Соблюдение требований ЦБ при создании НФО

Справка по Постановлению 757-П:

1. С 01 июля 2021 года Положение 757-П вступило в силу, за исключением некоторых положений.*

2. Контролируют исполнение некредитной финансовой организацией (НФО) требований по информационной безопасности (ИБ) - Банк России, ФСБ, ФСТЭК.

3. Постановление не содержит прямого запрета на размещение данных в облачных хранилищах, а включает общие требования к НФО по защите информации в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017.

Справочная информация:

ГОСТ Р 57580.1-2017 должен применяться по результатам определения некредитной финансовой организацией реализуемого в течение календарного года уровня защиты информации, предусмотренного ГОСТ Р 57580.1-2017, с соблюдением перечисленных в Постановлении требований (весь текст посвящен им).

В Постановлении определено, какие виды НФО должны обеспечить и соблюдать требования ГОСТ Р 57580.1-2017, соответствующие усиленному, стандартному либо минимальному уровню защиты информации.

НФО должны осуществлять защиту информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (объекты информационной инфраструктуры) в соответствии с требованиями ГОСТ Р 57580.1-2017.

В зависимости от вида НФО, установленного уровня защиты информации определяются требования к реализуемым мерам. Для усиленного и стандартного уровня предусмотрена обязательная сертификация и оценка (ОУД 4).

То есть для Startup порядок такой:

-сначала определяем вид НФО по ст. 76.1 № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"

-потом НФО обеспечивает требования к защите информации и ИБ по Постановлению и ГОСТ Р 57580.1-2017

-по результатам работы за год НФО обязана пройти категорирование (самостоятельно или лицензированной ФСТЭК сторонней организацией – это зависит от вида деятельности и оборота). Если НФО соответствует усиленному или стандартному уровню защиты информации, то предусмотрена обязательная сертификация и оценка (ОУД 4) – стоимость в районе 1 млн. руб.

Касательно работы с перс. Данными, ФЗ - 152 не запрещает хранение персональных данных в облаке, но при этом дата-центр выбранного облачного провайдера должен находиться на территории России. В соответствии с ФЗ-152 и разъяснениями Минкомсвязи, данные могут передаваться за рубеж, но первично их запись, а также систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение должны производиться на сервере, физически расположенном в России.

Таким образом, какой-то прямой запрет на использование облачных решений отсутствует при соблюдении требований к защите информации - персональных данных и финансовых операций.

Можно предложить КОМПАНИИ реализовать, например, гибридную модель: бизнес-логика приложения размещена в облаке, а данные клиентов — в собственном ЦОДе (как делают банки).