Мы живем в 21 веке – веке информационных возможностей и информационных опасностей. Преступления все чаще переходят в информационное поле. Однако ущерб от таких виртуальных преступлений вполне себе реальный. Во всех сферах, которые хоть как-то связаны с обработкой информации в автоматизированных системах, на постоянной основе проходят многочисленные изменения законодательства, направленные в первую очередь на защиту конфиденциальной информации.

Положение Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П) как раз является документом, который разработан с целью усиления мер по защите информации. Оно закрепляет основные требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков и распространяется на все некредитные финансовые организации, в том числе на микрофинансовые организации, кредитные потребительские кооперативы, сельскохозяйственные кредитные потребительские кооперативы и ломбарды.

На организацию возлагаются две основные обязанности:

• принять меры по защите информации;
• довести до своих клиентов рекомендации по защите информации.

Информация, подлежащая защите

Положением № 684-П определен перечень информации, в отношении которой должны применяться меры по ее защите. К ней относится:

1. Информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций (далее - электронные сообщения).
2. Информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом.
3. Информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях.
4. Ключевая информация средств криптографической защиты информации (далее - СКЗИ), используемая некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (далее – криптографические ключи).

Меры, принимаемые для защиты информации

Организация должна применить меры по защите информации, в том числе правовые (например, разработка внутренних документов в целях защиты информации), организационные (например, определение режима безопасности) и технические (например, установка программного обеспечения).

Отдельным требованием Положения № 684-П является защита информации, содержащей персональные данные. В отношении такой информации должны также применяться меры по обеспечению безопасности персональных данных при их обработке в соответствии со ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). 

Меры по защите персональных данных разделяются на организационные и технические. Большинство организационных мер установлено Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Большинство технических мер установлено Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Рекомендации по защите информации для клиентов

Положением № 684-П закреплена обязанность об информировании клиентов о рекомендациях по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям.

Подведем итоги

Для того чтобы выполнить требования Положения 684-П необходимо:

1. Определить информацию, в отношении которой должны применяться меры по защите и принять организационные и технические меры.
2. Определить информацию, содержащую персональные данные, в отношении которой должны применяться меры по защите и принять организационные и технические меры. 
3. Довести до своих клиентов информацию, определенную Положением № 684-П.