Что изменится при введении изменений в положение 757-П: только новое и обновленное

В соответствии с указанием №7219-У с 01.01.2027 вступят в действие изменения в Положение №757-П. Документ затрагивает некредитные финансовые организации (НФО). Обновления включают в себя более жесткие требования к отчетности, использованию ЭП, регистрации действий клиентов, регламентирует особенности интеграции с ЕСИА, кроме того, расширяется перечень организаций, подпадающих под его действие.
Какие изменения ждут НФО - расскажем о главных нововведениях.

Расширение действия

Одним из ключевых изменений, внесенных в положение 757-П, становится значительное расширение действия документа. Положение впервые распространится на целый ряд финансовых организаций, которые ранее не подпадали под его действие либо подпадали только частично. На кого теперь распространяется Положение:

1. депозитарии - осуществляющие расчеты по итогам сделок, которые были совершены на торгах по соглашению с организаторами торговли и/или клиринговыми организациями, осуществляющими клиринг обязательств по таким сделкам;
2. все страховщики и НПФ;
3. регистраторы (организации, которые ведут реестры владельцев ценных бумаг);
4. операторы инвестиционных платформ;
5. МФО (за исключением государственных МФО и МФО предпринимательского финансирования).

Следует учитывать, что упомянутые выше исключения не освобождаются от исполнения требований 757-П. Для них требования 757-П начнут действовать с 1 января 2028 г.

Если ваша компания впервые попала под действие Положения - предстоит выполнить большой объем работы, чтобы соблюсти требования регулятора. Мы поможем пройти этот путь и избежать распространенных ошибок и досадных упущений.

Регистрация действий клиентов

С вступлением в действие изменений Положения 757-П НФО со стандартным, усиленным и минимальным уровнем защиты информации будут обязаны осуществлять регистрацию действий клиентов. Ранее требования к регистрации были менее детализированными - от организаций требовали фиксации базовых событий.

НФО придется регистрировать полный спектр действий клиента в ИС, в том числе входы в систему (как успешные, так и неудачные попытки) и идентификаторы устройств, которые использовались для входа в систему.

В состав регистрируемых данных войдут дата и время (с точностью до секунды), IP, идентификатор клиента, метод аутентификации, идентификатор сессии (если это возможно).

По общему правилу журналы регистрации придется хранить не менее 5 лет, но для отдельных операций (к примеру, финансовых транзакций) этот срок может увеличиваться, если такое требование предъявляется отраслевыми нормативными актами.

Разобраться, что именно предстоит сделать компании, какие ресурсы потребуются и насколько долгим окажется процесс внедрения недостающих “элементов” ИТ-инфраструктуры - нетривиальная задача даже для опытных НФО. Мы поможем составить пошаговый план приведения вашей компании в соответствие с требованиями регулятора - с учетом специфики работы и особенностей предъявляемых требований.

Использование единой системы идентификации и аутентификации

Для МФО, которые используют ЕСИА, с 01.01.2027 года будет предъявляться новое требование. Теперь организации будут обязаны отключить технологию однократной аутентификации для операций финансового характера - то есть станет невозможно автоматически выполнять операции на основе аутентификации через ЕСИА, пройденной ранее.

Кроме того, при каждой финансовой операции нужно запрашивать идентификацию и аутентификацию клиента заново, для каждой идентификации, аутентификации, авторизации клиента.

Электронные сообщения

С введением в действие Положения 757-П предъявляются специальные требования к УНЭП - теперь необходимо использовать УНЭП, созданную с помощью средств удостоверяющего центра, средств электронной подписи, имеющих подтверждение соответствия требованиям ФСБ.

Также изменения коснутся необходимости подтверждать факт составления сообщения уполномоченным лицом. Теперь это требование распространяется на все НФО, в том числе с минимальным уровнем защиты информации.

Эти меры необходимы для повышения юридической защищенности и информационной безопасности операций, так как предусматривается защита от подделки данных (целостность сообщений), исключает подписание сообщений третьими лицами (подтверждение уполномоченного лица), и признание равнозначности электронных сообщений дает возможность вести документооборот в электронном формате без дублирования в бумажном виде.

Цикл PDCA

Еще одно нововведение Положения 757-П, которое напрямую коснется некредитных финансовых организаций (НФО), реализующих стандартный или усиленный уровень защиты информации - это выстраивание полного цикла управления мерами защиты, то есть внедрить у себя цикл PDCA. Это значит, что НФО потребуется:

• Планировать (P) - заранее определять, когда, как и какие меры защиты должны быть внедрены. Принятые решения необходимо фиксировать в форме годового (или иного) плана, в котором будут указаны меры, сроки, ответственные и необходимые ресурсы;
• Применять (D) - внедрять выбранные меры в соответствии с утвержденным планом и фиксировать его выполнение документально;
• Контролировать (C) - регулярно проверять работоспособность и эффективность внедренных мер защиты;
• Совершенствовать (А) - проводить анализ результатов проверок и иных контрольных мероприятий, а также произошедших инцидентов, искать слабые места, улучшать планы и защитные меры, проводить тестирование эффективности изменений.

Такой подход позволит перейти на проактивное управление безопасностью, а значит повысить устойчивость к угрозам, сделать процессы в сфере ИБ более прозрачными, поможет быстрее адаптироваться к новым рискам.

Элементы цикла PDCA в той или иной форме обычно уже присутствуют в бизнес-процессах многих НФО. Что уже сделано, что предстоит сделать и как достичь оптимального результата с минимальными затратами - поможем разобраться и составить алгоритм действий.

Отчетность

В обновленном положении детализированы требования к отчетности. Так, НФО должны проводить расчеты показателей оценки выполнения требований, в том числе анализировать соответствие уровня защиты информации действующим стандартам.

Также утверждены новые формы отчетности - какую потребуется подавать, зависит от типа НФО. К примеру, форма 0420175 предназначена для страховых организаций, 0420266 - для НПФ, а 0409071 - для клиринговых организаций, профессиональных участников рынка ценных бумаг.

Сроки, в течение которых необходимо направлять уведомления, сократились: о критичных инцидентах (взломах и утечках) НФО, реализующей усиленный и стандартный уровни защиты, нужно сообщать в течение 3 часов, а на информирование об иных значимых киберинцидентах у НФО есть сутки.

Разобраться во всех тонкостях и нюансах обновленного законодательства бывает непросто, а когда речь идет об информационной безопасности незначительных мелочей не существует. Любое упущение может привести к санкциям со стороны регулятора или стать «окном», через которое в ИТ-инфраструктуру проникнут киберпреступники. 
До вступления изменений в силу остаётся меньше года. Чтобы не оказаться в ситуации, когда времени уже не хватает, — лучше начать с аудита текущего состояния. Оставьте заявку, и мы определим ваш уровень защиты и объём работ.