Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Положение Банка России № 757-П... Глава 3
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Положение Банка России № 757-П от 20.04.2021

Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций

Глава 3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • Глава 3. Особенности обеспечения защиты информации при осуществлении деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов
  • 3.1. Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов дополнительно к информации, указанной в пункте 1.1 настоящего Положения, должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в используемых ими автоматизированных системах:
    • информации, обрабатываемой оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, на основании которой осуществляются выпуск и обращение цифровых финансовых активов, в том числе информации, содержащейся в электронных сообщениях-указаниях о внесении или изменении записи о цифровых финансовых активах в информационной системе, в которой осуществляется выпуск цифровых финансовых активов, по указанию лиц или в силу действия, совершенного в рамках сделки, указанных в части 2 статьи 4 Федерального закона от 31 июля 2020 года N 259-ФЗ "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации" (далее - Федеральный закон "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации");
    • информации, обрабатываемой оператором обмена цифровых финансовых активов, на основании которой обеспечивается заключение сделок с цифровыми финансовыми активами;
    • информации, обрабатываемой оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, обо всех совершенных сделках с цифровыми финансовыми активами, выпущенными в информационной системе, оператором которой он является, а также об участниках таких сделок;
    • информации, обрабатываемой оператором обмена цифровых финансовых активов при обеспечении заключения сделок с цифровыми финансовыми активами, обо всех совершенных сделках с цифровыми финансовыми активами, а также об участниках таких сделок.
  • 3.2. Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов в дополнение к установленным пунктом 1.10 настоящего Положения требованиям к технологии обработки защищаемой информации в рамках выпуска и обращения цифровых финансовых активов должны обеспечивать выполнение следующих мероприятий:
    • использование многофакторной аутентификации лиц, выпускающих цифровые финансовые активы, обладателей цифровых финансовых активов, оператора обмена цифровых финансовых активов при осуществлении доступа к информационной системе, в которой осуществляется выпуск цифровых финансовых активов, в том числе реализованной с использованием СКЗИ;
    • защиту, в том числе криптографическую, защищаемой информации при ее хранении и передаче в информационной системе, в которой осуществляется выпуск цифровых финансовых активов;
    • применение организационных и технических мер, обеспечивающих обработку инцидентов защиты информации, связанных с несанкционированным доступом к криптографическим ключам при их формировании, использовании и хранении, в том числе в соответствии с требованиями технической документации на СКЗИ;
    • взаимную аутентификацию узлов информационной системы, участвующих в обмене защищаемой информацией;
    • реализацию системы управления жизненным циклом сделки, предусмотренной частью 2 статьи 4 Федерального закона "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации", и реализацию ее типовых функций в виде стандартных библиотек с целью управления рисками и уязвимостями, связанными с исполнением указанной сделки;
    • применение организационных и технических мер, направленных на обработку риска использования уязвимостей программной среды исполнения сделки, предусмотренной частью 2 статьи 4 Федерального закона "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации";
    • реализацию системы мониторинга инцидентов защиты информации и регламентацию мер по реакции на инциденты защиты информации;
    • реализацию системы мониторинга исполнения сделок, предусмотренных частью 2 статьи 4 Федерального закона "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации".
  • 3.3. Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов в дополнение к установленным в пунктах 1.10 и 3.2 настоящего Положения требованиям к технологии обработки защищаемой информации в рамках выпуска и обращения цифровых финансовых активов в информационной системе на основе распределенного реестра должны обеспечивать выполнение следующих мероприятий:
    • анализ трафика сетевого взаимодействия между узлами информационной системы на основе распределенного реестра с целью обеспечения непрерывности внесения (изменения) записей в информационную систему на основе распределенного реестра, обеспечения блокировки потенциально опасных записей в информационную систему на основе распределенного реестра, способных привести к изменению последовательности записей в информационной системе, обеспечения анализа и контроля алгоритма (алгоритмов), обеспечивающего тождественность информации, содержащейся во всех базах данных, составляющих распределенный реестр, направленных на обеспечение невозможности реализации компьютерных атак, в том числе со стороны узлов информационной системы, путем управления указанными алгоритмами;
    • обеспечение защиты защищаемой информации между узлами информационной системы на основе распределенного реестра СКЗИ, реализующих в том числе функцию имитозащиты информации с аутентификацией отправителя информации;
    • использование узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности и применяемых информационных технологий, в том числе реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных, хранение узлами информационной системы доверенных сетевых адресов и реализацию механизма проверки некорректных узлов информационной системы.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.