#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Сравнение 757-П ЦБ РФ и утратившего силу 684-П

Подготовили короткое сравнение Положений 757-П и 684-П.

Зеленое — для Минимальных, Стандартных и Усиленных

Синее — Для Стандартных и Усиленных

Желтое — для Минимального

Белое (без особенных пометок) — для ВСЕХ

Номер пункта Что добавилось или изменилось
1.4.1 Определять УЗИ нужно не позднее десятого рабочего дня в году
Кому соответствовать Усиленному УЗИ
1.4.2 Добавились «регистраторы финансовых транзакций» (с 01.01.2022)
Кому соответствовать Стандартному УЗИ
1.4.3 Для специализированных депозитариев ИФ, ПИФ и НПФ размер активов увеличен до 1 триллиона рублей
Добавились репозитарии, не являющиеся регистраторами финансовых транзакций
Для брокеров, дилеров, управляющих, депозитариев и регистраторов добавилось условие

Брокеры, дилеры, управляющие, депозитарии и регистраторы, определенные в абзаце 10, пп.2.1.11 Положения 481-П:

на лицензиатов, которые вне зависимости от фактических значений показателей деятельности на постоянной основе соблюдают лицензионные требования и условия, установленные подпунктами 2.1.1 - 2.1.9, 2.1.12 настоящего пункта, пунктами 2.2 - 2.7 настоящего Положения в отношении лицензиатов, определивших годовой диапазон, соответствующий графе 5 приложения к настоящему Положению.

(пп. 2.1.11 введен Указанием Банка России от 17.12.2018 N 5013-У)

 

Добавились (с 01.01.2022):

  • оператор инвестиционной платформы (2-4 квартал более 100к лиц обслужили);
  • оператор финансовой платформы (2-4 квартал более 100к лиц обслужили);
  • оператор информационных систем, которые выпускают ЦФА (2-4 квартал более 25к лиц обслужили);
  • оператор обмена ЦФА (2-4 квартал более 25к лиц обслужили)
Минимальный УЗИ (с 01.07.2022)
1.4.4
  • Специализированные депозитарии инвестиционных фондов (ИФ), паевых ИФ и остальных НПФ, ранее не указанных;
  • Брокеры, дилеры, управляющие, депозитарии и регистраторы, не попадающие в п.1.4.3;
  • Управляющие компании ИФ, паевых ИФ и НПФ;
  • Форекс-дилеры;
  • Операторы финансовой платформы, не указанные в п.1.4.3;
  • Операторы информационных систем, выпускающих ЦФА, не указанные в п.1.4.3;
  • Оператор обмена ЦФА, не указанный в п.1.4.3;
  • Страховые, не указанные в п.1.4.3;
  • Общества взаимного страхования;
  • Страховые брокеры;
1.4.5

При проведении пентестов:

В случае выявления уязвимостей ИБ, НФО (стандартный и усиленный) должны устранять такие уязвимости в соответствии с установленными в ОРД правилами (порядок, сроки), которые регламентируют процедуры нейтрализации угроз

1.8

Теперь нужно проводить оценку соответствия по требованиям к ОУД.4.

Для усиленного: в случае сертификации ПО должны обеспечить сертификацию не ниже 4 уровня доверия (приказ ФСТЭК № 76 от 2.06.2020)

Для стандартного – не ниже 5 уровня доверия

1.9

Добавились требования о применении мер защиты по использованию УКЭП, УЭП или иных СКЗИ, реализующих функцию имитозащиты.

Такие меры не применяются в случае, если используются выделенные сегменты вычислительных сетей И такие меры определены как НЕактуальные в модели угроз

1.10.2

Технология обработки информации на стороне клиентов должна обеспечивать:

При использовании ЕИС ПДн (в том числе биометрии) соответствовать требованиям Приказа ФСТЭК № 21;

При использовании ЕСИА – соответствовать требованиям Приказа Минкомсвязи № 210

1.10.5 Добавилось требование о реализации механизма подтверждения принадлежности клиенту адреса @ почты, на которую направляются уведомления о фин.операциях
1.13

Был п.2 684-П, в котором было требование по отношению ко всем НФО.

Сейчас требование действует только для НФО, соответствующих минимальному, стандартному и усиленному

 

Добавилось условие: перечень типов инцидентов согласуется с ФОИВ и размещается на сайте БР. НФО должны информировать БР о принятых мерах и мероприятиях по реагированию на инцидент.

НФО должны информировать БР об используемых сайтах, необходимых для деятельности в сфере фин. Рынков.

Информирование должно осуществляться через АС или техническую инфраструктуру БР (если такое невозможно, то НФО предоставляют в БО сведения через резервный способ взаимодействия)

Глава 2 (для операторов финансовой платформы, регистратора финансовых транзакций)

с 01.01.2022

2.1 Расширен список защищаемой информации (дополнение к основному в п.1.1)
2.2 Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10
2.3 Указанные НФО должны обеспечивать подписание электронных сообщений, в том числе договоров, соглашений об ЭДО и иных документов, способом, обеспечивающим целостность документов и подтвердить их составление в соответствии с требованиями п.1.9 – должны применять УКЭП, УЭП

Глава 3 (ОИС, выпускающие ЦФА, оператор обмена ЦФА)

с 01.01.2022

3.1 Расширился список защищаемой информации в дополнении к п.1.1
3.2 Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10
3.3 Требования, как дополнение к 3.2, к защите на основе распределенного реестра: анализ трафика между узлами, блокирование потенциально опасных записей в ИС, применение СКЗИ, применение МЭ и прочее (абзац 4 вступает в силу с 01.01.2024)
Глава 4
4.1 Если НФО выбрала более высокий УЗИ, то в течении 9 месяцев обеспечивает его соответствие (так и было)
4.2. При совмещении деятельностей по двум УЗИ, обеспечивается соответствие более высокому (так и было)
4.3 Добавилось, что если используются объекты КИИ, то нужно соответствовать 187-ФЗ

Аналитика: Артем Алтухов

Автор статьи: Царев Евгений

    Требуется консультация по данному вопросу?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    *

    Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.