Методология БР ИБ НФО (Банк России и ГОСТ 57580)
Специализированное руководство по прохождению комплаенса и построению системы управления информационной безопасностью (СУИБ) для некредитных финансовых организаций (НФО) согласно требованиям Положений Банка России № 757-П, 683-П и национального стандарта ГОСТ Р 57580.1-2017.
1. Кто относится к НФО и подлежит регулированию
В отличие от кредитных организаций (банков), подпадающих под действие Положений 683-П и 719-П, требования ГОСТ Р 57580.1 через Положение 757-П распространяются на широкий спектр участников финансового рынка:
- Профессиональные участники рынка ценных бумаг: брокеры, дилеры, депозитарии, регистраторы и управляющие ценными бумагами.
- Инфраструктурные организации: управляющие компании инвестиционных фондов, ПИФ и НПФ, а также специализированные депозитарии.
- Сектор коллективных инвестиций: негосударственные пенсионные фонды (НПФ).
- Страховые организации: страховые компании и страховые брокеры.
- Микрофинансовый сектор: микрофинансовые организации (МФО, включая МФК и МКК), кредитные потребительские кооперативы (КПК).
- Иные организации: ломбарды, бюро кредитных историй (БКИ), рейтинговые агентства.
2. Три уровня защиты информации и требования к оценке соответствия
Положение Банка России № 757-П делит все НФО на три категории в зависимости от объема операций, стоимости активов или вида лицензии, предписывая соответствующий уровень защиты информации:
| Уровень защиты | Применимость (критерии НФО) | Целевой показатель ГОСТ Р 57580.1 | Периодичность внешнего аудита |
|---|---|---|---|
| Усиленный | Крупнейшие НФО (депозитарии с объемом хранения > 1 трлн руб., системно значимые страховые компании, НПФ с резервами > 10 млрд руб.). | R ≥ 0.85 (V уровень) | Ежегодно (независимый лицензиат ФСТЭК/ФСБ) |
| Стандартный | Средние НФО (большинство брокеров, управляющих компаний, страховых компаний, МФК). | R ≥ 0.70 (IV уровень) | Один раз в 2 года |
| Минимальный | Малые финансовые организации, не вошедшие в первые две группы. | R ≥ 0.50 (III уровень) | По требованию Банка России / Самооценка |
3. Архитектура процессов ГОСТ Р 57580.1-2017
Стандарт требует внедрения и непрерывного контроля защитных мер по 8 ключевым технологическим направлениям (процессам):
- УПД (Управление доступом): Разграничение прав пользователей, минимизация привилегий, контроль учетных записей администраторов (PAM-решения).
- ИАФ (Идентификация и аутентификация): Двухфакторная аутентификация для удаленного доступа и критических операций.
- УПС (Управление потоками и сетевая безопасность): Сегментация сети, использование NGFW, инспекция SSL/TLS-трафика.
- АВЗ (Антивирусная защита): Защита от вредоносного ПО, поведенческий анализ (EDR/XDR).
- АНЗ (Анализ защищенности): Поиск и устранение уязвимостей, SAST/DAST анализ кода.
- РСБ (Регистрация событий безопасности): Сбор и централизованный анализ логов, SIEM, WORM.
- ЗТС (Обеспечение виртуализации): Защита гипервизоров, контейнеров, изоляция сред.
- ЗНИ (Защита носителей информации): Шифрование данных на дисках, безопасная утилизация.
4. Как рассчитывается итоговая оценка соответствия (ГОСТ Р 57580.2)
Оценка соответствия R представляет собой средневзвешенную величину оценок внедрения мер на трех уровнях СУИБ.
5. Автоматизированная подготовка к аудиту ЦБ в QR Consult
- Шаг 1: Профиль системы. При описании IT-системы укажите принадлежность к НФО и выберите целевой фреймворк (ГОСТ Р 57580.1-2017 + 152-ФЗ / Приказ № 21).
- Шаг 5: Моделирование угроз. Выберите методологию БР ИБ НФО. Система сопоставит угрозы ФСТЭК с финансовыми сценариями.
- Шаг 6: Дедупликация и маппинг мер. Система сопоставляет требования ГОСТ и Приказа № 21, выдавая единый стек мер безопасности.
- Экспорт отчета. Нажмите кнопку «Экспорт» для получения файла DOCX/XLSX для предоставления аудитору.