ЦБ опубликовал требования к защите информации для финансовых организаций

481

Банк России расширил требования по защите информации для кредитных организаций и разработал требования по защите информации для некредитных финансовых организаций (управляющие компании, страховые компании, негосударственные пенсионные фонды и др.), сообщил Центробанк во вторник.

Первый документ обязывает кредитные организации обеспечивать информационную безопасность таких банковских операций, как привлечение денежных средств физических и юридических лиц во вклады, размещение привлечённых средств от своего имени и за свой счёт, открытие и ведение банковских счетов физических и юридических лиц и ряд других. Ранее кредитные организации должны были обеспечивать информационную безопасность только при переводе денежных средств.

Максимальные требования будут предъявляться к системно значимым кредитным организациям, банкам, выполняющим функции оператора услуг платёжной инфраструктуры системно значимых платёжных систем, а также к значимым на рынке платежных услуг кредитным организациям. Ко всем остальным будут предъявляться стандартные требования.

В положении обозначены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного программного обеспечения, технологии обработки защищаемой информации.

Документ разработан для защиты средств кредитных организаций и их клиентов от действий киберпреступников.

Для некредитных финансовых организациий (НФО) вводятся требования по обеспечению усиленного уровня защиты информации, стандартного уровня защиты или упрощённые требования – в зависимости от специфики работы организации.

Максимальные требования будут предъявляться к центральным контрагентам и центральным депозитариям, стандартные – к специализированным депозитариям, клиринговым организациям, организаторам торговли, страховым компаниям, НПФ, репозитариям и профессиональным участникам рынка ценных бумаг при достижении этими организациями определённых показателей деятельности. К остальным НФО будут предъявляться упрощённые требования.

В положении обозначены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного программного обеспечения, технологии обработки защищаемой информации.

Документ разработан для противодействия несанкционированным финансовым операциям, а также для защиты средств НФО и их клиентов от действий киберпреступников.

НФО должны будут проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, а также оценку соответствия защиты информации: НФО, реализующие усиленный уровень защиты информации, – не реже одного раза в год, стандартный уровень защиты информации – не реже одного раза в три года, сказано в сообщении.