Положения 757-П и 779-П

Вступление в силу Положений 757-П и 779-П порождает ряд трудностей для НФО:

• ужесточение регуляторных требований к организации системы управления рисками, а именно рисками несанкционированного доступа к защищаемой информации и рисками, связанными с нарушением операционной надежности;
• увеличение расходов на операционную деятельность в связи с необходимостью разработки и внедрения мер, направленных на реализацию требований Банка России к обеспечению защиты информации и операционной надежности;
• отсутствие на рынке готовых специалистов, имеющих соответствующую квалификацию и способных разработать необходимые внутренние нормативные документы (ВНД), а также осуществлять функции должностного лица по обеспечению контроля за выполнением требований к обеспечению защиты информации и операционной надежности.

Итак, о чем пойдет речь:

1. Основные требования к обеспечению защиты информации НФО (Положение 757-П).

2. Основные требования к операционной надежности НФО (Положение 779-П).

3. Как соответствовать требованиям Положений 757-П и 779-П.

1. Основные требования к обеспечению защиты информации НФО (Положение 757-П).

В соответствии с требованиями Положения Банка России от 20 апреля 2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" НФО должны:

• осуществлять защиту информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых НФО;

• осуществлять защиту информации в отношении эксплуатируемых объектов информационной инфраструктуры в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст "Об утверждении национального стандарта Российской Федерации";
• ежегодно определять уровень защиты информации (усиленный, стандартный и минимальный) в зависимости от вида и объемных показателей осуществляемой деятельности в сфере финансовых рынков.

НФО, реализующие усиленный и стандартный уровни защиты информации, должны:

• обеспечить уровень соответствия не ниже третьего уровня соответствия, предусмотренного подпунктом "г" пункта 6.9 ГОСТ Р 57580.2-2018 (с 1 января 2022 г. по 30 июня 2023 г.), с 1 июля 2023 г. – не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 ГОСТ Р 57580.2-2018;
• обеспечить использование для осуществления финансовых операций прикладного ПО автоматизированных систем и приложений, распространяемых НФО своим клиентам для совершения действий в целях осуществления финансовых операций, прошедших сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4;
• обеспечить регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации;
• обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, ПО;
• обеспечивать хранение защищаемой информации, информации о регистрации результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, и информации об инцидентах, связанных с обеспечением защиты информации при осуществлении деятельности в сфере финансовых рынков (инцидентов защиты информации);
• обеспечивать целостность и доступность вышеуказанной информации, в течение не менее чем 5 лет с даты ее формирования НФО (даты поступления в НФО), а в случае, если законодательством Российской Федерации, регулирующим деятельность НФО, установлен иной срок, - в течение этого срока.

НФО, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны:

• обеспечивать доведение до своих клиентов:
•  рекомендаций по защите информации от воздействия вредоносных программных кодов;
• информации о возможных рисках несанкционированного доступа к защищаемой информации;
• информации о мерах по предотвращению несанкционированного доступа к защищаемой информации.

• в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации, а также представлять сведения о выявленных инцидентах защиты информации должностному лицу ответственному за управление рисками; 

информировать Банк России:

•  о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, размещаемый Банком России на своем официальном сайте в сети "Интернет";
•  о принятых мерах и проведенных мероприятиях по реагированию на выявленный НФО или Банком России инцидент защиты информации;
•  о принадлежащих НФО и (или) администрируемых в ее интересах сайтах в сети "Интернет", которые используются НФО для осуществления деятельности в сфере финансовых рынков;
• о планируемых мероприятиях в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Всё вышеизложенное – это лишь малая часть тех требований, которые устанавливаются Банком России для некредитных финансовых организаций в рамках требований к обеспечению защиты информации. Так, один только ГОСТ Р 57580.1-2017 содержит порядка трехсот требований к операционной надежности, неисполнение которых может повлечь за собой санкции со стороны Банка России от предписаний и штрафов в сотни тысяч рублей до отзыва лицензии.

2. Основные требования к обеспечению операционной надежности НФО (Положение 779-П).

В соответствии с требованиями Положения Банка России от 15 ноября 2021 г. № 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" НФО должны:

• обеспечить непревышение порогового уровня допустимого времени простоя и (или) деградации технологических процессов, обеспечивающих осуществление деятельности в сфере финансовых рынков;
• определить во внутренних документах для каждого осуществляемого ими технологического процесса значения целевых показателей операционной надежности:
• доли деградации технологического процесса т.е. допустимого отношения общего количества финансовых операций, совершённых в период деградации технологического процесса, к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания услуг;
• допустимого времени простоя и (или) деградации технологического процесса в рамках события операционного риска не выше порогового уровня;
• допустимого суммарного времени простоя и (или) деградации технологического процесса в течение последних двенадцати календарных месяцев к первому числу каждого календарного месяца;
• показателей соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса)
• обеспечить фиксацию (в случае превышения допустимой доли деградации технологических процессов):
• фактического времени простоя и (или) деградации технологического процесса;
• фактической доли деградации технологического процесса; 
• суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев;
• обеспечить в отношении событий операционного риска, связанных с нарушением операционной надежности:
• выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
• реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
• восстановление выполнения технологических процессов, указанных в приложении к Положению 779-П, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
• проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
• организацию взаимодействия между подразделениями (работниками) НФО, после реализации событий операционного риска, связанных с нарушением операционной надежности;
• разработать и утвердить внутренние документы, устанавливающие порядок регистрации событий операционного риска, связанных с нарушением операционной надежности;
• установить во внутренних документах описание следующих мер, направленных на реализацию требований к операционной надежности:
• определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
• определение организационной структуры НФО, задействованной в выполнении требований к операционной надежности, включая установление функций подразделений НФО (с учетом конфликта интересов) и обеспечение контроля за выполнением требований к операционной надежности в рамках внутреннего контроля (в случае его наличия);
• выделение ресурсного обеспечения для выполнения требований к операционной надежности;
• порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности;
• обеспечить ведение реестра технологических процессов и технологических участков технологических процессов, реализуемых непосредственно НФО, а также реализуемых поставщиками услуг, в соответствии со своими внутренними документами;
• выполнять требования Положения 779-П в рамках сформированной НФО системы управления рисками (в случае если законодательством Российской Федерации, регулирующим деятельность НФО, установлена обязательность наличия у них системы управления рисками)

Помимо вышеизложенного, в рамках исполнения требований Положения 779-П, НФО обязаны:

• обеспечить контроль за соблюдением значений целевых показателей операционной надежности;

• проводить анализ необходимости пересмотра значений целевых показателей операционной надежности (не реже одного раза в год);
• обеспечить организацию учета и контроля элементов критичной архитектуры (при их наличии);
• выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
• обеспечивать выполнение установленных требований в отношении управления изменениями критичной архитектуры;
• обеспечивать при взаимодействии с поставщиками услуг управление риском реализации информационных угроз при привлечении поставщиков услуг, а также риском технологической зависимости функционирования своих объектов информационной инфраструктуры от поставщиков услуг;
• принимать организационные и технические меры, направленные на проведение сценарного анализа и тестирования своей готовности противостоять реализации информационных угроз в отношении критичной архитектуры;
• принимать организационные и технические меры в отношении субъектов доступа, направленные на управление риском реализации информационных угроз;
• обеспечивать выполнение установленных требований в отношении обеспечения своей осведомленности об актуальных информационных угрозах;
• управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа – работников НФО, обладающих знаниями, опытом и компетенцией, которые отсутствуют у всех иных работников;
• обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в периоды выполнения работниками трудовой функции дистанционно;
• обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов;
• моделировать информационные угрозы в отношении критичной архитектуры;
• планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками (при наличии);
• обеспечивать реализацию требований к операционной надежности на стадиях создания, эксплуатации, модернизации, снятия с эксплуатации своих объектов информационной инфраструктуры;
• обеспечивать контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.

Наконец, в рамках исполнения требований Положения 779-П, НФО обязаны информировать Банк России (аналогично требованиям Положения 757-П):

• о выявленных событиях операционного риска, связанных с нарушением операционной надежности, включенных в перечень типов событий операционного риска, связанных с нарушением операционной надежности, размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (в случае превышения допустимой доли деградации технологических процессов);
• о принятых мерах и проведенных мероприятиях по реагированию на события операционного риска, связанные с нарушением операционной надежности, выявленные НФО или Банком России;
  
• о планируемых публичных мероприятиях в отношении событий операционного риска, связанных с нарушением операционной надежности (не позднее одного рабочего дня до проведения мероприятия).

3. Как соответствовать требованиям Положений 757-П и 779-П.

Если Вы дочитали до этого места, значит тема обеспечения защиты информации и операционной надежности НФО для Вас актуальна, и вы осознаете все трудности и затраты (временные, трудовые и интеллектуальные), связанные с выполнением вышеуказанных требований Банка России.

Но у нас есть для Вас и хорошая новость – у нас есть готовое решение, включающее методологию и программный продукт, которое поможет Вашей компании избежать ошибок и их последствий при исполнении требований Банка России, и в кратчайшие сроки привести деятельность Вашей организации в соответствие требованиям Положений 757-П и 779-П.

Наша компания много лет занимается разработкой и внедрением программных модулей на базе 1С. Для нас автоматизация технологических процессов является одним из важнейших направлений в IT разработках и тому есть объяснения.

Автоматизация технологических процессов, в том числе и в сфере управления рисками, значительно облегчает эти процессы, а также исключает ошибки, причиной которых является человеческий фактор

Разработанный нами программно-методический комплекс «ТАБ: Автоматизированная система управления рисками» (ПМК «ТАБ:АСУР») представляет собой интегрированную систему управления рисками некредитной финансовой организации, включая управление рисками, связанными с нарушением операционной надежности.

ПМК «ТАБ:АСУР» включает в себя комплект типовых внутренних документов и форм (шаблонов) отчетности, разработанных в полном с соответствии с Положениями 757-П и 779-П, а также программный продукт, позволяющий автоматизировать все процессы управления рисками, включая онлайн мониторинг целевых показателей операционной надежности в целях обеспечения непревышения значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов, обеспечивающих осуществление деятельности в сфере финансовых рынков.

ПМК «ТАБ:АСУР» решает сразу несколько проблем, с которым столкнулись НФО при приведении своей деятельности в соответствие с требованиями Положений 757-П и 779-П, а именно:

1. Регуляторные требования. Выполнение всех требований Банка России к обеспечению защиты информации и операционной надежности НФО в рамках сформированной системы управления рисками.

2. Готовая методология. Комплект внутренних документов НФО по управлению рисками (включая риски, связанные с защитой информации и нарушением операционной надежности).

3. Оперативный контроль. Онлайн мониторинг уровня рисков (включая риски, связанные с защитой информации и нарушением операционной надежности) в целях контроля целевых показателей операционной надежности и обеспечения непревышения значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов.

4. Автоматизация. Автоматизация всех процессов управления рисками, в том числе рисков, связанных с защитой информации и нарушением операционной надежности: от регистрации событий в информационной базе рисков до формирования отчетных документов.

Мы не хотим Вам что-то навязывать или в чем-то Вас убеждать. Вы можете сами оценить свои возможности по выполнению Вашей организацией всех требований Банка России к обеспечению защиты информации и операционной надежности. Проведите внутренний анализ своей деятельности, и Вы сами осознаете, какие ресурсы (временные, трудовые, интеллектуальные) потребуется задействовать Вашей организации для того, чтобы разработать новые внутренние документы, соответствующие всем требованиям Положений 757-П и 779-П, имплементировать эти регуляторные новации в сформированную Вашей организацией систему управления рисками, а потом на практике их выполнять.

Если Вы уже попробовали это сделать, оцените свои результаты, насколько всё получилось, сколько времени заняло, насколько вы уверены в полученных результатах.

Вы сделали всё вышесказанное. Отлично! Со своей стороны, хотим предложить Вам попробовать демо-версию нашего программного комплекса. Попробуйте и сравните, что получилось у Вас, и какие возможности имеются у нашего программного комплекса.

Вы можете специалистами, которые предоставят Вам демо-доступ к ПМК «ТАБ:АСУР», проконсультируют Вас по всем интересующим вопросам и предоставят Вам запись вебинара, на котором наши эксперты разбирают все тонкости Положений 757-П и 779-П.

Также наши специалисты могут провести независимую оценку соответствия Вашей организации всем требованиям Банка России к обеспечению защиты информации и операционной надежности, включая соответствие ГОСТам, с оформлением по итогам проведенной оценки заключения о соответствии и рекомендаций по устранению выявленных недостатков.

Если эта статья была вам интересна, то подпишитесь на наш телеграм-канал и наши социальные сети, там мы публикуем много полезной информации, а также приглашения на бесплатные вебинары по темам, которые могут быть Вам интересны.

Благодарим Вас за прочтение, надеемся информация была для вас полезной.

С уважением к Вам и Вашему бизнесу!