Обеспечение безопасности и устойчивости вычислительной инфраструктуры является инфраструктурной задачей, решение которой предполагается реализовать путем применения комплекса государственных стандартов, разрабатываемых в рамках подкомитета N 1 Технического комитета N 122 "Стандарты финансовых (банковских) операций" <6>.
--------------------------------
<6> Приказ Росстандарта от 21.08.2017 N 1759 "Об организации деятельности технического комитета по стандартизации "Стандарты финансовых операций".
Определение уровня защищенности вычислительной инфраструктуры (экосистемы) организаций кредитно-финансовой сферы планируется осуществлять комплексно в отношении каждой категории поднадзорных Банку России субъектов с учетом вида и масштаба (пропорциональное регулирование) их деятельности <7>. Кроме того, предполагается осуществить нормативное закрепление обязанности представления финансовыми организациями в Банк России показателей, характеризующих объем несанкционированных клиентом операций по отношению к общему объему операций. При этом при расчете данного показателя не должны будут учитываться операции, совершенные без согласия клиента в случаях, предусмотренных федеральными законами или нормативными актами Банка России, а также договором.
--------------------------------
<7> Положением Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", а также Положением Банка России от 17.04.2019 N 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" установлены обязательные для кредитных организаций и некредитных финансовых организаций требования к защите информации в соответствии с Национальным стандартом Российской Федерации ГОСТ Р 57 580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст), которые вступают в силу с 1 января 2021 года.
Формирование требований к определению уровня защищенности Банк России осуществляет в рамках разработки методологии информационной безопасности.
Методологической основой защиты информации на инфраструктурном уровне является применение комплекса государственных стандартов:
- домен УР - "Управление риском реализации информационных угроз";
- домен ЗИ - "Защита информации финансовых организаций";
- домен УИиСО - "Управление инцидентами защиты информации и обеспечение ситуационной осведомленности";
- домен ОН - "Обеспечение операционной надежности";
- домен УА - "Управление риском реализации информационных угроз при аутсорсинге и использовании сторонних информационных услуг (сервисов)".
Цель формирования методологии - совершенствование комплекса отраслевых документов, устанавливающих требования к обеспечению информационной безопасности и управлению киберриском для построения фундаментальной основы деятельности Банка России и организаций кредитно-финансовой сферы по противодействию актуальным информационным угрозам, кибератакам и компьютерной преступности.
Основные принципы информационной безопасности и защиты информации по комплексу стандартов:
- обязательность применения документов по стандартизации, разрабатываемых Банком России;
- реализация риск-ориентированного подхода к обеспечению выполнения государственных стандартов;
- использование сервисов ФинЦЕРТ Банка России для координации деятельности организаций кредитно-финансовой сферы и повышения их готовности к противостоянию киберугрозам.
Основным документом комплекса отраслевых документов по обеспечению информационной безопасности на инфраструктурном уровне будет являться ГОСТ Р "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз. Общие положения", который определит:
- основу корпоративного управления по вопросам обеспечения информационной безопасности и киберустойчивости;
- состав и содержание процессов и ключевых направлений деятельности по обеспечению информационной безопасности для всех доменов;
- общую (единую) терминологию, используемую во всех отраслевых документах по обеспечению информационной безопасности;
- классификатор уровней обеспечения информационной безопасности (уровней защищенности) - классификатор состава и содержания требований по обеспечению информационной безопасности и мер по их реализации.
Планируется выделить три уровня защищенности - минимальный, стандартный и усиленный. Для конкретного типа финансовой организации уровень защищенности определяется с учетом:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов;
- значимости финансовой организации для финансового рынка и национальной платежной системы.
Целевым индикатором завершения этапов стандартизации является формирование в 2021 г. законченного комплекса государственных стандартов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875