Рейтинг@Mail.ru

"Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

21 марта 2024 г. N 7-МР

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

ПО УПРАВЛЕНИЮ РИСКОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

И ОБЕСПЕЧЕНИЮ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ

Настоящие Методические рекомендации разработаны в целях обеспечения единства подхода к реализации кредитными организациями, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном статьей 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (далее - кредитные организации), требований Положения Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П) в части управления риском информационной безопасности и требований Положения Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение Банка России N 787-П), а также к реализации некредитными финансовыми организациями требований Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (далее - Положение Банка России N 779-П).

1. В целях реализации требований к управлению риском информационной безопасности, установленных главой 7 Положения Банка России N 716-П, кредитным организациям рекомендуется обеспечить реализацию следующих уровней защиты, определенных пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1548-ст <1> (далее соответственно - уровни защиты в части управления риском информационной безопасности, ГОСТ Р 57580.3-2022).

--------------------------------

<1> М., ФГБУ "Институт стандартизации", 2023.

Кредитным организациям, указанным в пунктах 9.1 и 9.2 Положения Банка России N 716-П, рекомендуется обеспечить реализацию усиленного уровня защиты в части управления риском информационной безопасности.

Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется обеспечить реализацию стандартного уровня защиты в части управления риском информационной безопасности.

2. В целях реализации требований, установленных Положением Банка России N 787-П, кредитным организациям рекомендуется обеспечить реализацию следующих уровней защиты, определенных пунктом 6.8 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1549-ст <2> (далее соответственно - уровни защиты в части обеспечения операционной надежности, ГОСТ Р 57580.4-2022).

--------------------------------

<2> М., ФГБУ "Институт стандартизации", 2023.

Кредитным организациям, указанным в пункте 9.1 Положения Банка России N 716-П, рекомендуется обеспечить реализацию усиленного уровня защиты в части обеспечения операционной надежности.

Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется обеспечить реализацию стандартного уровня защиты в части обеспечения операционной надежности.

3. В целях реализации требований, установленных Положением Банка России N 779-П, некредитным финансовым организациям рекомендуется обеспечить реализацию следующих уровней защиты в части обеспечения операционной надежности.

Некредитным финансовым организациям, указанным в подпункте 1.4.2 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П), рекомендуется реализовывать усиленный уровень защиты в части обеспечения операционной надежности.

Некредитным финансовым организациям, указанным в подпункте 1.4.3 пункта 1.4 Положения Банка России N 757-П, рекомендуется реализовывать стандартный уровень защиты в части обеспечения операционной надежности.

Некредитным финансовым организациям, указанным в подпункте 1.4.4 пункта 1.4 Положения Банка России N 757-П, рекомендуется реализовывать минимальный уровень защиты в части обеспечения операционной надежности.

4. Кредитным организациям рекомендуется разработать планы внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, предусматривающие выбор и применение организационных и технических мер, направленных на реализацию рекомендуемых уровней защиты в части управления риском информационной безопасности и обеспечения операционной надежности.

Кредитным организациям, указанным в пункте 9.1 Положения Банка России N 716-П, рекомендуется осуществить внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 до 31 декабря 2025 года.

Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется осуществить внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 до 31 декабря 2026 года.

5. Некредитным финансовым организациям рекомендуется разработать план внедрения ГОСТ Р 57580.4-2022, предусматривающий выбор и применение организационных и технических мер, направленных на реализацию рекомендуемых уровней защиты в части обеспечения операционной надежности.

Некредитным финансовым организациям, указанным в подпунктах 1.4.2 и 1.4.3 пункта 1.4 Положения Банка России N 757-П, рекомендуется осуществить внедрение ГОСТ Р 57580.4-2022 до 31 декабря 2026 года.

Некредитным финансовым организациям, указанным в подпункте 1.4.4 пункта 1.4 Положения Банка России N 757-П, рекомендуется осуществить внедрение ГОСТ Р 57580.4-2022 до 31 декабря 2027 года.

6. Исполнение настоящих Методических рекомендаций не предполагает применения кредитными организациями приложений А, Б, В, Г к ГОСТ Р 57580.3-2022.

7. Настоящие Методические рекомендации подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя

Банка России

Г.А.ЗУБАРЕВ

Другие документы по теме
Ошибка на сайте