Номер пункта |
Что добавилось или изменилось |
1.4.1 |
Определять УЗИ нужно не позднее десятого рабочего дня в году |
Кому соответствовать Усиленному УЗИ |
1.4.2 |
Добавились «регистраторы финансовых транзакций» (с 01.01.2022) |
Кому соответствовать Стандартному УЗИ |
1.4.3 |
Для специализированных депозитариев ИФ, ПИФ и НПФ размер активов увеличен до 1 триллиона рублей |
Добавились репозитарии, не являющиеся регистраторами финансовых транзакций |
Для брокеров, дилеров, управляющих, депозитариев и регистраторов добавилось условие |
Брокеры, дилеры, управляющие, депозитарии и регистраторы, определенные в абзаце 10, пп.2.1.11 Положения 481-П:
на лицензиатов, которые вне зависимости от фактических значений показателей деятельности на постоянной основе соблюдают лицензионные требования и условия, установленные подпунктами 2.1.1 - 2.1.9, 2.1.12 настоящего пункта, пунктами 2.2 - 2.7 настоящего Положения в отношении лицензиатов, определивших годовой диапазон, соответствующий графе 5 приложения к настоящему Положению.
(пп. 2.1.11 введен Указанием Банка России от 17.12.2018 N 5013-У)
|
Добавились (с 01.01.2022):
- оператор инвестиционной платформы (2-4 квартал более 100к лиц обслужили);
- оператор финансовой платформы (2-4 квартал более 100к лиц обслужили);
- оператор информационных систем, которые выпускают ЦФА (2-4 квартал более 25к лиц обслужили);
- оператор обмена ЦФА (2-4 квартал более 25к лиц обслужили)
|
Минимальный УЗИ (с 01.07.2022) |
1.4.4 |
- Специализированные депозитарии инвестиционных фондов (ИФ), паевых ИФ и остальных НПФ, ранее не указанных;
- Брокеры, дилеры, управляющие, депозитарии и регистраторы, не попадающие в п.1.4.3;
- Управляющие компании ИФ, паевых ИФ и НПФ;
- Форекс-дилеры;
- Операторы финансовой платформы, не указанные в п.1.4.3;
- Операторы информационных систем, выпускающих ЦФА, не указанные в п.1.4.3;
- Оператор обмена ЦФА, не указанный в п.1.4.3;
- Страховые, не указанные в п.1.4.3;
- Общества взаимного страхования;
- Страховые брокеры;
|
1.4.5 |
При проведении пентестов:
В случае выявления уязвимостей ИБ, НФО (стандартный и усиленный) должны устранять такие уязвимости в соответствии с установленными в ОРД правилами (порядок, сроки), которые регламентируют процедуры нейтрализации угроз
|
1.8 |
Теперь нужно проводить оценку соответствия по требованиям к ОУД.4.
Для усиленного: в случае сертификации ПО должны обеспечить сертификацию не ниже 4 уровня доверия (приказ ФСТЭК № 76 от 2.06.2020)
Для стандартного – не ниже 5 уровня доверия
|
1.9 |
Добавились требования о применении мер защиты по использованию УКЭП, УЭП или иных СКЗИ, реализующих функцию имитозащиты.
Такие меры не применяются в случае, если используются выделенные сегменты вычислительных сетей И такие меры определены как НЕактуальные в модели угроз
|
1.10.2 |
Технология обработки информации на стороне клиентов должна обеспечивать:
При использовании ЕИС ПДн (в том числе биометрии) соответствовать требованиям Приказа ФСТЭК № 21;
При использовании ЕСИА – соответствовать требованиям Приказа Минкомсвязи № 210
|
1.10.5 |
Добавилось требование о реализации механизма подтверждения принадлежности клиенту адреса @ почты, на которую направляются уведомления о фин.операциях |
1.13 |
Был п.2 684-П, в котором было требование по отношению ко всем НФО.
Сейчас требование действует только для НФО, соответствующих минимальному, стандартному и усиленному
|
|
Добавилось условие: перечень типов инцидентов согласуется с ФОИВ и размещается на сайте БР. НФО должны информировать БР о принятых мерах и мероприятиях по реагированию на инцидент.
НФО должны информировать БР об используемых сайтах, необходимых для деятельности в сфере фин. Рынков.
Информирование должно осуществляться через АС или техническую инфраструктуру БР (если такое невозможно, то НФО предоставляют в БО сведения через резервный способ взаимодействия)
|
Глава 2 (для операторов финансовой платформы, регистратора финансовых транзакций)
с 01.01.2022
|
2.1 |
Расширен список защищаемой информации (дополнение к основному в п.1.1) |
2.2 |
Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10 |
2.3 |
Указанные НФО должны обеспечивать подписание электронных сообщений, в том числе договоров, соглашений об ЭДО и иных документов, способом, обеспечивающим целостность документов и подтвердить их составление в соответствии с требованиями п.1.9 – должны применять УКЭП, УЭП |
Глава 3 (ОИС, выпускающие ЦФА, оператор обмена ЦФА)
с 01.01.2022
|
3.1 |
Расширился список защищаемой информации в дополнении к п.1.1 |
3.2 |
Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10 |
3.3 |
Требования, как дополнение к 3.2, к защите на основе распределенного реестра: анализ трафика между узлами, блокирование потенциально опасных записей в ИС, применение СКЗИ, применение МЭ и прочее (абзац 4 вступает в силу с 01.01.2024) |
Глава 4 |
4.1 |
Если НФО выбрала более высокий УЗИ, то в течении 9 месяцев обеспечивает его соответствие (так и было) |
4.2. |
При совмещении деятельностей по двум УЗИ, обеспечивается соответствие более высокому (так и было) |
4.3 |
Добавилось, что если используются объекты КИИ, то нужно соответствовать 187-ФЗ |