Проект Указания Банка России "О внесении изменений в Положение Банка России от 20 апреля 2021 года N 757-П" (по состоянию на 12 августа 2024 г.)

На основании статьи 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)":

1. Внести в Положение Банка России от 20 апреля 2021 года N 757-П"Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" ¹ следующие изменения:

1.1. В пункте 1.2:

1.1.1. изложить абзацы четвертый - шестой в следующей редакции:

"Федеральным законом от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон от 29 декабря 2022 года N 572-ФЗ);

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005);";

1.1.2. дополнить абзацем седьмым в следующей редакции:

"приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620 (далее - приказ ФСБ России N 378).";

1.2. В абзаце третьем пункта 1.3 после слов "Безопасность процессов изготовления" дополнить словами ", использования, хранения и уничтожения".

1.3. В пункте 1.4:

1.3.1. Подпункт 1.4.4 дополнить абзацами тринадцатым - шестнадцатым следующего содержания:

"микрофинансовые организации (за исключением микрофинансовых организаций предпринимательского финансирования и микрофинансовых организаций, учредителем (акционером, участником) которых является Российская Федерация, субъект Российской Федерации, муниципальное образование);

микрофинансовые организации;

операторы инвестиционной платформы, не указанные в подпункте 1.4.3 настоящего пункта;

негосударственные пенсионные фонды, не указанные в подпункте 1.4.3 настоящего пункта.".

1.3.2. Дополнить подпунктом 1.4.6 следующего содержания:

"1.4.6. В случае если в отношении объектов информационной инфраструктуры некредитной финансовой организацией, совмещающей деятельность с деятельностью кредитной организации, оператора по переводу денежных средств, банковского платежного агента (субагента), оператора услуг информационного обмена, оператора услуг платежной инфраструктуры, оператора электронных платформ, действуют требования, установленные на основании статьи 57.4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", и некредитная финансовая организация применяет один контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, для реализации разных уровней защиты информации, некредитная финансовая организация обязана реализовать наиболее высокий из требуемых уровней защиты информации.".

1.4. В пункте 1.5:

1.4.1. В абзаце первом после слов "(далее - оценка соответствия уровня защиты информации)" дополнить словами "и оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и прикладного программного обеспечения автоматизированных систем и приложений, установленных настоящим положением,";

1.4.2. Подпункт 1.5.1 изложить в следующей редакции:

"1.5.1. Оценка соответствия уровня защиты информации должна осуществляться некредитными финансовыми организациями с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049), а также имеющих подтверждение соответствия своей деятельности требованиям национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 года N 640-ст "Об утверждении национального стандарта Российской Федерации" (М, ФГУП "Стандартинформ", 2017) в части проведения оценки систем обеспечения информационной безопасности (далее - проверяющая организация).";

1.4.3. Дополнить подпунктом 1.5.4 следующего содержания:

"1.5.4. Центральные контрагенты, центральный депозитарий, регистраторы финансовых транзакций, указанные в подпункте 1.4.2 пункта 1.4 настоящего Положения, а также некредитные финансовые организации, указанные в подпункте 1.4.3 пункта 1.4 настоящего Положения и совмещающие свою деятельность с деятельностью кредитных организаций, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 4.3 и 5.3 порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленной в приложении 1 к Указанию Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)".

Профессиональные участники рынка ценных бумаг, не совмещающие свою деятельность с деятельностью кредитных организаций, организаторы торговли, клиринговые организации, указанные в подпункте 1.4.3 пункта 1.4 настоящего Положения, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3.2 и 4.2 порядка и сроков составления отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями", установленной в приложении 1 к Указанию Банка России от 30.09.2022 N 6282-У "Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации".

Негосударственные пенсионные фонды, указанные в подпункте 1.4.3 пункта 1.4 настоящего Положения, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3 и 4.1 порядка и сроков составления отчетности по форме 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом", установленной в приложении 1 к Указанию Банка России от 27.09.2022 N 6269-У "О формах, сроках и порядке составления и представления в Банк России отчетности, в том числе требованиях к отчетности по обязательному пенсионному страхованию, негосударственных пенсионных фондов".

Операторы инвестиционной платформы, операторы финансовой платформы, операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, не совмещающие свою деятельность с деятельностью кредитных организаций, операторы обмена цифровых финансовых активов, не совмещающие свою деятельность с деятельностью кредитных организаций, указанные в подпункте 1.4.3 пункта 1.4 настоящего Положения, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3 и 4.1 порядка составления отчетности по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов", установленной в приложении 1 к Указанию Банка России от 21.09.2022 N 6243-У "О порядке и сроках составления и представления в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ".

Страховые организации, указанные в подпункте 1.4.3 пункта 1.4 настоящего положения, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3 и 4.1 порядка и сроков составления отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией", установленной в приложении 1 к Указанию Банка России от 14.11.2022 N 6315-У "О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков".".

1.5. В пункте 1.8:

1.5.1. В абзаце первом слова "(далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений)" заменить словами "(далее - проведение оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения)";

1.5.2. В абзацах втором, третьем после слов "определять необходимость сертификации или" дополнить словом "проведения", после слов "автоматизированных систем и приложений" дополнить словами ", а также отдельного программного обеспечения";

1.5.3. В абзацах четвертом, пятом, шестом после слов "прикладного программного обеспечения автоматизированных систем и приложений" дополнить словами ", а также отдельного программного обеспечения,";

1.5.4. Дополнить абзацами седьмым - девятым следующего содержания:

"Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать проведение оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения при каждом внесении изменений в исходный текст программного обеспечения и приложений, реализующий технологию обработки защищаемой информации в соответствии с пунктом 1.10 настоящего Положения.

По решению некредитной финансовой организации, реализующей усиленный или стандартный уровни защиты информации, сертификация или оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения в отношении разрабатываемого ими программного обеспечения и приложений (за исключением прикладного программного обеспечения, взаимодействующего с СКЗИ) не проводится, если некредитная финансовая организация имеет заключение проверяющей организации о том, что реализуемые некредитной финансовой организацией процессы разработки программного обеспечения и приложений включают меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений.

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять деятельность по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, установленных настоящим пунктом.".

1.6. В пункте 1.9:

1.6.1. В абзаце первом слова "и подтвердить их составление уполномоченным на это лицом" исключить.

1.6.2. В абзацах втором и третьем слова "и подтверждения их составления уполномоченным на это лицом" исключить, слова "иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией" заменить словами "имитозащиты с аутентификацией с применением криптографического ключа";

1.6.3. Абзац четвертый изложить в следующей редакции:

"Указанные в абзаце втором настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или имитозащиты информации с аутентификацией с использованием криптографического ключа отправителя сообщения должны реализовываться с применением средств электронной подписи или СКЗИ. Хранение и использование криптографических ключей должно осуществляться на персональном устройстве клиента.".

1.7. В пункте 1.10:

1.7.1. В абзаце первом слова "должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации, указанной" заменить словами "должны обеспечивать планирование (включая регламентацию), реализацию, контроль (мониторинг) и совершенствование мер и мероприятий, направленных на реализацию технологий безопасной обработки защищаемой информации, указанных".

1.7.2. Абзац второй подпункта 1.10.2 изложить в редакции:

"в случае использования единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, - реализацию установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года N 28375, 25 апреля 2017 года N 46487, 8 июля 2020 года N 58877, приказом ФСБ России N 378, технических и организационных мер, а также применение шифровальных (криптографических) средств, указанных в части 1 статьи 19 Федерального закона от 29 декабря 2022 года N 572-ФЗ, в целях нейтрализации угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой;".

1.7.3. Абзац третий подпункта 1.10.2 дополнить словами ", а также отключение возможности использования клиентом технологии единого входа (однократной аутентификации) для совершения действий, связанных с осуществлением финансовых операций. При идентификации, аутентификации, авторизации клиентов с использованием единой системы идентификации и аутентификации для осуществления финансовых операций, некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровень защиты информации, должны каждый раз запрашивать новое подтверждение идентификации и аутентификации клиента.".

1.7.4. Подпункт 1.10.3 изложить в следующей редакции:

"1.10.3. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать выполнение следующих мероприятий:

структурный и логический контроль входящих электронных сообщений, в том числе проверку правильности заполнения полей электронного сообщения (входной контроль);

проверку правильности формирования (подготовки) исходящих электронных сообщений (двойной контроль);

контроль дублирования входящих электронных сообщений;

защиту информации при ее передаче по каналам связи.".

1.7.5. В абзацем втором подпункта 1.10.4 слова "пункте 1.9" заменить словами "пункте 1.16".

1.7.6. Подпункт 1.10.4 дополнить абзацем третьим следующего содержания:

"Указанные в абзаце третьем настоящего пункта требования по получению от клиента подтверждения совершаемой финансовой операции не применяются в случае, если передача электронных сообщений осуществляется с использованием Системы передачи финансовых сообщений Банка России.".

1.8. В пункте 1.11:

1.8.1. Абзац пятый изложить в следующей редакции:

"сведения, идентифицирующие технологический участок;".

1.8.2. Дополнить пунктом 1.11 ¹ следующего содержания:

"1.11 ¹ Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровень защиты информации, при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" должны регистрировать следующую информацию о действиях клиентов, выполняемых на технологическом участке идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления финансовых операций:

дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии транспортного уровня в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", принятого постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 и введенного в действие 1 января 2000 года, при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций;

информация, используемая для идентификации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций (сетевой адрес и транспортный адрес (порт) компьютера и (или) коммуникационного устройства (маршрутизатора), предусмотренные разделом 11 государственного стандарта Российской Федерации ГОСТ Р ИСО 7498-3-97 "Информационная технология. Взаимосвязь открытых систем базовая эталонная модель. Часть 3. Присвоение имен и адресация", принятого постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 19 августа 1997 года N 286 и введенного в действие 1 июля 1998 года (далее - ГОСТ Р ИСО 7498-3-97);

информация, используемая для идентификации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью осуществления финансовых операций (сетевой адрес и транспортный адрес (порт) автоматизированной системы, используемой некредитной финансовой организацией, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97).".

1.9. Пункт 1.12 дополнить пунктом 1.12 ¹ следующего содержания:

"1.12 ¹ Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет" должны обеспечивать:

хранение информации о регистрации данных, указанных в пункте 1.11 ¹ настоящего Положения;

целостность и доступность информации, указанной в абзаце втором настоящего пункта, в течение не менее чем трех лет с даты ее формирования некредитной финансовой организацией (даты поступления в некредитную финансовую организацию), а в случае, если законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, установлен иной срок, - в течение этого срока.".

1.10. Подпункт 1.14.2 пункта 1.14 изложить в следующей редакции:

"1.14.2. По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны осуществлять регистрацию:

сведений о защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;

сведений, позволяющих выявить причину возникновения инцидента защиты информации;

результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.".

1.11. Пункт 1.15 дополнить абзацем шестым следующего содержания:

"Предоставление информации, указанной в абзаце втором настоящего пункта, некредитными финансовыми организациями, реализующими усиленный, стандартный и минимальный уровни защиты информации, Банку России осуществляется в сроки, установленные приложением к настоящему Положению.".

1.12. Главу 1 дополнить пунктом 1.16 следующего содержания:

"1.16. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны подтвердить составление электронных сообщений уполномоченным на это лицом.

В целях подтверждения составления электронных сообщений уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны:

обеспечить использование электронной подписи в соответствии с Федеральным законом "Об электронной подписи";

осуществлять признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, в соответствии со статьей 6 Федерального закона "Об электронной подписи".

Указанные в абзаце третьем настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи должны реализовываться с применением средств электронной подписи или СКЗИ. Хранение и использование криптографических ключей должно осуществляться на персональном устройстве клиента.".

1.13. В главе 2:

в абзаце четвертом пункта 2.1 слово "потребителей" заменить на слово "получателей";

в абзаце шестом пункта 2.1 слово "потребителя" заменить на слово "получателя";

в абзаце третьем подпункта 2.2.1 пункта 2.2 слово "потребителей" заменить на слово "получателей";

в подпункте 2.2.2 пункта 2.2 слово "потребителей" заменить на слово "получателей";

в пункте 2.3 слово "потребителем" заменить на слово "получателем", слова "пункта 1.9" заменить словами "пункта 1.16";

дополнить пунктом 2.4 следующего содержания:

"2.4. Оператор финансовой платформы, регистратор финансовых транзакций должны осуществлять деятельность по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, установленных подпунктами 2.2.1, 2.2.2 пункта 2.2, пунктом 2.3 настоящего Положения.".

1.14. Главу 3 дополнить пунктом 3.4 следующего содержания:

"3.4. Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов должны осуществлять деятельность по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, установленных пунктами 3.2 и 3.3 настоящего Положения.".

1.15. Дополнить приложением в редакции приложения к настоящему Указанию.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ____ года N ПСД-___) вступает в силу с 1 октября 2025 года, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.

Абзац третий подпункта 1.3.1 пункта 1.3 настоящего Указания вступает в силу с 1 октября 2026 года.

Абзац второй подпункта 1.3.1 пункта 1.3 настоящего Указания действует по 30 сентября 2026 года.

------------------------------

¹ Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

------------------------------

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Приложение
к Указанию Банка России
от __.__.2024 N ______
"О внесении изменений
в Положение Банка России
от 20 апреля 2021 года N 757-П"

"Приложение
к Положению Банка России
от 20 апреля 2021 года N 757-П
"Об установлении обязательных
для некредитных финансовых
организаций требований к
обеспечению защиты информации
при осуществлении деятельности в
сфере финансовых рынков в целях
противодействия осуществлению
незаконных финансовых операций"

Сроки предоставления некредитными финансовыми организациями Банку России сведений о выявленных инцидентах защиты информации, о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации

Вид сведений	Срок предоставления
1	2
Сведения о выявлении инцидента защиты информации	В течение 3 часов с момента выявления инцидента защиты информации некредитной финансовой организацией, реализующей усиленный или стандартный уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017. В течение 24 часов с момента выявления инцидента защиты информации некредитной финансовой организацией
Сведения о выявлении незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения
Сведения о результатах расследования инцидента защиты информации или незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения	В течение 30 дней с момента направления в Банк России данных о выявлении инцидента защиты информации или незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения
Сведения о компьютерных инцидентах (в соответствии с пунктом 5 статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации")	В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта критической информационной инфраструктуры. В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях
Сроки предоставления некредитными финансовыми организациями сведений по запросу Банка России
Сведения по запросу в целях подтверждения факта незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения	В течение 24 часов с момента получения запроса Банка России в случае выявления на основании сведений из запроса Банка России факта незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения. В течение 24 часов с момента получения запроса Банка России, в случае если на основании сведений из запроса Банка России не был выявлен факт незаконного раскрытия информации ограниченного доступа и (или) защищаемой информации, указанной в пункте 1.1 настоящего Положения.
Сведения по запросу в целях получения сведений о принадлежности выявленного ресурса в сети Интернет	В течение 24 часов с момента получения запроса Банка России

Пояснительная записка к проекту указания Банка России
"О внесении изменений в Положение Банка России от 20 апреля 2021 года N 757-П"

Банк России разработал проект указания Банка России "О внесении изменений в Положение Банка России от 20 апреля 2021 года N 757-П" (далее - проект).

Полномочия Банка России по разработке проекта и принятию акта установлены статьей 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".

Проект разработан в целях гармонизаций требований и уточнения формулировок Положения Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П), а также установления дополнительных требований по защите информации для некредитных финансовых организаций, а именно:

- распространения требований по реализации минимального уровня защиты информации, установленного национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017. "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее - ГОСТ Р 57580.1) на микрофинансовые организации, операторов инвестиционной платформы, не указанных в подпункте 1.4.3 Положение Банка России N 757-П, негосударственные пенсионные фонды, не указанные в подпункте 1.4.3 Положения Банка России N 757-П;

- определения обязанности реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации, в случае если в отношении объектов информационной инфраструктуры некредитной финансовой организации действуют требования, установленные на основании статьи 57.4 Федерального закона N 86-ФЗ, части 3 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе", и некредитная финансовая организация применяет единый контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017;

- установления сроков предоставления сведений об инциндентах некредитными финансовыми организациями в Банк России (в том числе по запросу Банка России);

- установления требований к расчету значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;

- приведения термина "получатель финансовых услуг" в соответствие с изменениями в Федеральный закон от 20.07.2020 N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы" (в ред. Федерального закона от 11.03.2024 N 45-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации";

- установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;

- определения права некредитных финансовых организаций по реализации процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;

- распространения требований по использованию электронной подписи для некредитных финансовых организаций, реализующих минимальный уровень ГОСТ Р 57580.1;

- установления требований по регистрации информации о действиях клиентов при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет").

Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 25 августа 2024 года по адресам: nikitinavl@cbr.ru и belyaevea@cbr.ru.