Банк России опубликовал для общественного обсуждения проект указания, вносящего изменения в положение ЦБ от 20 апреля 2021 года № 757-П ‎«Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Изменения касаются ужесточения требований к микрофинансовым организациям (МФО, осуществляют предоставление микрозаймов). Это относится к хранению информации об инцидентах, повышению безопасности приложений и инфраструктуры и применению криптографии для онлайн-займов.

Так, МФО (в том числе осуществляющие деятельность по оказанию услуг онлайн-микрозаймов), которые предоставляют отчетность в Банк России об оказании своих услуг, должны будут осуществлять защиту информации в отношении объектов информационной инфраструктуры (эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования) в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». От МФО требуется выполнять требования ГОСТа, соответствующие минимальному уровню защиты информации.

МФО, предоставляющие онлайн-микрозаймы, должны будут осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры и в случае выявления уязвимостей – устранять их.

Также на МФО, предоставляющие онлайн-микрозаймы, возлагается обязанность обеспечить своих клиентов ПО, необходимым для осуществления финансовых операций, и криптографическим ПО, защищающим информацию при передаче сообщений в приложениях и через Интернет. Такое ПО должно обладать сертификацией ФСТЭК или иметь оценку соответствия по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4 (в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013).

Дополнительно МФО, предоставляющие онлайн-микрозаймы, должны будут обеспечивать целостность электронных сообщений.

Обсуждение документа продлится до 11 сентября.

См. также: Микрофинансовые организации обязаны иметь официальный сайт в Рунете – вступил в силу закон >>>