ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 30 августа 2023 года N 822-П

О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования

Настоящее Положение на основании подпункта 5 пункта 7 статьи 33_10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает требования к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования.

1. Оператор автоматизированной информационной системы страхования (далее - АИС страхования) должен осуществлять защиту информации, содержащейся в АИС страхования, указанной в пункте 1 статьи 33_11 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее соответственно - защищаемая информация, Закон Российской Федерации N 4015-I), при ее получении, подготовке, обработке, хранении и предоставлении (далее - защита информации).

В случае если защищаемая информация содержит персональные данные, оператор АИС страхования должен применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27 июля 2006 года N 152-ФЗ) и приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - приказ ФСТЭК России N 21).

________________

Зарегистрирован Минюстом России 14 мая 2013 года, регистрационный N 28375, с изменениями, внесенными приказами ФСТЭК России от 23 марта 2017 года N 49 (зарегистрирован Минюстом России 25 апреля 2017 года, регистрационный N 46487), от 14 мая 2020 года N 68 (зарегистрирован Минюстом России 8 июля 2020 года, регистрационный N 58877).

2. Оператор АИС страхования должен определить во внутренних документах состав и порядок применения организационных и технических мер защиты информации в отношении эксплуатируемых им автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) в рамках следующих процессов (направлений):

защиты информации при управлении доступом к объектам информационной инфраструктуры;

защиты вычислительных сетей;

контроля целостности и защищенности объектов информационной инфраструктуры;

защиты объектов информационной инфраструктуры от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносные коды);

предотвращения утечек защищаемой информации;

управления событиями, которые привели или, по оценке оператора АИС страхования, могут привести к незаконному раскрытию защищаемой информации или неоказанию услуг, связанных с получением или предоставлением защищаемой информации (далее - инциденты защиты информации);

защиты среды виртуализации;

защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

3. Оператор АИС страхования должен осуществлять защиту информации с помощью средств криптографической защиты информации (далее - СКЗИ) в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон от 6 апреля 2011 года N 63-ФЗ), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.

________________

Зарегистрирован Минюстом России 3 марта 2005 года, регистрационный N 6382, с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 года N 173 (зарегистрирован Минюстом России 25 мая 2010 года, регистрационный N 17350).

Обеспечение защиты персональных данных с использованием СКЗИ осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (далее - приказ ФСБ России N 378) с применением СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности), и обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных Банком России в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ и подпунктом 6 пункта 7 статьи 33_10 Закона Российской Федерации N 4015-I.

________________

Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

Обеспечение защиты биометрических персональных данных с использованием СКЗИ осуществляется в соответствии с Федеральным законом от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - Федеральный закон от 29 декабря 2022 года N 572-ФЗ) с применением СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и обеспечивающих нейтрализацию угроз безопасности персональных данных, определенных приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 5 мая 2023 года N 445 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных" (далее - приказ Минцифры России N 445).

________________

Зарегистрирован Минюстом России 26 мая 2023 года, регистрационный N 73486. Согласно пункту 3 приказа Минцифры России N 445 данный акт действует до 1 июня 2029 года.

4. Оператор АИС страхования в случаях, предусмотренных технической документацией на СКЗИ, должен проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы), используемой СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности".

Оператор АИС страхования должен применять СКЗИ, имеющее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и обеспечивающие нейтрализацию угроз, определенных в соответствии с нормативным актом Банка России об определении угроз безопасности при обработке персональных данных в АИС страхования, принятым на основании подпункта 6 пункта 7 статьи 33_10 Закона Российской Федерации N 4015-I, и приказом Минцифры России N 445.

Оператор АИС страхования должен обеспечивать защиту криптографических ключей СКЗИ, используемых при обмене защищаемой информацией, в том числе ключей электронной подписи и ключей проверки электронной подписи (далее - криптографические ключи СКЗИ).

Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ. Принадлежность физическому или юридическому лицу ключа проверки электронной подписи, изготовленного средствами электронной подписи, подтверждается сертификатом ключа проверки электронной подписи, созданным и выданным удостоверяющим центром в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ.

5. Оператор АИС страхования должен формировать для пользователей АИС страхования рекомендации по защите информации от воздействия вредоносного кода в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.

Оператор АИС страхования должен доводить до пользователей АИС страхования информацию о возможных рисках несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи (далее - информация о рисках), путем размещения информации о рисках на официальном сайте оператора АИС страхования в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), предусмотренном подпунктом 10 пункта 7 статьи 33_10 Закона Российской Федерации N 4015-I, для целей обеспечения ознакомления с ней пользователей АИС страхования.

6. Оператор АИС страхования должен осуществлять не реже одного раза в два года:

тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию (далее - электронные сообщения), в автоматизированных системах и приложениях с использованием сети "Интернет", а также на официальном сайте оператора АИС страхования в сети "Интернет", предусмотренном подпунктом 10 пункта 7 статьи 33_10 Закона Российской Федерации N 4015-I, на предмет возможности несанкционированного доступа к обрабатываемой защищаемой информации;

анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

В случае выявления уязвимостей информационной безопасности объектов информационной инфраструктуры оператор АИС страхования должен устранять выявленные уязвимости в порядке и сроки, установленные во внутренних документах оператора АИС страхования.

7. Оператор АИС страхования при использовании прикладного программного обеспечения автоматизированных систем и приложений, распространяемых оператором АИС страхования среди пользователей АИС страхования для совершения действий в целях обмена защищаемой информацией, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях в сети "Интернет", должен обеспечить проведение сертификации в системе сертификации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации при осуществлении регулирования в соответствии с подпунктом 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 (далее - сертификация), или оценки соответствия требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД4 (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения).

________________

Подраздел 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст (М., ФГУП "Стандартинформ", 2014) и введенного в действие 1 сентября 2014 года.

По решению оператора АИС страхования оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, на проведение работ и предоставление услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79.

В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, оператор АИС страхования должен самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.

Оператор АИС страхования в случае принятия решения о сертификации программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего пункта, должен обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.

________________

Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

8. Оператор АИС страхования в целях обеспечения контроля целостности исходящих электронных сообщений и подтверждения составления исходящего электронного сообщения уполномоченным на это работником оператора АИС страхования (далее - работник) при передаче исходящего электронного сообщения оператором АИС страхования должен использовать усиленную квалифицированную электронную подпись (далее - УКЭП).

В целях обеспечения защиты информации оператор АИС страхования должен хранить входящие электронные сообщения и средства, обеспечивающие проверку электронной подписи входящих электронных сообщений, в течение срока, указанного в подпункте 1 пункта 7 статьи 33_10 Закона Российской Федерации N 4015-I.

В целях обеспечения защиты информации оператор АИС страхования должен хранить исходящие электронные сообщения, подписанные УКЭП, и средства, обеспечивающие проверку электронной подписи исходящих электронных сообщений, не менее пяти лет с даты подписания электронных сообщений. Класс используемых в таких случаях средств электронной подписи и средств удостоверяющего центра определяется исходя из угроз безопасности при обработке персональных данных в АИС страхования, определенных нормативным актом Банка России об определении угроз безопасности при обработке персональных данных в АИС страхования, принятым на основании подпункта 6 пункта 7 статьи ЗЗ_10 Закона Российской Федерации N 4015-I, и приказом Минцифры России N 445.