Микрофинансовые организации: соответствование новым требованиям ФСТЭК и Банка России. Полный гайд от Б-152

С 1 октября 2024 года ожидаются изменения в части определения уровня уровня защиты информации для МФО и МКК. При несоответствии требованиям рассматриваются санкции вплоть до исключения из реестра. В любом случае внимание Банка России к информационной безопасности МФО и МКК усиливается. Это связано не только с высокой частотой атак и утечек ПДн, но и с жалобами клиентов МФО и МКК.

Как привести информационные системы МФО/МКК в соответствие требованиям Банка России, ФСТЭК и ФСБ и при этом оптимально распределить расходы на выстраивание процессов по защите информации? Читайте в нашей статье

Деятельность МФО/МКК (дальше будем использовать общий термин МФИ — микрофинансовые институты) в сфере информационной безопасности и сохранности персональных данных регламентируется рядом законов и подзаконных актов.

Обозначим их ландшафт:

Основной ФЗ для МФИ – Федеральный закон от 2 июля 2010 г. N 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» (далее – ФЗ-151).

Кроме того, не менее важным нормативно-правовым актом для МФИ является Федеральный закон № 86-ФЗ от 10.07.2002 «О Центральном банке Российской Федерации (Банке России)» (далее – ФЗ-86). В рамках данного закона МКК и МФО отнесены к некредитным финансовым организациям (НКО) (ст. 76.1). Следовательно на них возлагается обязанность исполнения ст. 76, в том числе частей статьи, в которых прописана обязанность МФИ:

– обеспечить защиту информационных систем (ст. 76.4-1),

– обеспечить операционную надежность (ст. 76.4-2),

– провести импортозамещение всех средств вычислительной техники и используемого системного и прикладного ПО (ст. 76.4-3),

– обеспечить выполнение требований по защите критической информационной инфраструктуры согласно ФЗ-187 (ст. 76.4-4).

Важно отметить, что на уровне федеральных законов закреплено проведение Банком России плановых и внеплановых проверки, в том числе дистанционно (контрольное мероприятие, осуществляемое дистанционно с использованием информационно-коммуникационных технологий).

Одним из поводов проверки МФИ Банком России являются жалобы клиентов.

В ходе проверки представители Банка России могут выявить нарушения в выполнении ст. 76.4 ФЗ-86, и подзаконных актов, таких как:

– Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

– Положение Банка России от 15 ноября 2021 г. № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76 1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)»

Но если обратиться к Положению Банка России от 20 апреля 2021 г. № 757-П, то в явном виде прописана обязанность НКО защищать персональные данные, а это уже требования Приказа ФСТЭК № 21, а при применении средств криптографической защиты информации – требования ФСБ по эксплуатации СКЗИ, в том числе и в целях защиты ПДн.

Также необходимо отметить, что Роскомнадзор, несмотря на введенный мораторий на плановые проверки, проводит мероприятия по контролю без взаимодействия c контролируемыми лицами и внеплановые проверки в случае жалоб субъектов ПДн и утечек ПДн. В рамках проводимых мероприятий по контролю без взаимодействия c контролируемыми лицами РКН проводит проверку сайта на предмет выполнения требований ФЗ-152.

С 2024 года начались значительные изменения в законодательстве, регулирующем деятельность МФИ. В феврале 2024 года вступили в силу изменения в Федеральном законе № 151, касающиеся обработки обращений граждан (ст. 9.1.).

Но самые значительные изменения связаны с системой защиты информации.

Предположительно с 1 октября 2024 года МФИ уже могут подпадать под минимальный уровень защиты информации. У нас пока нет конкретной даты, но то, что изменения вступят в силу - сомнений нет. Проект этих изменений уже прошел рассмотрение, и осталось только дождаться их вступления в силу.

Несмотря на то, что по ГОСТ 57580.1 всего 114 требований, минимальный уровень защиты обязует выполнять большинство требований Положения Банка России от 15 ноября 2021 года № 779-П «Об установлении обязательных требований к операционной надежности некредитных финансовых организаций при осуществлении видов деятельности, предусмотренных Федеральным законом от 10 июля 2002 года № 86-ФЗ »О Центральном банке Российской Федерации (Банке России)", для обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)".

Это также означает необходимость разработки плана выполнения ГОСТ Р 57580.4−2022, включающего в себя выбор и применение организационных и технических мер, направленных на обеспечение рекомендуемых уровней защиты операционной надежности. Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности 7-МР от 21.03.2024 определяют срок реализации требований ГОСТ 57580.4−2022 до 31 декабря 2027 года.

Таким образом, система защиты, разрабатываемая в МФИ, должна будет соответствовать всем требованиям регуляторов, таких как Банк России, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).

Если проигнорировать вопрос реализации мер защиты информации, в том числе персональных данных, то можно получить предписание Банка России или вовсе лишиться регистрации в государственном реестре.

Количество мер защиты кратно возрастает, если на текущий момент около 50 мер защиты необходимо сделать, то при необходимости соответствовать минимальному уровню – этот показатель в разы выше.

Кроме того дополнительно необходимо будет в обязательном порядке реализовывать:

– Тест на проникновение – 1 раз в год,

– Оценка уровня доверия ПО (ОУД 4)– для МФИ, предоставляющих онлайн-займы,

– Необходимость реализации ГОСТ 57580.4 по оценке рисков с учетом плана, согласно МР-7,

– Выполнение требований к операционной надежности (Положение Банка России № 779-П),

– Необходимость реагирования на инциденты и взаимодействия с ФинЦЕРТ.

Довольно большой работ необходимо выполнить и всегда возникает вопрос:

Из нашего большого опыта можем сказать, что не так страшны визиты регулятора, как успешно реализованные атаки на ключевые ИС компании, когда вследствие вирусного заражения или эксплуатации уязвимостей в ПО работа персонала парализована, а оказание услуг клиентам невозможно. Поэтому, решая вопрос реализации требований регулятора, рекомендуем подходить с позиции оценки рисков, недопустимых событий, определяя свой аппетит риска. Об основных наиболее часто встречаемых рисках расскажем далее.

Все риски, связанные с нарушением ИБ (в том числе и по причине невыполнения требований по защите информации) можно разделить на 4 группы с приоритезацией по величине финансовых потерь:

– Репутационные

– Юридические

– Технические (операционные)

– Стратегические

Репутационные:

• Негативные отзывы клиентов
• Недоверия клиентов из-за утечек и долгого оказания услуги
• Негативные новости

Юридические

• Проверки регуляторов и предписания
• Штрафы
• Компенсации

Технические (операционные)

• Ограниченный доступ к информации
• Информация искажена
• Простои ИС и сотрудников
• Провалы со стороны подрядчиков

Стратегические

• Приостановление деятельности
• Исключение из реестра

Если вы представитель МФИ, вы, скорее всего, уже в курсе будущих изменений. Но у вас может отсутствовать четкое понимание, как действовать в новых обстоятельствах.

Мы подготовили список того, что необходимо сделать в первую очередь:

1. Определить состав актуальных угроз безопасности информации
2. Сформировать состав мер защиты, направленных на нейтрализацию угроз безопасности и выполнение требований регуляторов
   
3. Подготовить план реализации мер защиты с учетом величины рисков от реализации актуальных угроз и стоимости реализации мер защиты
   
4. Сформировать план по импортозамещению согласно ст. 76.1 ФЗ-86
   
5. Учесть дополнительные требования в случае подключения к ЕБС или ЕСИА (СМЭВ)
   
6. Согласовать бюджеты
   
7. Определить ресурсы на администрирование
   
8. Провести категорирование (необходимость исполнения ФЗ-187

Также мы разработали подготовили для вас дорожную карту по подготовке системы защиты под новые требования Банка России:

1. Провести инвентаризацию ИТ-активов, сформировать перечень ИС.
2. Провести аудит выполнения мер защиты в зависимости от назначения ИС и обрабатываемых данных.
   
3. Сформировать план устранения несоответствий с приоритизацией в зависимости от рисков, связанных с ними.
   
4. Провести моделирование угроз по методике ФСТЭК от 2021 г, не забыв требования ЦБ к модели угроз.
   
5. Определить меры защиты, направлены на нейтрализацию угроз и выполнения к уровню защиты информации, в том числе уровню защищенности ПДн.
   
6. Определить меры защиты, направленные на обеспечение операционной надежности (Положение Банка России № 779-П).
   
7. Определить способы реализации мер защиты на техническом и организационном уровне (в ГОСТ 57580.1, ГОСТ 57580.4 указаны явно на каком уровне требуется реализация).
   
8. Внедрить средства защиты и комплекс организационных мер (проведя обучение персонала и проверку их знаний).
   
9. Провести оценку эффективности мер защиты персональных данных, а также значимых объектов КИИ, в случае наличия значимых объектов КИИ.
   
10. Провести тест на проникновение (можно включить в состав испытаний, проводимых на этапе оценки эффективности мер защиты).
    
11. Провести ОУД 4 (только для МФИ, предоставляющих онлайн-займы) Сформировать план реализации ГОСТ 57580.4 с учетом сроков в МР-7.
    
12. Сформировать план реализации ГОСТ 57580.4 с учетом сроков в МР-7.
    
13. Выстроить процессы реагирования на инциденты ИБ и порядок взаимодействия с ФинЦЕРТ.
    

Получить полную версию дорожной карты на почту.

Процесс приведения информационных систем МФИ в соответствие требованиям Банка России, ФСТЭК и ФСБ занимает до полугода при постоянной вовлеченности большого числа участников: не только специалистов ИТ и ИБ подразделений, но и руководителей компании.

Есть несколько важных обстоятельств:

1. Процесс займет не менее 3 месяцев работы, даже если этим будет заниматься непосредственно лицензиат ФСТЭК. А значит, озаботиться этим вопросом необходимо было еще «вчера».

2. Одной из стартовых точек является подготовка дорожной карты, которая сможет подтвердить начало работы, если к вам возникнут вопросы от Банка России и ФСТЭК. Лучше, если она будет подготовлена совместно с лицензиатом ФСТЭК, так как это ускорит процесс подготовки и поможет избежать ошибок при ее составлении.

Компания Б-152 является лицензиатом ФСТЭК и наши эксперты не понаслышке знают о проверках Банка России МФИ. Мы помогаем заказчикам с юридической и технической стороной вопросов, при этом исходим из принципа применения необходимых и достаточных мер, которые принесут максимум пользы для стабильного развития вашего бизнеса.

Эксперты Б-152 помогут вам устранить риски и привести вашу Систему Защиты Информации в соответствие изменениям законодательства.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

Посмотреть подробную информацию о компании Б-152 можно на сайте

Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.