Проект разработан в целях гармонизаций требований и уточнения формулировок Положения Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Кроме того, будут установлены дополнительные требования по защите информации для некредитных финансовых организаций, а именно:
- определения обязанности реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации, в случае если в отношении объектов информационной инфраструктуры некредитной финансовой организации действуют требования, установленные на основании статьи 57.4 Федерального закона № 86-ФЗ, части 3 статьи 27 Федерального закона № 161-ФЗ «О национальной платежной системе», и некредитная финансовая организация применяет единый контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017;
- установления сроков предоставления сведений об инцидентах некредитными финансовыми организациями в Банк России (в том числе по запросу Банка России);
- установления требований к расчету значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;
- установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;
- определения права некредитных финансовых организаций по реализации процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений; распространения требований по использованию электронной подписи для некредитных финансовых организаций, реализующих минимальный уровень ГОСТ Р 57580.1;
- установления требований по регистрации информации о действиях клиентов при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»).
Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 25 августа по адресам: nikitinavl@cbr.ru и belyaevea@cbr.ru.
