Пресс-центр
О компании
Кейсы
Услуги
Вопрос-ответ
Контакты
Оставить заявку
Москва, 1-я Фрезерная улица, 2/1, корп. 2, офис 711
Время работы 9:00-19:00
info@soltecs.ru
МЫ ИСПОЛЬЗУЕМ COOKIE. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
OK
  • Soltecs Media
    /
  • Статьи
    /
  • Обеспечение соответствия требованиям регуляторов: как снизить риски финансовым организациям

Обеспечение соответствия требованиям регуляторов: как снизить риски финансовым организациям

#ЦБ
24. 09. 2024
В 2024 году финансовые организации будут сталкиваться с существенными изменениями в законодательстве, касающимися защиты информации и персональных данных. Новые требования регуляторов предусматривают строгие меры для обеспечения соответствия, и их несоблюдение может привести к значительным штрафам, потере клиентов и даже исключению из государственного реестра. Пренебрежение этими изменениями представляет серьезную угрозу для бизнеса.
В статье мы обсудим, как финансовым организациям соответствовать требованиям Банка России, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). Мы рассмотрим новые законы, связанные риски, сроки и конкретные шаги, которые необходимо предпринять для подготовки к проверкам в 2024 году. Наша цель — помочь организациям пройти через этот сложный период с минимальными потерями и адаптироваться к новым регуляторным требованиям.
Содержание:
  • Какие законы регулируют деятельность финансовых организаций в сфере информационной безопасности?
  • Особое внимание: КИИ. Какие организации являются субъектом КИИ?
  • Что происходит? Какие изменения в 2024 году?
  • Какие штрафы за нарушения требований ожидаются?
  • Ответственность по тематике КИИ
  • Что делать?
Какие законы регулируют деятельность финансовых организаций в сфере информационной безопасности?
Центральный банк России издал ряд нормативных документов, регулирующих требования к информационной безопасности в финансовом секторе. Многие организации сталкиваются с трудностями в понимании этих требований.
Документ N 683-П от 17 апреля 2019 г. устанавливает обязательные требования для банков по защите информации, включая ежегодные тестирования на проникновение и оценку уязвимостей, а также использование сертифицированного ПО. Уровень защиты варьируется в зависимости от значимости организации.
Документ N 684-П от 17 апреля 2019 г. регулирует требования для некредитных финансовых организаций, определяя частоту и методики оценки уровня защиты информации.
Документ N 382-П от 9 июня 2012 г. определяет требования для защиты информации при переводах денежных средств, включая методику оценки выполнения этих требований.
ГОСТ Р 57 580.1−2017 регламентирует базовые меры защиты информации, устанавливая три уровня защиты и определяя требования для каждого из них. Финансовые организации обязаны использовать соответствующие технологии и средства для защиты биометрической информации.
Также финансовые организации при обработке биометрической информации в ЕБС обязаны использовать информационные технологии и технические средства, которые соответствуют первому уровню защиты информации (усиленный) в соответствии с ГОСТ 57 580 для контура ЕБС, согласно Приказу Минкомсвязи № 321.
Основополагающим документом для микрофинансовых организаций является Федеральный закон № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях». Также значимым является Федеральный закон № 86-ФЗ, который классифицирует МФО и МКК как некредитные финансовые организации (НКО). В соответствии с этим законом, они обязаны выполнять требования статьи 76, включая:
  • Соблюдение норм по защите критической информационной инфраструктуры (КИИ);
  • Проведение импортозамещения технических средств обработки данных и программного обеспечения;
  • Защиту своих систем хранения и обработки информации от несанкционированного доступа и утечек.
Кроме того, МФО и МКК должны придерживаться подзаконных актов, изданных Банком России, таких как: положение № 757-П, устанавливающее обязательные для НФО требования к защите информации (также ссылается на требования по защите персональных данных согласно Федеральному закону № 152 и приказу ФСТЭК № 21), и положение № 779-П, устанавливающее обязательные для НФО требования к операционной надежности.
Особое внимание: КИИ. Какие организации являются субъектом КИИ?
Субъектами КИИ называют компании, которые работают в стратегически важных государственных сферах: медицина, транспорт, электроснабжение, транспорт, банковский сектор и прочее. Также субъектами выступают организации, которые обеспечивают взаимодействие систем.
«Законом определен порядок действий по обеспечению безопасности и устойчивого функционирования в случае хакерских атак. Один из главных принципов защиты ИТ-инфраструктуры состоит в предупреждении компьютерных атак, направленных на нарушение устойчивой работы КИИ. Стоит сказать, что положения в отношении подобных объектов были и ранее. Разница лишь в том, что до 2018 года они назывались как КСИИ, но после принятия и вступления в силу 187-ФЗ название поменялось.»
— Анатолий Волков
Часто владельцы компаний считают, что к объектам критической инфраструктуры относятся преимущественно оборонные предприятия. Но это не так, законом определяется обширный список учреждений.
Приведем перечень объектов КИИ, подлежащих категорированию в сферах:
  • здравоохранение,
  • наука,
  • транспорт,
  • связь,
  • энергетика,
  • банковский (финансовый) сектор,
  • топливно-энергетический комплекс,
  • атомная энергетика,
  • оборонная промышленность,
  • ракетно-космическая промышленность
  • горнодобывающая промышленность,
  • металлургическая промышленность
  • химическая промышленность
  • сфера государственной регистрации недвижимости
Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.
Что происходит? Какие изменения в 2024 году?
В 2024 году микрофинансовые компании (МФО) и микрокредитные организации (МКК) ожидают значительные изменения в законодательстве. В феврале вступили в силу поправки к Федеральному закону № 151-ФЗ, касающиеся обработки обращений граждан, вводя новую статью 9.1. Это первые значительные изменения для отрасли в текущем году.
Одним из ключевых аспектов новаций является введение минимального уровня защиты информации. С 1 октября 2024 года МФО и МКК обязаны обеспечить соответствие новым стандартам по защите данных. Эти требования включены в проект изменений, который ожидает вступления в силу в ближайшее время. В частности, ГОСТ 57 580.1 устанавливает минимальные нормы защиты, но их реализация потребует выполнения ряда сложных нормативов, включая Положение Банка России № 779-П о операционной надежности НФО.
Кроме того, с 1 октября 2024 года вступают в силу значительные изменения в Положении Банка России № 757-П. Согласно новым требованиям, все МФО и МКК должны будут ежегодно тестировать свои информационные системы на проникновение и проводить анализ уязвимостей, соблюдая стандарт ГОСТ Р 57 580.1−2017.
Также для полного соответствия необходимо разработать план реализации ГОСТ Р 57 580.4−2022 по обеспечению операционной надежности. Этот план должен быть внедрен до 31 декабря 2027 года в соответствии с методическими рекомендациями Банка России № 7-МР от 21.03.2024 года.
«Таким образом, система защиты, разрабатываемая в МФО и МКК, должна соответствовать требованиям регуляторов, таких как Банк России, ФСТЭК и ФСБ. В общей сложности, это около 500 требований.»
— Анатолий Волков
Какие штрафы за нарушения требований ожидаются?
Нарушение новых требований по защите информации грозит серьезными последствиями. Контроль будет усилен несколькими регуляторами.
Банк России обладает полномочиями проводить плановые и внеплановые проверки, включая дистанционные инспекции с использованием информационных технологий. Поводом для внеплановой проверки могут стать жалобы клиентов.
Роскомнадзор также продолжает контрольные мероприятия, несмотря на мораторий на плановые проверки, и проводит внеплановые проверки при утечках данных или жалобах граждан. Сайты проверяются на соответствие требованиям ФЗ-152 о персональных данных.
Нарушение новых требований грозит следующими штрафами и санкциями:
  • Штрафы от Банка России: По итогам проверок, Банк России может выставить предписания об устранении нарушений. Неисполнение этих предписаний грозит крупными штрафами.
  • Иски от клиентов: Клиенты, пострадавшие от утечек данных или некачественного оказания услуг из-за сбоев в информационных системах, могут требовать компенсации через суд. Это влечет за собой дополнительные финансовые издержки для организаций.
  • Исключение из государственного реестра: В случае серьезных нарушений, Банк России может исключить микрофинансовую организацию из государственного реестра, что фактически означает прекращение её деятельности.
Ответственность по тематике КИИ
Федеральным законом от 26.05.2021 N 141-ФЗ внесены изменения в КоАП РФ, касающиеся правонарушений в деятельности субъектов КИИ.
С 6 июня 2021 года штраф может быть назначен за:
  • Непредставление в ФСТЭК сведений о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно.
Штраф для юрлиц — от 50 000 до 100 000 руб.
  • Несоблюдение порядка уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ.
Штраф для юрлиц — от 100 000 до 500 000 руб.
  • Нарушение правил обмена информацией о компьютерных инцидентах (в частности, между субъектами КИИ).
 Штраф для юрлиц – от 100 000 до 500 000 руб.
С 1 сентября 2021 года штраф может быть назначен за:
  • Нарушение требований к созданию и обеспечению работы систем безопасности значимых объектов КИИ.
Штраф для юрлиц — от 50 000 до 100 000 руб.
  • Нарушение требований к обеспечению безопасности этих объектов.
Штраф для юрлиц – от 50 000 до 100 000 руб.
Что делать?
Пошаговый план подготовки системы защиты под требования:
1. Инвентаризация ИТ-активов
  • Проведите полный учет всех ИТ-активов и сформируйте перечень информационных систем (ИС).
2. Аудит мер защиты
  • Проведите аудит текущих мер защиты в зависимости от назначения каждой ИС и обрабатываемых данных.
3. Актуализация актов категорирования
  • Проверьте актуальность существующих актов категорирования или проведите категорирование в соответствии с Постановлением Правительства № 127.
4. План устранения несоответствий
  • Составьте план устранения выявленных несоответствий, приоритизируя их в зависимости от связанных рисков и учитывая требования ФЗ-187, ФЗ-152 и ФЗ-86.
5. Моделирование угроз
  • Проведите моделирование угроз по методике ФСТЭК 2021 года, с учетом требований Центробанка к модели угроз.
6. Определение мер защиты
  • Определите меры защиты, направленные на нейтрализацию угроз и обеспечение необходимого уровня защиты персональных данных (ПДн).
7. Способы реализации мер защиты
  • Разработайте способы реализации мер защиты как на техническом, так и на организационном уровне.
8. Внедрение средств защиты и организационных мер
  • Внедрите средства защиты и комплекс организационных мер, включая обучение персонала и проверку их знаний.
9. Оценка эффективности мер защиты
  • Проведите оценку эффективности мер защиты персональных данных и значимых объектов критической информационной инфраструктуры (КИИ), если такие объекты имеются.
Как правильно соблюсти закон о КИИ?
Допустим, вы определили, что ваша компания/организация входит в этот список, соответственно, на нее распространяется действие закона. Так организации нужно предпринять ряд действий, чтобы не были наложены штрафные санкции.
В первую очередь необходимо:
1. Определить категорию значимости КИИ.
2. Организовать мероприятия по обеспечению безопасности значимого объекта
3. Уведомление регулятора об определении (признании) системы как КИИ. Постановка на учёт
4. Выполнить подключение объекта к ГосСОПКА, либо организовать другой канал оповещения регулятора о компьютерных инцидентах. Допускается передача информации по почте или телефону.
В случае, если у субъекта будут определены значимые объекты КИИ, требуется выполнить ряд мероприятий по проектированию, внедрению и сопровождению систем безопасности информации, но ЗОКИИ в этой статье не рассматриваются.
Что мы предлагаем?
Эксперты Soltecs помогут вам устранить риски и привести вашу систему защиты информации в соответствие изменениям законодательства.
Наши услуги:
  • Проектирование системы защиты информации
  • Разработка или модернизация локальных нормативных актов по информационной безопасности
  • Поставка и внедрение средств защиты, оценка соответствия имеющихся средств защиты
  • Проведение оценки соответствия
  • Анализ уязвимостей в прикладном ПО по требованиям ОУД
  • Разработка технического задания на создание системы защиты информации
Не уверены существует ли риск для вашей компании? ОСТАВЬТЕ ЗАЯВКУ НА БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ
ОСТАВИТЬ ЗАЯВКУ
ДРУГИЕ СТАТЬИ ПО ТЕМЕ
Листайте, чтобы увидеть больше
статьи из блога по теме
ДРУГИЕ СТАТЬИ ПО ТЕМЕ
статьи из блога по теме
Телеграм-канал
Волков об ИТ
Облако или собственный сервер: что выбрать малому и среднему бизнесу в 2024 году?
Новости
Полезная информация, инструменты, кейсы и мысли основателя
подписаться →
Сравниваем стоимость внедрения и сопровождения инфраструктуры
читать →
Новости
Главные риски облачных решений: что нужно знать
Облачные решения помогают компаниям создавать общедоступное пространство для работы. Разбираемся,
с какими рисками это связано.
читать →
Новости
Бизнес переходит
с облаков к собственным серверам. Риски 2024 года для бизнеса и гибридный подход
В 2023 году 34% компаний, использующих облачные решения, сообщили о 6-10 случаях утечки данных в течение года
читать →
Оставить заявку на консультацию
по защите информационных систем
Нажимая на кнопку «Оставить заявку»,вы даете согласие на обработку персональных данных. Подробнее в Политике.