ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 17 октября 2022 года N 808-П

О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства

Настоящее Положение на основании статьи 76_9-6 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", части 2 статьи 7 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях", части 13 статьи 9 Федерального закона от 13 июля 2015 года N 222-ФЗ "О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76_1 Федерального закона "О Центральном банке Российской Федерации (Банке России)" и признании утратившими силу отдельных положений законодательных актов Российской Федерации"

________________

Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 27, ст.5187.

Собрание законодательства Российской Федерации, 2005, N 1, ст.44; 2020, N 31, ст.5061.

Собрание законодательства Российской Федерации, 2015, N 29, ст.4348.

устанавливает:

обязательные для лиц, оказывающих профессиональные услуги на финансовом рынке, требования к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций;

требования к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты;

________________

Собрание законодательства Российской Федерации, 2005, N 1, ст.44; 2022, N 13, ст.1960.

требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.

Глава 1. Требования к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательные для лиц, оказывающих профессиональные услуги на финансовом рынке

1.1. Лица, оказывающие профессиональные услуги на финансовом рынке, должны обеспечить защиту информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой лицами, оказывающими профессиональные услуги на финансовом рынке, с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) в рамках:

обеспечения защиты информации при управлении доступом;

обеспечения защиты вычислительных сетей;

контроля целостности и защищенности объектов информационной инфраструктуры;

защиты от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносные коды);

предотвращения утечек информации;

управления инцидентами защиты информации;

защиты среды виртуализации;

защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

1.2. Лица, оказывающие профессиональные услуги на финансовом рынке, должны определить во внутренних документах состав и порядок применения организационных и технических мер в рамках процессов (направлений) защиты информации, указанных в пункте 1.1 настоящего Положения.

1.3. Лица, оказывающие профессиональные услуги на финансовом рынке, должны осуществлять свою деятельность в рамках процессов (направлений) защиты информации, указанных в пункте 1.1 настоящего Положения, с помощью средств криптографической защиты информации (далее - СКЗИ) в соответствии с технической документацией на СКЗИ, а также в соответствии со следующими федеральными законами и иными нормативными правовыми актами Российской Федерации:

Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон "Об электронной подписи");

________________

Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2022, N 79, ст.5306.

Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных")";

________________

Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2022, N 29, ст.5233.

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

________________

Собрание законодательства Российской Федерации, 2012, N 45, ст.6257.

приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

________________

Зарегистрирован Минюстом России 14 мая 2013 года, регистрационный N 28375, с изменениями, внесенными приказом ФСТЭК России от 23 марта 2017 года N 49 (зарегистрирован Минюстом России 25 апреля 2017 года, регистрационный N 46487), приказом ФСТЭК России от 14 мая 2020 года N 68 (зарегистрирован Минюстом России 8 июля 2020 года, регистрационный N 58877).

приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" (далее - Положение ПКЗ-2005);

________________

Зарегистрирован Минюстом России 3 марта 2005 года, регистрационный N 6382, с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 года N 173 (зарегистрирован Минюстом России 25 мая 2010 года, регистрационный N 17350).

приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

________________

Зарегистрирован Минюстом России 18 августа 2014 года, регистрационный N 33620.

1.4. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований лица, оказывающие профессиональные услуги на финансовом рынке, должны провести указанную оценку в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

В случае если лица, оказывающие профессиональные услуги на финансовом рынке, применяют СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.

Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

1.5. Требования к обеспечению защиты информации, установленные в пунктах 1.1-1.3, в абзаце первом пункта 1.4 настоящего Положения, не распространяются на лиц, осуществляющих актуарную деятельность.

Лица, осуществляющие актуарную деятельность, должны осуществлять мероприятия по защите информации от воздействия вредоносных кодов.

При применении усиленной квалифицированной электронной подписи лица, осуществляющие актуарную деятельность, должны выполнять требования эксплуатационной документации к средствам электронной подписи.

Глава 2. Требования к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты

2.1. Бюро кредитных историй должны осуществлять защиту информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях"), содержащейся в автоматизированных системах, используемых бюро кредитных историй, при ее обработке, хранении и передаче сертифицированными средствами защиты, в том числе при взаимодействии бюро кредитных историй с пользователями кредитных историй, источниками формирования кредитных историй, субъектами кредитных историй (далее соответственно - защищаемая информация, субъекты взаимодействия).

В случае если защищаемая информация содержит персональные данные, бюро кредитных историй должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона "О персональных данных".

________________

Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2022, N 29, ст.5233.