Главная » Услуги » Аудит для некредитных финансовых организаций

Аудит для некредитных финансовых организаций

Аудит информационной безопасности и ее защиты и в некредитных финансовых организациях

Защита данных теперь актуальна не только для банков, но и для некредитных финансовых организаций (НФО): новое положение Центробанка РФ №757-П (пришло на смену 684-П с 1 июля 2021 г.) обязывает компании проходить аудит информационной безопасности у лицензиатов ФСТЭК и соблюдать требования ИБ. Получить оценку соответствия 757-П нужно до 1 июля 2022 г., а привести системы защиты информации к определенным уровням — к середине 2023-го. Какие организации обязаны соблюдать требования, как не попасть под санкции регулятора? Ответы — в нашем материале.

Этапы вступления изменений в силу:

2019 г. — принятие Положения №684-П;

2020 г. — проведение анализа уязвимостей программного обеспечения для автоматизации операций по переводу денежных средств;

2021 г. — обязательная оценка соответствия по ГОСТ Р 57580.2-2018;

2022 г. — начало первого этапа модернизации системы защиты информации для обеспечения третьего уровня соответствия (результат оценки должен быть не ниже 0,7);

2023 г. — начало второго этапа модернизации системы для обеспечения уровня защиты информации не ниже четвертого уровня (оценка соответствия должна быть не ниже 0,85).

 

Порядок проведения аудита:

  1. Оценка уровня защиты по ГОСТам.
  2. Проверка НФО на соответствие требованиям.
  3. Внешнее и внутреннее (Пентест) тестирование на проникновение для соответствующих категорий, определенных заказчиком.
  4. При необходимости улучшение защитных средств по требованиям Банка России.
  5. Подготовка отчета в соответствии с требованиями ЦБ РФ.

Положение №757-П условно разделило требования к защите на три уровня

Под стандартный уровень защиты подпадают:

  • профессиональные участники рынка ценных бумаг;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации (при стоимости активов за 6 календарных месяцев подряд превышающей 20 млрд руб.);
  • управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
  • репозитории;
  • депозитарии, осуществляющие в течение 3 последних кварталов учет ценных бумаг стоимость которых превышала 500 000 млн руб. и др.

Под усиленный уровень защиты подпадают:

  • центральные контрагенты
  • центральный депозитарий.

 Под «третий уровень» ( НФО, не вошедшие в стандартный и усиленный уровень защиты) подпадают:

  • бюро кредитных историй;
  • микрофинансовые организации;
  • рейтинговые агентства;
  • ломбарды;
  • кредитные потребительские кооперативы;
  • актуарии;
  • жилищные накопительные кооперативы;
  • сельскохозяйственные кредитные потребительские кооперативы;
  • страховые организации, стоимость активов которых в течение последних 6 календарных месяцев НЕ превышала 20 миллиардов рублей;
  • НПФ, брокеры, дилеры и т. д., которые не указаны в списке организаций, реализующих стандартный уровень защиты информации.

Требования к частоте проведения:

НФО, которые входят в категорию усиленного уровня, — минимум один раз в год;

НФО, которые входят в категорию стандартного уровня, — минимум один раз в три года.

Информация, которая подлежит защите по 757-П:

  • криптографические ключи;
  • электронные сообщения, предоставляемые при осуществлении финансовых операций;
  • информация об операциях;
  • данные для авторизации.

Решение

Компания ITCOM Security более 10 лет специализируется на работах в области информационной безопасности, обладает лицензиями ФСБ и ФСТЭК России и готова провести аудит в соответствии с требованиями 757-П. В зависимости от специфики и состава информационных систем компании проект будет выполнен в срок от 3 месяцев, а стоимость полного комплекса работ составит от 300 тысяч руб.

Оставьте заявку, и наши менеджеры свяжутся с вами для консультации.

Наши преимущества

10 лет работаем
в области
информационной безопасности

Имеем лицензии ФСТЭК России и ФСБ России

Полное соответствие
законодательству

Партнеры ведущих вендоров
и производителей оборудования

Индивидуальный подход, выполнение
заказа под ключ

В штате только сертифицированные
эксперты с профильной специализацией

Консалтинг ИБ

Анализ уязвимости информационных систем

Заказать обратный звонок

Отправляя заявку, вы соглашаетесь с правилами обработки персональных данных