Положение Банка России № 808-П от 17.10.2022

1.1. Лица, оказывающие профессиональные услуги на финансовом рынке, должны обеспечить защиту информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой лицами, оказывающими профессиональные услуги на финансовом рынке, с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) в рамках:

1.2. Лица, оказывающие профессиональные услуги на финансовом рынке, должны определить во внутренних документах состав и порядок применения организационных и технических мер в рамках процессов (направлений) защиты информации, указанных в пункте 1.1 настоящего Положения.

1.3. Лица, оказывающие профессиональные услуги на финансовом рынке, должны осуществлять свою деятельность в рамках процессов (направлений) защиты информации, указанных в пункте 1.1 настоящего Положения, с помощью средств криптографической защиты информации (далее - СКЗИ) в соответствии с технической документацией на СКЗИ, а также в соответствии со следующими федеральными законами и иными нормативными правовыми актами Российской Федерации:

1.4. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований лица, оказывающие профессиональные услуги на финансовом рынке, должны провести указанную оценку в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

В случае если лица, оказывающие профессиональные услуги на финансовом рынке, применяют СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.

Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

1.5. Требования к обеспечению защиты информации, установленные в пунктах 1.1-1.3, в абзаце первом пункта 1.4 настоящего Положения, не распространяются на лиц, осуществляющих актуарную деятельность.

Лица, осуществляющие актуарную деятельность, должны осуществлять мероприятия по защите информации от воздействия вредоносных кодов.

При применении усиленной квалифицированной электронной подписи лица, осуществляющие актуарную деятельность, должны выполнять требования эксплуатационной документации к средствам электронной подписи.

2.1. Бюро кредитных историй должны осуществлять защиту информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях"), содержащейся в автоматизированных системах, используемых бюро кредитных историй, при ее обработке, хранении и передаче сертифицированными средствами защиты, в том числе при взаимодействии бюро кредитных историй с пользователями кредитных историй, источниками формирования кредитных историй, субъектами кредитных историй (далее соответственно - защищаемая информация, субъекты взаимодействия).

2.2. Бюро кредитных историй должны формировать для субъектов взаимодействия рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.

Бюро кредитных историй должны доводить до субъектов взаимодействия следующую информацию:

2.3. Бюро кредитных историй должны осуществлять ежегодное тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию (далее - электронные сообщения), субъектов кредитных историй, в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), а также на официальном сайте бюро кредитных историй в сети "Интернет" на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Бюро кредитных историй вправе установить во внутренних документах форму результатов ежегодного тестирования объектов информационной инфраструктуры.

2.4. Бюро кредитных историй должны использовать для обработки, хранения и передачи защищаемой информации прикладное программное обеспечение автоматизированных систем и приложений, распространяемых бюро кредитных историй среди субъектов кредитных историй для совершения действий в целях обработки, хранения и передачи защищаемой информации, прошедших сертификацию в системе сертификации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст*.

В отношении прикладного программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, бюро кредитных историй должны самостоятельно определять необходимость проведения сертификации или оценки соответствия.

По решению бюро кредитных историй оценка соответствия в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79**.

2.5. Бюро кредитных историй должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом.

В целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на это лицом бюро кредитных историй должны использовать установленные нормативными актами Банка России, регулирующими деятельность бюро кредитных историй, виды усиленной электронной подписи при передаче электронных сообщений между:

Бюро кредитных историй могут обеспечить использование простой электронной подписи при передаче в бюро кредитных историй электронных сообщений от субъектов кредитных историй.
В случае если бюро кредитных историй при передаче электронных сообщений между субъектами, указанными в настоящем пункте, использует усиленную неквалифицированную электронную подпись, то для ее создания и проверки должны применяться СКЗИ и средства удостоверяющего центра, имеющие сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности в соответствии с пунктом 2 части 4 статьи 5 Федерального закона "Об электронной подписи"**.
Признание электронных сообщений, подписанных электронной подписью, равнозначными сообщениям на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи"***.
Требования настоящего пункта распространяются на бюро кредитных историй в случае, если федеральными законами не установлено иное.

2.6. Бюро кредитных историй в части требований к защите информации, применяемых в отношении технологии обработки информации, обрабатываемой, передаваемой и хранимой на участках идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий в целях обработки, хранения и передачи защищаемой информации, формированию (подготовке), передаче и приему электронных сообщений, удостоверению права субъектов взаимодействия на совершение действий с защищаемой информацией, осуществлению действий в целях обработки, хранения и передачи защищаемой информации (далее - действия с кредитными историями), учету результатов осуществления действий с кредитными историями, хранению электронных сообщений и информации об осуществленных действиях с защищаемой информацией (далее - технологические участки) должны обеспечивать:

2.6.1. Технология обработки защищаемой информации, применяемая бюро кредитных историй на всех технологических участках, должна обеспечивать целостность и неизменность защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия.

2.6.2. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации субъектов кредитных историй - физических лиц в целях предоставления кредитных отчетов, должна обеспечивать выполнение в случае использования единой системы идентификации и аутентификации соблюдение требований к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210*.

2.6.3. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать следующие мероприятия:

2.6.4. Технология обработки защищаемой информации, применяемая при удостоверении бюро кредитных историй права субъектов взаимодействия на совершение действий с защищаемой информацией, должна обеспечивать получение электронных сообщений субъекта взаимодействия, подписанных субъектом взаимодействия способом, указанным в пункте 2.5 настоящего Положения.

2.7. Бюро кредитных историй должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:

Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:

Регистрации подлежат следующие данные о действиях, выполняемых субъектами взаимодействия с использованием автоматизированных систем, программного обеспечения:

2.8. Бюро кредитных историй должны осуществлять регистрацию событий, которые привели или по их оценке могут привести к неоказанию услуг, предоставляемых бюро кредитных историй, связанных с нарушением требований к обеспечению защиты информации, в том числе включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее соответственно - инциденты защиты информации, перечень типов инцидентов), а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии указанного должностного лица (отдельного структурного подразделения) в соответствии с внутренними документами указанных бюро кредитных историй при соблюдении следующего требования.

По каждому инциденту защиты информации бюро кредитных историй должны осуществлять регистрацию:

2.9. Бюро кредитных историй должны осуществлять информирование Банка России:

2.10. Бюро кредитных историй должны:

3.1. Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность следующей информации:

3.2. В целях обеспечения сохранности защищаемой информации, указанной в пункте 3.1 настоящего Положения (далее - защищаемая информация, полученная в процессе деятельности кредитного рейтингового агентства), кредитное рейтинговое агентство должно:

4.3. Со дня вступления в силу настоящего Положения признать утратившим силу Указание Банка России от 20 мая 2016 года N 4023-У "О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства"*.