Декабрь 19th, 2023 
raven000 В этой публикации мы разберем вопрос соответствия некредитных денежных организаций (НФО) условиям Банка РФ к снабжению обороны информации (Положение 757-П) и операционной долговечности (Положение 779-П).
Вступление в силу Утверждений 757-П и 779-П порождает ряд проблем для НФО:
усиление регуляторных условий к организации системы управления рисками, а конкретнее рисками неразрешенного доступа к обороняемой информации и рисками, сопряженными с несоблюдением операционной долговечности;
повышение затрат на операционную деятельность в связи с потребностью разработки и внедрения граней, нацеленных на реализацию условий Банка РФ к снабжению обороны информации и операционной долговечности;
неимение на рынке готовых экспертов, которые имеют аналогичную квалификацию и способных спроектировать нужные внешние нормативные бумаги (ВНД), и производить функции официального лица по снабжению наблюдения за исполнением условий к снабжению обороны информации и операционной долговечности. Так вот, о чем речь пойдет:
1. Основные требования к снабжению обороны информации НФО (Положение 757-П).
2. Основные требования к операционной долговечности НФО (Положение 779-П).
3. Как отвечать условиям Утверждений 757-П и 779-П.
Основные требования к снабжению обороны информации НФО (Положение 757-П). В соответствии с условиями Положения Банка РФ от 20 мая 2021 г. номер 757-П «Об установлении необходимых для некредитных денежных организаций условий к снабжению обороны информации при совершении деятельности в области денежных рынков с целью противодействия совершению нелегальных денежных операций» НФО должны:
производить защиту информации, производимой, организуемой, обрабатываемой, даваемой и держанной в автоматических системах, применяемых НФО;
производить защиту информации в отношении эксплуатируемых субъектов информационной инфраструктуры в соответствии с условиями национального стереотипа России ГОСТ Р 57580.1-2017 «Безопасность денежных (банковских) операций. Защита информации денежных организаций. Стандартный состав координационных и технологических граней», одобренного указом Государственного агентства по технологическому управлению и метрологии от 8 сентября 2017 года номер 822-ст «Об утверждении национального стереотипа России»;
раз в год устанавливать уровень обороны информации (повышенный, обычный и максимальный) зависимо от вида и масштабных характеристик исполняемой деятельности в области денежных рынков. Загляните на сайт https://plusworld.ru/journal/2021/plus-1-2021/684-p-informatsionnaya-bezopasnost-nfo-pod-kontrolem-banka-rossii/ если нужно больше информации по данной теме.
НФО, реализующие повышенный и обычный значения обороны информации, должны:
снабдить уровень соответствия не менее 3-го значения соответствия, предположенного подпунктом «г» пункта 6.9 ГОСТ Р 57580.2-2018 (с 1 февраля 2022 г. по 30 июля 2023 г.), с 1 августа 2023 г. – не менее 4-го значения соответствия, предположенного подпунктом «д» пункта 6.9 ГОСТ Р 57580.2-2018;
снабдить применение для выполнения денежных операций практического ПО автоматических систем и приложений, передаваемых НФО собственным заказчикам для совершения действий с целью выполнения денежных операций, прошлых сертификацию Государственной службы по технологическому и вывозному наблюдению (ФСТЭК) либо оценку соответствия практического ПО автоматических систем и приложений по условиям к оценивающему уровню доверия (ОУД) не менее, чем ОУД 4;
снабдить регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки обороняемой информации;
гарантировать регистрацию итогов проведения действий, сопряженных с совершением доступа к обороняемой информации, на всех технических отделах, включая регистрацию действий собственных работников и заказчиков, производимых с применением автоматических систем, ПО;
гарантировать сохранение обороняемой информации, информации о регистрации итогов проведения действий, сопряженных с совершением доступа к обороняемой информации, и информации об случаях, сопряженных со снабжением обороны информации при совершении деятельности в области денежных рынков (конфликтов обороны информации);
гарантировать единство и доступность вышеобозначенной информации, на протяжении более чем 5 лет с даты ее развития НФО (даты попадания в НФО), а в случае, если законодательством России, стабилизирующим деятельность НФО, установлен другой срок, — на протяжении этого времени.
НФО, реализующие повышенный, обычный и максимальный значения обороны информации, должны:
гарантировать доставление до собственных заказчиков:
— советов по обороне информации от действия вредных компьютерных кодов;
— информации о вероятных рисках неразрешенного доступа к обороняемой информации;
информации о границах по предупреждению неразрешенного доступа к обороняемой информации.
в соответствии с собственными внешними бумагами производить регистрацию конфликтов обороны информации, и представлять сведения о обнаруженных случаях обороны информации официальному лицу отвечающему за управление рисками;
оповещать Банк РФ:
— о обнаруженных случаях обороны информации, подключенных в перечень типов конфликтов, размещаемый Банком РФ на собственном формальном веб-сайте в интернете «Интернет»;
— о принятых границах и произведенных событиях по реагированию на выраженный НФО либо Банком РФ конфликт обороны информации;
— о принадлежащих НФО и (либо) администрируемых в ее увлечениях веб-сайтах в интернете «Интернет», которые применяются НФО для выполнения деятельности в области денежных рынков;
о планируемых событиях в отношении конфликтов обороны информации не позже одного дня до дня выполнения события.
Все вышеизложенное – это только маленькая часть тех условий, устанавливаемые Банком РФ для некредитных денежных организаций в масштабах условий к снабжению обороны информации.
Опубликовано в рубрике 
