Ответы Банка России на вопросы по 684-П, поступившие от отрасли.
Ответ: В соответствии со статьей 6 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» кредитная организация имеет право осуществлять профессиональную деятельность на рынке ценных бумаг в соответствии с федеральными законами.
Согласно статьи 39 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» кредитные организации осуществляют профессиональную деятельность на рынке ценных бумаг в порядке, установленном указанным федеральным законом и иными федеральными законами, а также принятыми в соответствии с ними нормативными правовыми актами Российской Федерации для профессиональных участников рынка ценных бумаг.
На основании пункта 1 части 7 статьи 44 Федерального закона от 29.11.2001 № 156-ФЗ «Об инвестиционных фондах» деятельность специализированного депозитария может совмещаться с деятельностью кредитной организации.
В связи с изложенным, кредитные организации, осуществляющие банковскую деятельность, вправе совмещать свою деятельность с профессиональной деятельностью на рынке ценных бумаг, а также с деятельностью специализированного депозитария.
Таким образом, кредитная организация, осуществляющая деятельность профессионального участника рынка ценных бумаг, а также деятельность специализированного депозитария, должна применять:
Обращаем внимание, что при использовании одних и тех же объектов информационной инфраструктуры для осуществления указанных видов деятельности полагаем необходимым применять требования Положения № 683-П.
Ответ: Ломбарды, микрофинансовые организации не указаны в Положении № 684-П в качестве организаций, реализующих усиленный или стандартный уровни защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.1-2017).
Вместе с тем не указанные в пунктах 5.2, 5.3 Положения № 684-П организации самостоятельно определяют необходимость реализации усиленного, стандартного или минимального уровня защиты информации с учетом технической возможности и экономической целесообразности (риск-аппетита) финансовой организации.
Таким образом, ломбарды, микрофинансовые организации вправе самостоятельно определять реализацию уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017; обязанность реализации уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017 в отношении ломбардов, микрофинансовых организаций Положением № 684-П не установлена.
Осталась последняя порция разъяснений, которые касаются разных аспектов ИБ в финансовых организациях (СПФС, СТО, ФЗ-161 и т.п.).
1. При выполнении банковских операций в кредитной организации должно применяться 683-П. Какое положение должно применяться в кредитных организациях, в отношении депозитарной деятельности и деятельности профессионального участника рынка ценных бумаг? 684-П? Или оно действует только на некредитные или небанковские кредитные организации?
Ответ: В соответствии со статьей 6 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» кредитная организация имеет право осуществлять профессиональную деятельность на рынке ценных бумаг в соответствии с федеральными законами.
Согласно статьи 39 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» кредитные организации осуществляют профессиональную деятельность на рынке ценных бумаг в порядке, установленном указанным федеральным законом и иными федеральными законами, а также принятыми в соответствии с ними нормативными правовыми актами Российской Федерации для профессиональных участников рынка ценных бумаг.
На основании пункта 1 части 7 статьи 44 Федерального закона от 29.11.2001 № 156-ФЗ «Об инвестиционных фондах» деятельность специализированного депозитария может совмещаться с деятельностью кредитной организации.
В связи с изложенным, кредитные организации, осуществляющие банковскую деятельность, вправе совмещать свою деятельность с профессиональной деятельностью на рынке ценных бумаг, а также с деятельностью специализированного депозитария.
Таким образом, кредитная организация, осуществляющая деятельность профессионального участника рынка ценных бумаг, а также деятельность специализированного депозитария, должна применять:
- при осуществлении банковской деятельности - Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П);
- при осуществлении профессиональной деятельности на рынке ценных бумаг и деятельности специализированного депозитария - Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П).
Обращаем внимание, что при использовании одних и тех же объектов информационной инфраструктуры для осуществления указанных видов деятельности полагаем необходимым применять требования Положения № 683-П.
2. Распространяется ли 684-П на ломбарды и микрофинансовые организации? Если да, то какой уровень защиты по ГОСТ 57580.1 должен быть для них выбран? Минимальный?
Ответ: Ломбарды, микрофинансовые организации не указаны в Положении № 684-П в качестве организаций, реализующих усиленный или стандартный уровни защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.1-2017).
Вместе с тем не указанные в пунктах 5.2, 5.3 Положения № 684-П организации самостоятельно определяют необходимость реализации усиленного, стандартного или минимального уровня защиты информации с учетом технической возможности и экономической целесообразности (риск-аппетита) финансовой организации.
Таким образом, ломбарды, микрофинансовые организации вправе самостоятельно определять реализацию уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017; обязанность реализации уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017 в отношении ломбардов, микрофинансовых организаций Положением № 684-П не установлена.
Осталась последняя порция разъяснений, которые касаются разных аспектов ИБ в финансовых организациях (СПФС, СТО, ФЗ-161 и т.п.).
0 коммент.:
Отправить комментарий