"Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности" (утв. Банком России 21.03.2024 N 7-МР)
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПО УПРАВЛЕНИЮ РИСКОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
И ОБЕСПЕЧЕНИЮ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ
Настоящие Методические рекомендации разработаны в целях обеспечения единства подхода к реализации кредитными организациями, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном статьей 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (далее - кредитные организации), требований Положения Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П) в части управления риском информационной безопасности и требований Положения Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение Банка России N 787-П), а также к реализации некредитными финансовыми организациями требований Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (далее - Положение Банка России N 779-П).
1. В целях реализации требований к управлению риском информационной безопасности, установленных главой 7 Положения Банка России N 716-П, кредитным организациям рекомендуется обеспечить реализацию следующих уровней защиты, определенных пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1548-ст <1> (далее соответственно - уровни защиты в части управления риском информационной безопасности, ГОСТ Р 57580.3-2022).
--------------------------------
<1> М.: ФГБУ "Институт стандартизации", 2023.
Кредитным организациям, указанным в пунктах 9.1 и 9.2 Положения Банка России N 716-П, рекомендуется обеспечить реализацию усиленного уровня защиты в части управления риском информационной безопасности.
Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется обеспечить реализацию стандартного уровня защиты в части управления риском информационной безопасности.
2. В целях реализации требований, установленных Положением Банка России N 787-П, кредитным организациям рекомендуется обеспечить реализацию следующих уровней защиты, определенных пунктом 6.8 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1549-ст <2> (далее соответственно - уровни защиты в части обеспечения операционной надежности, ГОСТ Р 57580.4-2022).
--------------------------------
<2> М.: ФГБУ "Институт стандартизации", 2023.
Кредитным организациям, указанным в пункте 9.1 Положения Банка России N 716-П, рекомендуется обеспечить реализацию усиленного уровня защиты в части обеспечения операционной надежности.
Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется обеспечить реализацию стандартного уровня защиты в части обеспечения операционной надежности.
3. В целях реализации требований, установленных Положением Банка России N 779-П, некредитным финансовым организациям рекомендуется обеспечить реализацию следующих уровней защиты в части обеспечения операционной надежности.
Некредитным финансовым организациям, указанным в подпункте 1.4.2 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П), рекомендуется реализовывать усиленный уровень защиты в части обеспечения операционной надежности.
Некредитным финансовым организациям, указанным в подпункте 1.4.3 пункта 1.4 Положения Банка России N 757-П, рекомендуется реализовывать стандартный уровень защиты в части обеспечения операционной надежности.
Некредитным финансовым организациям, указанным в подпункте 1.4.4 пункта 1.4 Положения Банка России N 757-П, рекомендуется реализовывать минимальный уровень защиты в части обеспечения операционной надежности.
4. Кредитным организациям рекомендуется разработать планы внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, предусматривающие выбор и применение организационных и технических мер, направленных на реализацию рекомендуемых уровней защиты в части управления риском информационной безопасности и обеспечения операционной надежности.
Кредитным организациям, указанным в пункте 9.1 Положения Банка России N 716-П, рекомендуется осуществить внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 до 31 декабря 2025 года.
Кредитным организациям, не относящимся к кредитным организациям, указанным в абзаце втором настоящего пункта, рекомендуется осуществить внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 до 31 декабря 2026 года.
5. Некредитным финансовым организациям рекомендуется разработать план внедрения ГОСТ Р 57580.4-2022, предусматривающий выбор и применение организационных и технических мер, направленных на реализацию рекомендуемых уровней защиты в части обеспечения операционной надежности.
Некредитным финансовым организациям, указанным в подпунктах 1.4.2 и 1.4.3 пункта 1.4 Положения Банка России N 757-П, рекомендуется осуществить внедрение ГОСТ Р 57580.4-2022 до 31 декабря 2026 года.
Некредитным финансовым организациям, указанным в подпункте 1.4.4 пункта 1.4 Положения Банка России N 757-П, рекомендуется осуществить внедрение ГОСТ Р 57580.4-2022 до 31 декабря 2027 года.
6. Исполнение настоящих Методических рекомендаций не предполагает применения кредитными организациями приложений А, Б, В, Г к ГОСТ Р 57580.3-2022.
7. Настоящие Методические рекомендации подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Банка России
Г.А.ЗУБАРЕВ
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей