Указание Банка России от 20.05.2016 № 4023-У "О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства"
Зарегистрировано в Минюсте России 10.06.2016 № 42511
Настоящее Указание на основании части 13 статьи 9 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (Собрание законодательства Российской Федерации, 2015, № 29, ст. 4348) (далее - Федеральный закон) устанавливает требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.
1. Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность и защиту информации, полученной в процессе своей деятельности, включая сведения (сообщения, данные) независимо от формы их представления, полученные кредитным рейтинговым агентством от рейтингуемого лица, а также созданные кредитным рейтинговым агентством в процессе рейтинговой деятельности.
2. В целях обеспечения сохранности и защиты информации кредитное рейтинговое агентство осуществляет мероприятия (включая организационные и технические), в том числе предусмотренные настоящим Указанием, учитывающие особенности всех типов носителей информации (далее - мероприятия по сохранности и защите информации).
3. Мероприятия по сохранности и защите информации должны быть направлены на:
предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации, в том числе информации о рейтинговых действиях до раскрытия такой информации в соответствии с Федеральным законом, нарушения конфиденциальности информации ограниченного доступа, определяемой в качестве таковой в соответствии с договором с рейтингуемым лицом и (или) в соответствии с законодательством Российской Федерации, иных неправомерных действий в отношении информации;
обеспечение полноты, точности и актуальности информации.
4. Кредитное рейтинговое агентство при осуществлении мероприятий по обеспечению сохранности и защиты информации принимает организационные и технические меры, в том числе:
4.1. Разработку внутренних документов, предусмотренных настоящим Указанием и регламентирующих порядок обеспечения сохранности и защиты информации.
4.2. Меры по сохранности информации, которые должны обеспечивать хранение информации на территории Российской Федерации и предусматривать возможность восстановления информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, в том числе путем создания резервных копий информации в электронном виде с периодичностью, установленной кредитным рейтинговым агентством, но не реже одного раза в семь дней.
Меры по сохранности информации должны предусматривать размещение резервных копий информации в местах, отличных от мест размещения носителей информации.
4.3. Меры по защите информации, которые должны предусматривать в том числе:
обеспечение защиты информации при управлении доступом к информации и при регистрации фактов такого доступа;
обеспечение защиты информации на всех этапах функционирования автоматизированных систем обработки информации, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры);
обеспечение защиты информации средствами антивирусной защиты;
обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
обеспечение защиты информации при назначении и распределении прав доступа к информации;
обнаружение инцидентов информационной безопасности и реагирование на них;
мониторинг и анализ эффективности защиты информации (далее - мониторинг);
обеспечение непрерывности деятельности автоматизированных систем обработки информации и возможности восстановления информации;
проведение самостоятельной или с привлечением сторонней организации оценки эффективности выполнения кредитным рейтинговым агентством требований к защите информации, установленных законодательством Российской Федерации, в том числе настоящим Указанием, не реже одного раза в два года.
Меры по защите информации должны осуществляться кредитным рейтинговым агентством в соответствии с законодательством Российской Федерации о техническом регулировании.
4.4. Меры по недопущению воздействия на объекты информационной инфраструктуры, в результате которого нарушается их функционирование.
4.5. Меры по обеспечению сохранности и защиты информации при взаимодействии с третьими лицами, которым предоставляется доступ к информации.
4.6. Меры по совершенствованию методов и средств обеспечения сохранности и защиты информации.
4.7. Меры по обеспечению документирования деятельности, направленной на обеспечение сохранности и защиты информации, и по хранению информации.
4.8. Иные дополнительные меры, направленные на сохранность и защиту информации.
5. Кредитное рейтинговое агентство должно создать структурное подразделение (назначить работника), ответственное (ответственного) за обеспечение сохранности и защиты информации, обеспечить контроль за его деятельностью органом управления, определенным кредитным рейтинговым агентством (далее - контрольный орган).
Структурное подразделение (работник), ответственное (ответственный) за обеспечение сохранности и защиты информации, для реализации своих полномочий осуществляет взаимодействие со структурными подразделениями кредитного рейтингового агентства, в том числе с органами внутреннего контроля.
6. Кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации и определяющие в том числе следующее.
6.1. Состав информации, включая договоры кредитного рейтингового агентства, протоколы (записи) встреч представителей кредитного рейтингового агентства с представителями рейтингуемых лиц, переписку представителей кредитного рейтингового агентства с рейтингуемыми лицами, отчетность и иную информацию рейтингуемых лиц, представленную кредитному рейтинговому агентству, информацию, связанную с подготовкой и осуществлением рейтинговых действий, в том числе материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты, материалы заседаний рейтинговых комитетов.
6.2. Состав лиц, ответственных за хранение и уничтожение информации, место и форму хранения информации.
6.3. Порядок работы с информацией, содержащий процедуры: документирования информации, в том числе в ходе подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;
хранения информации в течение срока, предусмотренного законодательством Российской Федерации, но не менее пяти лет, уничтожения информации;
предоставления доступа к информации и объектам информационной инфраструктуры работникам кредитного рейтингового агентства и третьим лицам, в том числе установления состава лиц, имеющих право такого доступа, и прав доступа каждого из этих лиц;
регистрации действий, связанных с предоставлением права доступа к информации и объектам информационной инфраструктуры;
идентификации и авторизации лиц, имеющих право доступа к информации и объектам информационной инфраструктуры, регистрации действий указанных лиц в ходе работы с информацией;
применения способов, методов и средств защиты информации с описанием указанных способов, методов и средств защиты информации.
Кредитным рейтинговым агентством могут быть дополнительно установлены иные процедуры работы с информацией.
6.4. Порядок проведения мониторинга, периодических проверок мероприятий по сохранности и защите информации и объектов информационной инфраструктуры, в том числе для предусмотренной пунктом 4.3 настоящего Указания оценки эффективности выполнения кредитным рейтинговым агентством требований к защите информации (далее - проверка), требования к содержанию отчетов о результатах мониторинга и результатах проверки (далее - отчеты), порядок и периодичность представления отчетов контрольному органу, а также их рассмотрения контрольным органом.
В случаях, когда контрольным органом является не совет директоров (наблюдательный совет) и не коллегиальный исполнительный орган кредитного рейтингового агентства, отчеты, кроме контрольного органа, для сведения представляются также совету директоров (наблюдательному совету) кредитного рейтингового агентства, а при его отсутствии - коллегиальному исполнительному органу кредитного рейтингового агентства.
6.5. Процедуры по предупреждению, выявлению и предотвращению нарушений порядка обеспечения сохранности и защиты информации, в том числе при работе с информацией, а также порядок взаимодействия структурного подразделения (работника), ответственного за обеспечение сохранности и защиты информации, с контрольным органом при выявлении указанных нарушений.
7. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
И.о. Председателя
Центрального банка
Российской Федерации
Г.И. Лунтовский