Положение Банка России № 822-П от 30.08.2023

2. Оператор АИС страхования должен определить во внутренних документах состав и порядок применения организационных и технических мер защиты информации в отношении эксплуатируемых им автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) в рамках следующих процессов (направлений):

3. Оператор АИС страхования должен осуществлять защиту информации с помощью средств криптографической защиты информации (далее - СКЗИ) в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон от 6 апреля 2011 года N 63-ФЗ), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.
     Обеспечение защиты персональных данных с использованием СКЗИ осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (далее - приказ ФСБ России № 378) с применением СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности), и обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных Банком России в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ и подпунктом 6 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-1.
     Обеспечение защиты биометрических персональных данных с использованием СКЗИ осуществляется в соответствии с Федеральным законом от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон от 29 декабря 2022 года N 572-ФЗ) с применением СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 5 мая 2023 года N 445 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных" (далее - приказ Минцифры России N 445).

4. Оператор АИС страхования в случаях, предусмотренных технической документацией на СКЗИ, должен проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы), используемой СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности".

     Оператор АИС страхования должен применять СКЗИ, имеющее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и обеспечивающие нейтрализацию угроз, определенных в соответствии с нормативным актом Банка России об определении угроз безопасности при обработке персональных данных в АИС страхования, принятым на основании подпункта 6 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I, и приказом Минцифры России N 445.

     Оператор АИС страхования должен обеспечивать защиту криптографических ключей СКЗИ, используемых при обмене защищаемой информацией, в том числе ключей электронной подписи и ключей проверки электронной подписи (далее - криптографические ключи СКЗИ).

     Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ. Принадлежность физическому или юридическому лицу ключа проверки электронной подписи, изготовленного средствами электронной подписи, подтверждается сертификатом ключа проверки электронной подписи, созданным и выданным удостоверяющим центром в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ.

5. Оператор АИС страхования должен формировать для пользователей АИС страхования рекомендации по защите информации от воздействия вредоносного кода в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.
     Оператор АИС страхования должен доводить до пользователей АИС страхования информацию о возможных рисках несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи (далее - информация о рисках), путем размещения информации о рисках на официальном сайте оператора АИС страхования в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), предусмотренном подпунктом 10 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I для целей обеспечения ознакомления с ней пользователей АИС страхования.

6. Оператор АИС страхования должен осуществлять не реже одного раза в два года:

     В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры оператор АИС страхования должен устранять выявленные уязвимости в порядке и сроки, установленные во внутренних документах оператора АИС страхования.

7. Оператор АИС страхования при использовании прикладного программного обеспечения автоматизированных систем и приложений, распространяемых оператором АИС страхования среди пользователей АИС страхования для совершения действий в целях обмена защищаемой информацией, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях в сети "Интернет", должен обеспечить проведение сертификации в системе сертификации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации при осуществлении регулирования в соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 (далее - сертификация), или оценки соответствия требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД4 (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения).
     По решению оператора АИС страхования оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, на проведение работ и предоставление услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79.
     В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, оператор АИС страхования должен самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
     Оператор АИС страхования в случае принятия решения о сертификации программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего пункта, должен обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76.

8. Оператор АИС страхования в целях обеспечения контроля целостности исходящих электронных сообщений и подтверждения составления исходящего электронного сообщения уполномоченным на это работником оператора АИС страхования (далее - работник) при передаче исходящего электронного сообщения оператором АИС страхования должен использовать усиленную квалифицированную электронную подпись (далее - УКЭП).
     В целях обеспечения защиты информации оператор АИС страхования должен хранить входящие электронные сообщения и средства, обеспечивающие проверку электронной подписи входящих электронных сообщений, в течение срока, указанного в подпункте 1 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I.
     В целях обеспечения защиты информации оператор АИС страхования должен хранить исходящие электронные сообщения, подписанные УКЭП, и средства, обеспечивающие проверку электронной подписи исходящих электронных сообщений, не менее пяти лет с даты подписания электронных сообщений. Класс используемых в таких случаях средств электронной подписи и средств удостоверяющего центра определяется исходя из угроз безопасности при обработке персональных данных в АИС страхования, определенных нормативным актом Банка России об определении угроз безопасности при обработке персональных данных в АИС страхования, принятым на основании подпункта 6 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I, и приказом Минцифры России N 445.
     В целях обеспечения контроля целостности входящих электронных сообщений и подтверждения составления электронного сообщения пользователем АИС страхования оператор АИС страхования должен при получении электронного сообщения, содержащего запрос о предоставлении содержащейся в АИС страхования защищаемой информации, осуществить проверку на принадлежность пользователю АИС страхования соответствующего вида электронной подписи и сертификата ключа проверки электронной подписи (далее - контроль электронной подписи).
     В целях обеспечения защиты информации оператор АИС страхования должен хранить результаты контроля электронной подписи и обеспечивать их целостность в течении сроков, указанных в абзаце втором настоящего пункта.

9. Оператор АИС страхования должен обеспечить целостность предоставленной в АИС страхования информации, подписанной УКЭП и признаваемой в соответствии с частью 1 статьи 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ электронным документом, равнозначным документу на бумажном носителе (далее - предоставленная в АИС страхования информация), при ее хранении в течение срока, указанного в подпункте 1 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I, посредством подписания предоставленной в АИС страхования информации с помощью УКЭП работника по истечении сроков действия соответствующих квалифицированных сертификатов ключей проверки электронной подписи.

10. Оператор АИС страхования в части требований к защите информации, применяемых в отношении технологии обработки защищаемой информации, должен обеспечить конфиденциальность, целостность и достоверность защищаемой информации, регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации, на следующих технологических участках:

10.1. Технология обработки защищаемой информации, применяемая оператором АИС страхования при идентификации, аутентификации и авторизации пользователей АИС страхования при совершении действий с защищаемой информацией, в случае использования единой биометрической системы, определенной в соответствии с пунктом 4 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ, должна предусматривать:

10.2. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, составляемых при взаимодействии оператора АИС страхования и пользователя АИС страхования, должна предусматривать:

10.3. Технология обработки защищаемой информации, применяемая при удостоверении оператором АИС страхования права пользователя АИС страхования на совершение действий с защищаемой информацией, должна предусматривать контроль подписания электронного сообщения пользователем АИС страхования посредством мероприятия, указанного в абзаце четвертом подпункта 10.2 настоящего пункта, и проверку прав владельца электронной подписи.

10.4. Технология обработки защищаемой информации, применяемая при осуществлении действий с защищаемой информацией, учете результатов осуществления действий с защищаемой информацией, а также хранении электронных сообщений и информации об осуществленных действиях с защищаемой информацией, должна предусматривать:

11. В целях обеспечения защиты информации оператор АИС страхования должен регистрировать результаты совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:

12. Оператор АИС страхования должен в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации, а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при соблюдении требований, предусмотренных абзацами вторым - пятым настоящего пункта.
     По каждому инциденту защиты информации оператор АИС страхования должен осуществлять регистрацию:

13. В целях реализации требований к обеспечению защиты информации оператор АИС страхования должен информировать Банк России:

     Оператор АИС страхования должен представлять в Банк России указанные в абзацах втором - пятом настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети "Интернет".

14. В целях обеспечения защиты информации оператор АИС страхования должен осуществлять хранение:

15. При обеспечении безопасности объектов информационной инфраструктуры, эксплуатация и использование которых осуществляются оператором АИС страхования в рамках своей деятельности и которые являются объектами критической информационной инфраструктуры Российской Федерации, применяются в том числе требования и порядок, установленные органами государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры в соответствии со статьей 6 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".