О требованиях к обеспечению защиты информации при осуществлении деятельности микрофинансовыми организациями

Разъяснения органов власти

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО
от 6 августа 2019 г. № 56-1-11/448

Департамент информационной безопасности рассмотрел обращение касательно требований к защите информации при осуществлении деятельности микрофинансовыми организациями и сообщает следующее.
В соответствии со статьей 76.4-1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» Банк России устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 указанного федерального закона, в целях противодействия осуществлению незаконных финансовых операций.

Во исполнение указанного закона принято Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее — Положение N 684-П).

Положение № 684-П распространяется на все некредитные финансовые организации, в том числе микрофинансовые организации.

Вместе с тем Положение № 684-П устанавливает требования к некредитным финансовым организациям, обрабатывающим защищаемую информацию в автоматизированных системах (далее — автоматизированные системы) (пункт 1).

Кроме того, необходимо обратить внимание, что Положение № 684-П устанавливает как общие требования, распространяющиеся на все некредитные финансовые организации, так и специальные, распространяющиеся на указанные в пунктах 5.2, 5.3 Положения № 684-П некредитные финансовые организации при достижении определенных показателей.

Так, в пункте 2 Положения № 684-П установлены общие требования касательно доведения до клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (вредоносных кодов).

В пунктах 5 — 15 Положения № 684-П установлены специальные требования в отношении объектов информационной инфраструктуры, прикладного программного обеспечения, технологии обработки защищаемой информации.

Таким образом, микрофинансовые организации, обрабатывающие защищаемую информацию в автоматизированных системах, обязаны исполнять общие требования Положения № 684-П.

Кроме того, микрофинансовые организации не указаны в Положении № 684-П в качестве организаций, реализующих усиленный или стандартный уровни защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта» (далее — ГОСТ Р 57580.1-2017).

Между тем не указанные в пунктах 5.2, 5.3 Положения № 684-П организации самостоятельно определяют необходимость реализации усиленного, стандартного или минимального уровня защиты информации с учетом технической возможности и экономической целесообразности (риск-аппетита) финансовой организации.

Таким образом, микрофинансовые организации вправе самостоятельно определять реализацию уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017.

Обращаем внимание, что вопросы защиты персональных данных при их обработке в информационных системах персональных данных не относятся к компетенции Банка России. Вместе с тем требования к защите персональных данных, установленные в Постановлении Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», должны выполняться всеми операторами, обрабатывающими персональные данные в информационных системах персональных данных.

И.о. директора
А.М.СЫЧЕВ

Дмитрий
Чем меньше в государстве законности, тем больше в нем юристов... Если у Вас остались вопросы, то их можно задать на нашем форуме!
Советы юриста - АНГАРД.РФ

Оставить комментарий, отзыв, вопрос

avatar
  Подписка  
Подписаться на
Авторизация
*
*
Регистрация
*
*
*
Генерация пароля