

719-П
ОПДС, БПА, ОПС, ОУИО, Поставщик платежных приложений (ППП); Платежный агрегатор (ПА) ОУПИ, осуществляющие:
► деятельность операционных центров (ОЦ)
► деятельность платежных клиринговых центров (ПКЦ)
► деятельность расчетных центров (РЦ)

Для БПА Согласно п.3.5 Положения 719-П

Для Операторов по переводу денежных средств согласно п.2.3 Положения 719-П

Для ОУИО согласно п.4.3 Положения 719-П

Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6  Положения 719-П

Для Операторов по переводу денежных средств согласно п.2.3 Положения 719-П

Для операторов услуг платежной инфраструктуры согласно п.6.5-6.6 Положения 719-П

Операторы по переводу денежных средств (п.2.3), БПА (п.3.6), ОУИО (п.4.4), операторы услуг платежной инфраструктуры (п.6.7) должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в 2 года.

Согласно ст.74 ФЗ №86

Согласно ст. 34 ФЗ №161

Уровень соответствия не ниже 4 в соответствии с ГОСТ Р 57580.2-2018 с 01.01.22.

757-П
(некредитные финансовые организации)

Согласно п. 1.4.4 Положения 757-П (с 1.07.2022 вступает в силу)

Согласно п. 1.4.3 Положения 757-П

Согласно п. 1.4.2 Положения 757-П

Согласно п.1.5.3:
► Организации, реализующие 1 уровень защиты должны обеспечить ежегодное проведение оценки соответствия;
► Организации, реализующие 2 уровень должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в 3 года.

Согласно ст.74 ФЗ №86

► Уровень соответствия не ниже 3 в соответствии с ГОСТ 57580.2-2018 с 01.01.2022 до 30.06.2023.
► Уровень соответствия не ниже 4 в соответствии с ГОСТ 57580.2-2018 с 01.07.2023.

Приказ Минкомсвязи от 10.09.2021 №930

► П.4 приложения №3 Приказа №930

Ежегодное проведение оценки соответствия 2- уровню защиты установленному национальным стандартом РФ ГОСТ Р 57580.1-2017 с передачей в ЦБ РФ результатов проведения оценки внешним аудитором:
► согласно п.7.2 Приложения №1 Приказа №930

Согласно ст.74 ФЗ №86

ОУД

719-П
ОПДС, БПА, ОПС, ОУИО, ППП; ПА; ОУПИ ОЦ; ОУПИ ПКЦ; ОУПИ РЦ

Прикладное ПО АС и приложения, распространяемые клиентам ОПДС для совершения действий, непосредственно связанных с осуществлением переводов денежных средств.

Прикладное ПО, эксплуатируемое на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде, к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет".

Для проведения оценки соответствия прикладного ПО АС и приложений операторы по переводу денежных средств БПА (субагенты) с учетом особенностей, предусмотренных п. 3.11 настоящего Положения, ОУИО, ОУПИ должны привлекать проверяющие организации.

Согласно ст.74 ФЗ №86

Согласно ст. 34 ФЗ №161


[1] При невыполнении финансовая организация обязана сформировать резервы на возможные потери, связанные с инцидентами ИБ. Также несоблюдение требований ГОСТ Р 57580 может привести к:
► смене руководящих должностных лиц компании;
► приостановке деятельности предприятия;
► штрафу в размере до 0,1% от уставного капитала фирмы. 

[2] В случае выявления нарушений в части реализации требований ЦБ РФ вправе:
► направить предписание об устранении нарушения с указанием срока для его устранения;
► ограничить (приостановить) предписанием оказание операционных услуг;
► вынести Решение об исключении оператора платежной системы из реестра операторов платежных систем.

Просим обратить внимание на то, что в документах, разработанных ЦБ, указаны требования, предъявляемые к Отчёту об оценке соответствия ГОСТ 57580. Для того, чтобы аудитор засчитал требование выполненным, необходимо предоставить исчерпывающие доказательства выполнения каждого из требований ГОСТ 57580.1-2017. Ниже представлены требования, предъявляемые ЦБ к Отчёту.

Согласно п.8.2 ГОСТ 57580.2-2018 Отчет с оценкой соответствия и Приложения к нему должны включать:
- сведения об Исполнителе;
- сведения о руководителе и членах проверяющей группы;
- сведения о Заказчике;
- цель оценки;
- сроки проведения оценки;
- область оценки;
- резюме для руководства Заказчика;
- перечень неоцениваемых областей оценки (процессов, подпроцессов, направлений, мер) с обоснованием их исключения из области оценки;
- обоснование применения компенсирующих мер защиты информации при невозможности реализации отдельных выбранных мер;
- краткое изложение процесса оценки соответствия;
- числовое значение итоговой оценки соответствия защиты информации определенному уровню защиты информации;
- неразрешенные разногласия между Исполнителем и Заказчиком;
- перечень представителей со стороны Заказчика, которые сопровождали Исполнителя;
- опись документов (копий документов), прилагаемых к отчету с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету (если есть).

Согласно п.8.3 ГОСТ 57580.2-2018 к Отчету прилагаются и являются неотъемлемой частью:
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов);
- перечень выявленных нарушений защиты информации;
- рекомендации по совершенствованию защиты информации и устранению выявленных нарушений, в т.ч. по доработке локальных актов Заказчика;
- таблицы, содержащие числовые значения оценок процессов (подпроцессов) и направлений системы защиты информации;
- копии документов, являющихся свидетельствами выполнения требований защиты информации;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения требований защиты информации (при наличии).

Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.