К некредитным финансовым организациям (НФО) будут предъявляться требования по обеспечению защиты информации в зависимости от специфики работы организации (усиленный уровень защиты, стандартный и упрощённый).
Максимальные требования, как пишет ЦБ, будут предъявляться к центральным контрагентам и центральным депозитариям, стандартные – к специализированным депозитариям, клиринговым организациям, организаторам торговли, страховым компаниям, НПФ, репозитариям и профессиональным участникам рынка ценных бумаг при достижении этими организациями определенных показателей деятельности. К остальным НФО – упрощённые требования.
В положении от 17 апреля 2019 г. № 684-П обозначены требования по защите информации в отношении объектов информационной инфраструктуры, прикладного программного обеспечения, технологии обработки защищаемой информации. Документ разработан для противодействия несанкционированным финансовым операциям, а также для защиты средств НФО и их клиентов от действий киберпреступников.
НФО должны будут проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, а также оценку соответствия защиты информации: НФО, реализующие усиленный уровень защиты информации, – не реже одного раза в год, стандартный уровень защиты информации – не реже одного раза в три года.