Аудит для НФО по требованиям 757-П (684-П)

Защита данных теперь актуальна не только для банков, но и для некредитных финансовых организаций (НФО): новое положение Центробанка РФ №757-П (пришло на смену 684-П с 1 июля 2021 г.) обязывает компании проходить аудит информационной безопасности у лицензиатов ФСТЭК и соблюдать требования ИБ. Получить оценку соответствия 757-П нужно до 1 июля 2022 г., а привести системы защиты информации к определенным уровням — к середине 2023-го. Какие организации обязаны соблюдать требования, как не попасть под санкции регулятора? Ответы — в нашем материале.

2019 г. — принятие Положения №684-П;

2020 г. — проведение анализа уязвимостей программного обеспечения для автоматизации операций по переводу денежных средств;

2021 г. — обязательная оценка соответствия по ГОСТ Р 57580.2-2018;

2022 г. — начало первого этапа модернизации системы защиты информации для обеспечения третьего уровня соответствия (результат оценки должен быть не ниже 0,7);

2023 г. — начало второго этапа модернизации системы для обеспечения уровня защиты информации не ниже четвертого уровня (оценка соответствия должна быть не ниже 0,85).

1. Оценка уровня защиты по ГОСТам.
2. Проверка НФО на соответствие требованиям.
3. Внешнее и внутреннее (Пентест) тестирование на проникновение для соответствующих категорий, определенных заказчиком.
4. При необходимости улучшение защитных средств по требованиям Банка России.
5. Подготовка отчета в соответствии с требованиями ЦБ РФ.

Под стандартный уровень защиты подпадают:

• профессиональные участники рынка ценных бумаг;
• клиринговые организации;
• организаторы торговли;
• страховые организации (при стоимости активов за 6 календарных месяцев подряд превышающей 20 млрд руб.);
• управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
• репозитории;
• депозитарии, осуществляющие в течение 3 последних кварталов учет ценных бумаг стоимость которых превышала 500 000 млн руб. и др.

Под усиленный уровень защиты подпадают:

• центральные контрагенты
• центральный депозитарий.

 Под «третий уровень» ( НФО, не вошедшие в стандартный и усиленный уровень защиты) подпадают:

• бюро кредитных историй;
• микрофинансовые организации;
• рейтинговые агентства;
• ломбарды;
• кредитные потребительские кооперативы;
• актуарии;
• жилищные накопительные кооперативы;
• сельскохозяйственные кредитные потребительские кооперативы;
• страховые организации, стоимость активов которых в течение последних 6 календарных месяцев НЕ превышала 20 миллиардов рублей;
• НПФ, брокеры, дилеры и т. д., которые не указаны в списке организаций, реализующих стандартный уровень защиты информации.

НФО, которые входят в категорию усиленного уровня, — минимум один раз в год;

НФО, которые входят в категорию стандартного уровня, — минимум один раз в три года.

• криптографические ключи;
• электронные сообщения, предоставляемые при осуществлении финансовых операций;
• информация об операциях;
• данные для авторизации.

Компания ООО «Айтиком» более 10 лет специализируется на работах в области информационной безопасности, обладает лицензиями ФСБ и ФСТЭК России и готова провести аудит в соответствии с требованиями 757-П. В зависимости от специфики и состава информационных систем компании проект будет выполнен в срок от 3 месяцев, а стоимость полного комплекса работ составит от 300 тысяч руб.

Оставьте заявку, и наши менеджеры свяжутся с вами для консультации.