Проект Указания Банка России “О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства” (по состоянию на 25.04.2016)
Настоящее Указание на основании части 13 статьи 9 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (Собрание законодательства Российской Федерации, 2015, № 29, ст. 4348) (далее - Федеральный закон) устанавливает требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.
1. Под информацией, полученной в процессе деятельности кредитного рейтингового агентства (далее - информация), в целях настоящего Указания понимаются сведения (сообщения, данные) независимо от формы их представления, полученные кредитным рейтинговым агентством от рейтингуемого лица или его представителя, а также созданные кредитным рейтинговым агентством в процессе рейтинговой деятельности, в том числе:
финансовая, управленческая, иная отчетность рейтингуемого лица, его стратегии и бизнес-планы, представленные кредитному рейтинговому агентству;
договоры с рейтингуемыми лицами;
материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты;
информация о рейтинговых действиях, в том числе материалы заседаний рейтинговых комитетов;
протоколы (записи) встреч представителей кредитного рейтингового агентства с представителями рейтингуемых лиц, переписку представителей кредитного рейтингового агентства с рейтингуемыми лицами.
2. В целях обеспечения сохранности и защиты информации кредитное рейтинговое агентство должно принимать меры, учитывающие особенности всех типов носителей информации, направленные на:
2.1. Предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации, а также иных неправомерных действий в отношении информации, включая нарушение конфиденциальности информации ограниченного доступа, определяемой в качестве таковой в соответствии с условиями договора с рейтингуемым лицом и (или) в соответствии с законодательством Российской Федерации, иными нормативными правовыми актами Российской Федерации, в том числе распространение информации о рейтинговых действиях до раскрытия такой информации в соответствии с Федеральным законом.
2.2. Обеспечение полноты, точности и актуальности информации, представляемой в Банк России в соответствии с требованиями Федерального закона, нормативных актов Банка России.
2.3. Обеспечение полноты, точности и актуальности информации, используемой кредитным рейтинговым агентством, его работниками, органами и структурными подразделениями при проведении контрольных процедур, в частности при проверке правильности применения методологии, соблюдения требований к проведению заседаний рейтинговых комитетов, управлению конфликтами интересов, а также обеспечении непрерывности рейтинговой деятельности.
3. Кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации и определяющие в том числе:
3.1. Состав информации.
3.2. Порядок работы с информацией, содержащий процедуры:
документирования информации, в том числе в рамках подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;
хранения информации, в том числе сроки хранения информации с учетом требований законодательства Российской Федерации к срокам хранения документов, но не менее пяти лет, места и формы хранения информации, порядок ее уничтожения, а также состав лиц, ответственных за хранение и уничтожение информации;
предоставления доступа к информации и объектам инфраструктуры, обрабатывающим информацию, работникам кредитного рейтингового агентства и третьим лицам, в том числе состав лиц, имеющих такой доступ, и права доступа каждого из этих лиц;
регистрации действий, связанных с назначением и распределением прав доступа к информации и объектам инфраструктуры, обрабатывающим информацию;
идентификации и авторизации лиц, регистрации действий при осуществлении доступа к информации и объектам инфраструктуры, обрабатывающим информацию;
применения способов, методов и средств защиты информации, их описание.
Кредитным рейтинговым агентством могут быть дополнительно установлены иные процедуры работы с информацией.
3.3. Распределение полномочий и ответственности за выполнение задач в рамках деятельности по обеспечению сохранности и защиты информации.
3.4. Порядок осуществления мониторинга и контроля обеспечения сохранности и защиты информации, включая периодические проверки используемого программного обеспечения, требования к содержанию отчетов о результатах таких проверок и мониторинга, порядок и периодичность их представления органам управления кредитного рейтингового агентства и рассмотрения указанными органами.
4. Кредитное рейтинговое агентство должно создать структурное подразделение (назначить работника), в сферу ответственности которого входит обеспечение сохранности и защиты информации, получение сведений об инцидентах информационной безопасности, в том числе от работников кредитного рейтингового агентства, проведение анализа рисков нарушения требований к сохранности и защите информации, организация управления такими рисками и подготовка соответствующих отчетов не реже одного раза в год. Такое структурное подразделение (работник) взаимодействует с органами внутреннего контроля и отчитывается перед органами управления кредитного рейтингового агентства.
5. Организационные и технические меры кредитного рейтингового агентства по сохранности информации должны предусматривать:
обеспечение возможности восстановления информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
создание резервных копий информации в электронном виде и их хранение.
6. Организационные и технические меры кредитного рейтингового агентства по защите информации должны предусматривать:
обеспечение защиты информации при управлении доступом и регистрацией;
обеспечение защиты информации на этапах жизненного цикла автоматизированных систем обработки информации;
обеспечение защиты информации средствами антивирусной защиты;
обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;
обеспечение защиты информации при назначении и распределении прав доступа к информации;
документирование деятельности по обеспечению защиты информации;
обнаружение инцидентов информационной безопасности и реагирование на них;
мониторинг и анализ обеспечения защиты информации;
обеспечение непрерывности деятельности и возможности восстановления информации;
проведение самостоятельной или с привлечением сторонней организации оценки обеспечения защиты информации не реже одного раза в два года, а также по требованию Банка России;
предоставление результатов оценки соответствия в Банк России в течение месяца с момента окончания ее проведения.
Проведение оценки соответствия с привлечением сторонней организации выполняется кредитным рейтинговым агентством по решению Банка России.
Принятие организационно-технических мер по защите информации осуществляется на основе требований документов, разрабатываемых Банком России в рамках законодательства Российской Федерации о техническом регулировании.
7. Кредитное рейтинговое агентство обеспечивает:
совершенствование методов и средств обеспечения сохранности и защиты информации;
недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
включение в перечень обязанностей своих работников, участвующих в обработке информации, требования о соблюдении порядка работы с информацией, обеспечении ее сохранности и защиты.
исполнение требований к сохранности и защите информации при взаимодействии с третьими лицами, отношения с которыми оформляются в гражданско-правовом порядке, и которые в рамках этих отношений могут получить доступ к информации.
8. Кредитным рейтинговым агентством могут быть дополнительно реализованы иные меры, направленные на сохранность и защиту информации.
9. Кредитное рейтинговое агентство должно обеспечивать хранение информации, подтверждающей принятие мер по сохранности и защите информации.
10. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
Председатель Центрального банка Российской Федерации |
Пояснительная записка
к проекту Указания Банка России «О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства»
Банк России разработал проект указания Банка России «О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства» (далее - проект указания) на основании части 13 статьи 9 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
Проектом указания определяются цели обеспечения сохранности и защиты информации полученной в процессе деятельности кредитного рейтингового агентства, требования к кредитным рейтинговым агентством по разработке внутренних документов, регламентирующих деятельность по обеспечению сохранности и защиты информации, требования к организационным и техническим мерам.
Действие нормативного акта Банка России будет распространяться на кредитные рейтинговые агентства.
Планируемая дата вступления в силу - июль 2016 года.
Предложения и замечания по документу принимаются с 25 апреля 2016 года по 8 мая 2016 года.
Обзор документа
Разработан проект требований к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства. Действие указанных требований будет распространяться на кредитные рейтинговые агентства.
Проектом определяются цели обеспечения сохранности и защиты информации, полученной в процессе деятельности такого агентства, требования по разработке внутренних документов, регламентирующие деятельность по обеспечению сохранности и защиты информации, требования к организационным и техническим мерам.
В частности, проектом устанавливается, что под информацией, полученной в процессе деятельности кредитного рейтингового агентства, понимаются сведения (сообщения, данные) независимо от формы их представления, полученные агентством от рейтингуемого лица или его представителя, а также созданные таким агентством в процессе рейтинговой деятельности. В числе такой информации финансовая, управленческая, иная отчетность рейтингуемого лица, его стратегии и бизнес-планы; договоры с рейтингуемыми лицами; материалы анализа, проводимого рейтинговыми аналитиками и тд.
В целях обеспечения сохранности и защиты информации кредитное рейтинговое агентство должно будет принимать меры, учитывающие особенности всех типов носителей информации. Они должны быть направлены в т. ч. на предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации; обеспечение полноты, точности и актуальности информации.
Также планируется установить, что кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации. Должно быть создано структурное подразделение, в сферу ответственности которого входит обеспечение сохранности и защиты информации, получение сведений об инцидентах информационной безопасности.
Согласно проекту кредитное рейтинговое агентство должно обеспечивать хранение информации, подтверждающей принятие мер по сохранности и защите информации.