Проект Положения Банка России “О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования“ (по состоянию на 30.03.2023)

Настоящее Положение на основании подпункта 5 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-1 "Об организации страхового дела в Российской Федерации" устанавливает требования к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования.

1. Требования к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования при осуществлении функций оператора автоматизированной информационной системы страхования (далее соответственно - оператор АИС страхования, АИС страхования), установленных пунктом 5 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Закон Российской Федерации от 27 ноября 1992 года N 4015-1), применяются для обеспечения защиты информации, указанной в пункте 1 статьи 33.11 Федерального закона от 27 ноября 1992 года N 4015-1, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых оператором АИС страхования (далее соответственно - автоматизированные системы, защищаемая информация, защита информации), в том числе:

информации, необходимой оператору АИС страхования для авторизации пользователей АИС страхования, указанных в пункте 1 статьи 33.12 Закона Российской Федерации от 27 ноября 1992 года N 4015-1, при осуществлении функций оператора АИС страхования;

информации, содержащейся в электронных сообщениях, составляемых при взаимодействии оператора АИС страхования и пользователей АИС страхования;

информация об исполненных запросах о предоставлении содержащейся в АИС страхования информации, указанных в пунктах 7-8 статьи 33.12 Закона Российской Федерации от 27 ноября 1992 года N 4015-1;

ключевой информации средств криптографической защиты информации, используемой оператором АИС страхования и пользователем АИС страхования при обмене защищаемой информацией (далее - криптографические ключи).

В случае если защищаемая информация содержит персональные данные, оператор АИС страхования должен применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Оператор АИС страхования в целях обеспечения защиты информации в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) должен определить во внутренних документах состав и порядок применения организационных мер защиты информации и технических мер защиты информации в рамках следующих процессов (направлений):

защиты информации при управлении доступом;

защиты вычислительных сетей;

контроля целостности и защищенности информационной инфраструктуры;

защиты от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносные коды);

предотвращения утечек информации;

управления инцидентами защиты информации;

защиты среды виртуализации;

защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

3. Обеспечение защиты информации в рамках процессов (направлений) защиты информации, указанной в пункте 1 настоящего Указания, должно осуществляться с помощью средств криптографической защиты информации (далее - СКЗИ) оператором АИС страхования в соответствии с технической документацией на СКЗИ, а также на основании следующих федеральных законов и нормативных правовых актов Российской Федерации:

Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон "Об электронной подписи");

Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" (далее - Положение ПКЗ-2005);

приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

4. В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований оператор АИС страхования должен проводить указанную оценку в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

В случае если оператор АИС страхования применяет СКЗИ российского производства, СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.

Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

5. Оператор АИС страхования должен формировать для пользователей АИС страхования рекомендации по защите информации от воздействия вредоносного кода в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.

Оператор АИС страхования должен доводить до пользователей АИС страхования следующую информацию:

о возможных рисках несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи;

о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства пользователем АИС страхования, являющимся физическим лицом, информация о котором содержится в АИС страхования, с использованием которого им совершались действия в целях обработки, хранения и передачи защищаемой информации, по контролю конфигурации устройства, с использованием которого пользователем АИС страхования совершаются действия в целях обработки, хранения и передачи защищаемой информации, и своевременному обнаружению воздействия вредоносных кодов.

6. Оператор АИС страхования должен осуществлять ежегодное тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию (далее - электронные сообщения), в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), а также на официальном сайте оператора АИС страхования в сети "Интернет" на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Оператор АИС страхования вправе установить во внутренних документах форму результатов ежегодного тестирования объектов информационной инфраструктуры.

7. Оператор АИС страхования должен обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых оператором АИС страхования среди пользователей АИС страхования, для совершения действий в целях обмена информацией, содержащейся в АИС страхования и передаваемой пользователем АИС страхования, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях в сети "Интернет", прошедших сертификацию в системе сертификации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации (далее - сертификация), или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений).

В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, оператор АИС страхования должен самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

По решению оператора АИС страхования оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79.

Оператор АИС страхования в случае принятия решения о сертификации прикладного программного обеспечения автоматизированных систем и приложений должен обеспечить их сертификацию не ниже 4 уровня доверия в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.

8. Оператор АИС страхования в целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на это лицом оператора АИС страхования при передаче электронного сообщения оператором АИС страхования пользователям АИС страхования должен обеспечить защиту электронных сообщений посредством использования усиленной квалифицированной электронной подписи.

Оператор АИС страхования должен хранить входящие и исходящие электронные сообщения, подписанные электронной подписью, и средства, обеспечивающие проверку электронной подписи, не менее десяти лет с даты подписания электронных сообщений.

Оператор АИС страхования в целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на то пользователем АИС страхования при получении электронного сообщения, содержащего запрос о предоставлении содержащейся информации в АИС страхования, должен осуществить проверку на принадлежность пользователю АИС страхования соответствующего вида электронной подписи и сертификата ключа проверки электронной подписи, указанных в пунктах 7 и 8 статьи 33.12 Закона Российской Федерации от 27 ноября 1992 года N 4015-1.

9. Оператор АИС страхования в части требований к защите информации, применяемых в отношении технологии обработки информации, обрабатываемой, передаваемой и хранимой на участках идентификации, аутентификации и авторизации пользователей АИС страхования при совершении действий в целях обработки, хранения и передачи защищаемой информации, формированию (подготовке), передаче и приему электронных сообщений, удостоверению права пользователей АИС страхования на совершение действий с защищаемой информацией, осуществлению действий в целях обработки, хранения и передачи защищаемой информации (далее - действия с защищаемой информацией), учету результатов осуществления действий с защищаемой информацией, хранению электронных сообщений и информации об осуществленных действиях с защищаемой информацией (далее - технологические участки) должен обеспечивать:

конфиденциальность, целостность и достоверность защищаемой информации;

регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;

регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.

9.1. Технология обработки защищаемой информации, применяемая оператором АИС страхования при идентификации, аутентификации и авторизации пользователей АИС страхования в целях предоставления информации, содержащейся в АИС страхования, должна обеспечивать в случае использования государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" реализацию установленных приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" технических и организационных мер в целях нейтрализации угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации пользователей АИС страхования в целях предоставления информации, содержащейся в АИС страхования, должна обеспечивать в случае использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" или федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" соблюдение требований к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210.

9.2. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, составляемых при взаимодействии оператора АИС страхования с пользователями АИС страхования, должна обеспечивать следующие мероприятия:

структурный и логический контроль входящих электронных сообщений, в том числе проверку правильности заполнения полей электронного сообщения (входной контроль);

проверку правильности формирования (подготовки) исходящих электронных сообщений (двойной контроль);

подписание исходящего электронного сообщения электронной подписью, обеспечивающей нейтрализацию атак, определенных нормативным актом Банка России об определении угроз безопасности при обработке персональных данных, защиту которых обеспечивает оператор АИС страхования, установленным в соответствии с подпунктом 6 пункта 7 статьи 33.10 Федерального закона от 27 ноября 1992 года N 4015-1;

защиту защищаемой информации, в том числе криптографическую защиту, при ее передаче по каналам связи.

9.3. Технология обработки защищаемой информации, применяемая при удостоверении оператором АИС страхования права пользователя АИС страхования на совершение действий с защищаемой информацией, должна обеспечивать контроль подписания электронного сообщения пользователем АИС страхования способом, указанным в пункте 8 настоящего Положения, и проверку прав владельца электронной подписи.

9.4. Технология обработки защищаемой информации, применяемая при осуществлении действий в целях обработки, хранения и предоставления защищаемой информации, в том числе хранения электронных сообщений, а также результатов осуществления действий в целях обработки, хранения и предоставления защищаемой информации, должна обеспечивать следующие мероприятия:

проверку соответствия (сверку) выходных электронных сообщений, содержащих защищаемую информацию, соответствующим входным электронным сообщениям (запросам о предоставлении информации, содержащейся в АИС страхования);

регистрацию исполненных запросов о предоставлении информации, содержащейся в АИС страхования, пользователям АИС страхования;

доступность защищаемой информации, в том числе путем создания резервных копий баз данных, содержащих защищаемую информацию.

10. Оператор АИС страхования должен обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:

идентификации, аутентификации и авторизации пользователей АИС страхования при совершении действий с защищаемой информацией;

приема (передачи) электронных сообщений при взаимодействии оператора АИС страхования с пользователями АИС страхования, в том числе для удостоверения права пользователей АИС страхования осуществлять действия с защищаемой информацией и для учета результатов осуществления действий с защищаемой информацией;

осуществления доступа работников оператора АИС страхования (далее - работники) к защищаемой информации и осуществления пользователями АИС страхования действий с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;

присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения работником действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.

Регистрации подлежат следующие данные о действиях, выполняемых пользователями АИС страхования с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения пользователями АИС страхования действий с защищаемой информацией;

присвоенный пользователям АИС страхования идентификатор, позволяющий установить пользователя АИС страхования в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения пользователями АИС страхования действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения пользователями АИС страхования действий с защищаемой информацией.

11. Оператор АИС страхования должен в соответствии со своими внутренними документами осуществлять регистрацию инцидентов защиты информации, относящихся к событиям, которые привели или, по его оценке, могут привести к незаконному раскрытию защищаемой информации или неоказанию услуг, связанных с получением или предоставлением защищаемой информации, предусмотренной пунктом 1 статьи 33.11 Федерального закона от 27 ноября 1992 года N 4015-1, а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при соблюдении следующих требований.

По каждому инциденту защиты информации оператор АИС страхования должен осуществлять регистрацию:

защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;

сведений, позволяющих выявить причину возникновения инцидента защиты информации;

результата реагирования на инцидент защиты информации.

12. Оператор АИС страхования должен осуществлять информирование Банка России:

о выявленных инцидентах защиты информации, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором АИС страхования или Банком России инцидент защиты информации;

о принадлежащих оператору АИС страхования и (или) администрируемых в его интересах сайтах в сети "Интернет", которые используются оператором АИС страхования для осуществления своей деятельности;

о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Оператор АИС страхования должен предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия оператора АИС страхования с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России оператор АИС страхования должен предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".

13. Оператор АИС страхования должен:

хранить защищаемую информацию, данные, подлежащие регистрации, указанные в пункте 10 настоящего Положения, и информацию об инцидентах защиты информации;

обеспечивать целостность и доступность защищаемой информации, данных, подлежащих регистрации, указанных в пункте 10 настоящего Положения, и информации об инцидентах защиты информации в течение пяти лет с даты ее формирования оператором АИС страхования (даты поступления в АИС страхования), в случае если законодательством Российской Федерации, регулирующим деятельность оператора АИС страхования, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность оператора АИС страхования.

14. Настоящее Положение вступает в силу по истечении 10 десяти дней после дня его официального опубликования.

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Пояснительная записка к проекту Положения Банка России "О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования"

Банк России разработал проект положения "О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования" (далее - проект).

Проект разработан в целях реализации предоставленной Банку России подпунктом 5 пункта 7 статьи 33.10 Закона Российской Федерации от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Закона Российской Федерации N 4015-1) компетенции на установление требований к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования (далее - требования) для оператора автоматизированной информационной системы страхования (далее соответственно - оператор АИС Страхования, АИС Страхования).

При подготовке проекта использовались механизмы (методологические подходы), аналогичные уже реализованным в Положении Банка России от 17.10.2022 N 808-П "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства", Положении Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

При подготовке проекта использовались практика применения Положения Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Проект устанавливает следующие требования:

перечень защищаемой информации;

к сохранности и защите информации, полученной в процессе осуществления возложенных на оператора АИС страхования функций;

к обеспечению контроля целостности электронных сообщений и подтверждения составления электронных сообщений;

к технологиям обработки защищаемой информации, применяемой оператором АИС страхования на всех технологических участках, также технологическом участке при идентификации, аутентификации и авторизации пользователей АИС, при формировании (подготовке), технологическом участке при передаче и приеме электронных сообщений, составляемых при взаимодействии оператора АИС страхования с пользователями АИС страхования, технологическом участке при удостоверении оператором АСИ страхования права пользователя АИС страхования на совершение действий с защищаемой информацией;

к регистрации инцидентов защиты информации, а также представлению сведений о выявленных инцидентах защиты информации;

к информированию Банка России о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором АИС страхования или Банком России инцидент защиты информации.

Ответственное структурное подразделение Банка России по проекту - Департамент информационной безопасности.

Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 12 апреля 2023 года по адресам: nikitinavl@cbr.ru и polivanovave@cbr.ru.