Подготовили короткое сравнение Положений 757-П и 684-П.
Зеленое — для Минимальных, Стандартных и Усиленных
Синее — Для Стандартных и Усиленных
Желтое — для Минимального
Белое (без особенных пометок) — для ВСЕХ
| Номер пункта | Что добавилось или изменилось |
|---|---|
| 1.4.1 | Определять УЗИ нужно не позднее десятого рабочего дня в году |
| Кому соответствовать Усиленному УЗИ | |
| 1.4.2 | Добавились «регистраторы финансовых транзакций» (с 01.01.2022) |
| Кому соответствовать Стандартному УЗИ | |
| 1.4.3 | Для специализированных депозитариев ИФ, ПИФ и НПФ размер активов увеличен до 1 триллиона рублей |
| Добавились репозитарии, не являющиеся регистраторами финансовых транзакций | |
| Для брокеров, дилеров, управляющих, депозитариев и регистраторов добавилось условие | |
|
Брокеры, дилеры, управляющие, депозитарии и регистраторы, определенные в абзаце 10, пп.2.1.11 Положения 481-П: на лицензиатов, которые вне зависимости от фактических значений показателей деятельности на постоянной основе соблюдают лицензионные требования и условия, установленные подпунктами 2.1.1 - 2.1.9, 2.1.12 настоящего пункта, пунктами 2.2 - 2.7 настоящего Положения в отношении лицензиатов, определивших годовой диапазон, соответствующий графе 5 приложения к настоящему Положению. (пп. 2.1.11 введен Указанием Банка России от 17.12.2018 N 5013-У)
|
|
|
Добавились (с 01.01.2022):
|
|
| Минимальный УЗИ (с 01.07.2022) | |
| 1.4.4 |
|
| 1.4.5 |
При проведении пентестов: В случае выявления уязвимостей ИБ, НФО (стандартный и усиленный) должны устранять такие уязвимости в соответствии с установленными в ОРД правилами (порядок, сроки), которые регламентируют процедуры нейтрализации угроз |
| 1.8 |
Теперь нужно проводить оценку соответствия по требованиям к ОУД.4. Для усиленного: в случае сертификации ПО должны обеспечить сертификацию не ниже 4 уровня доверия (приказ ФСТЭК № 76 от 2.06.2020) Для стандартного – не ниже 5 уровня доверия |
| 1.9 |
Добавились требования о применении мер защиты по использованию УКЭП, УЭП или иных СКЗИ, реализующих функцию имитозащиты. Такие меры не применяются в случае, если используются выделенные сегменты вычислительных сетей И такие меры определены как НЕактуальные в модели угроз |
| 1.10.2 |
Технология обработки информации на стороне клиентов должна обеспечивать: При использовании ЕИС ПДн (в том числе биометрии) соответствовать требованиям Приказа ФСТЭК № 21; При использовании ЕСИА – соответствовать требованиям Приказа Минкомсвязи № 210 |
| 1.10.5 | Добавилось требование о реализации механизма подтверждения принадлежности клиенту адреса @ почты, на которую направляются уведомления о фин.операциях |
| 1.13 |
Был п.2 684-П, в котором было требование по отношению ко всем НФО. Сейчас требование действует только для НФО, соответствующих минимальному, стандартному и усиленному |
|
|
Добавилось условие: перечень типов инцидентов согласуется с ФОИВ и размещается на сайте БР. НФО должны информировать БР о принятых мерах и мероприятиях по реагированию на инцидент. НФО должны информировать БР об используемых сайтах, необходимых для деятельности в сфере фин. Рынков. Информирование должно осуществляться через АС или техническую инфраструктуру БР (если такое невозможно, то НФО предоставляют в БО сведения через резервный способ взаимодействия) |
|
Глава 2 (для операторов финансовой платформы, регистратора финансовых транзакций) с 01.01.2022 |
|
| 2.1 | Расширен список защищаемой информации (дополнение к основному в п.1.1) |
| 2.2 | Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10 |
| 2.3 | Указанные НФО должны обеспечивать подписание электронных сообщений, в том числе договоров, соглашений об ЭДО и иных документов, способом, обеспечивающим целостность документов и подтвердить их составление в соответствии с требованиями п.1.9 – должны применять УКЭП, УЭП |
|
Глава 3 (ОИС, выпускающие ЦФА, оператор обмена ЦФА) с 01.01.2022 |
|
| 3.1 | Расширился список защищаемой информации в дополнении к п.1.1 |
| 3.2 | Расширены требования к технологии обработки защищаемой информации, в дополнение к п.1.10 |
| 3.3 | Требования, как дополнение к 3.2, к защите на основе распределенного реестра: анализ трафика между узлами, блокирование потенциально опасных записей в ИС, применение СКЗИ, применение МЭ и прочее (абзац 4 вступает в силу с 01.01.2024) |
| Глава 4 | |
| 4.1 | Если НФО выбрала более высокий УЗИ, то в течении 9 месяцев обеспечивает его соответствие (так и было) |
| 4.2. | При совмещении деятельностей по двум УЗИ, обеспечивается соответствие более высокому (так и было) |
| 4.3 | Добавилось, что если используются объекты КИИ, то нужно соответствовать 187-ФЗ |
Аналитика: Артем Алтухов
Автор статьи: Царев Евгений