Журнал "Information Security/ Информационная безопасность" #6, 2021

8 • ПРАВО И НОРМАТИВЫ Оба проекта приказов ФСТЭК России относительно оценочных листов содержат списки конт- рольных вопросов, ответы на которые должны свидетельство- вать о соответствии (несоот- ветствии) соискателя лицензии или лицензиата лицензионным требованиям. Список контрольных вопросов для проверок соблюдения требований в области обработки персональных данных Роскомнадзор 2 декабря опубликовал проект приказа "Об утверждении форм прове- рочных листов (списков конт- рольных вопросов), используе- мых Федеральной службой по надзору в сфере связи, инфор- мационных технологий и мас- совых коммуникаций при про- ведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персо- нальных данных" 17 (далее – про- ект приказа Роскомнадзора). В проекте приказа Роском- надзора приводятся два вари- анта проверочных листов: l для юридических лиц, физи- ческих лиц и индивидуальных предпринимателей; l для оператора, являющегося государственным или муници- пальным органом. Требования по защите информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке Банк России 20 декабря опуб- ликовал проект приказа "Об установлении обязательных для лиц, оказывающих профессио- нальные услуги на финансовом рынке, требований к обеспече- нию защиты информации при осуществлении деятельности в сфере оказания профессио- нальных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты инфор- мации, установленных феде- ральными законами и приняты- ми в соответствии с ними иными нормативными правовыми акта- ми" 18 (далее – проект Банка России). Основные требования по защите информации устанав- ливаются для бюро кредитных историй. Отметим, что по про- екту Банка России лица, ока- зывающие профессиональные услуги на финансовом рынке (за исключением бюро кредит- ных историй), вправе принять решение о необходимости соблюдения в отношении объ- ектов информационной инфра- структуры требований ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) опе- раций. Защита информации финансовых организаций. Базо- вый состав организационных и технических мер" (далее – ГОСТ Р 57580.1–2017), соответствую- щих минимальному уровню защиты информации. Квалифи- цированные бюро кредитных историй должны соблюдать тре- бования ГОСТ Р 57580.1–2017, соответствующие стандартному уровню защиты информации; бюро кредитных историй, не являющиеся квалифицирован- ными – минимальному уровню. Бюро кредитных историй также должны осуществлять оценку соответствия уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2– 2018 "Безопасность финансо- вых (банковских) операций. Защита информации финансо- вых организаций. Методика оценки соответствия". Основные направления цифровизации финансового рынка Банк России опубликовал проект Основных направлений цифровизации финансового рынка на период 2022–2024 гг. 19 Часть направлений определяют, чем Банк России будет зани- маться в области информацион- ной безопасности (далее – ИБ) в указанный временной проме- жуток. Концентрация усилий будет сосредоточена на обес- печении высокого качества аутентификации клиентов и воз- можности широкого использо- вания облачной электронной подписи. Всего выделено шесть направлений по ИБ: l обеспечение возможности использования сервиса облач- ной усиленной квалифициро- ванной электронной подписи (далее – УКЭП) участниками финансового рынка; l обеспечение всех надзорных организаций УКЭП; l формирование среды дове- рия при удаленном предостав- лении финансовых услуг и сер- висов; l снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию; 17 https://regulation.gov.ru/projects#npa=123061 18 https://regulation.gov.ru/projects#npa=123595 19 https://cbr.ru/Content/Document/File/131360/oncfr_2022-2024.pdf

RkJQdWJsaXNoZXIy Mzk4NzYw