Положение 808-П

Положение 808-П

«О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства»

Описание Положения 808-П

Объекты:

  • Лица, оказывающие профессиональные услуги на финансовом рынке.
  • Бюро кредитных историй (БКИ).
  • Кредитные рейтинговые агентства (КРА).

Самое главное:

808-П устанавливает обязательные требования к защите информации для указанных категорий организаций в целях противодействия осуществлению незаконных финансовых операций, а также для обеспечения сохранности конфиденциальной информации при ее обработке, хранении и передаче.

Используемые термины и сокращения:

БКИ – бюро кредитных историй.

Вредоносные коды – программный код, приводящий к нарушению штатного функционирования средств вычислительной техники.

Защищаемая информация (для БКИ) – информация, содержащаяся в автоматизированных системах, используемых бюро кредитных историй, при ее обработке, хранении и передаче сертифицированными средствами защиты.

Защищаемая информация, полученная в процессе деятельности кредитного рейтингового агентства (для КРА) – информация, полученная КРА в процессе деятельности:

  • информация, полученная кредитным рейтинговым агентством в процессе своей деятельности, включая договоры кредитного рейтингового агентства, протоколы (записи) встреч представителей кредитного рейтингового агентства с представителями рейтингуемых лиц, переписку представителей кредитного рейтингового агентства с рейтингуемыми лицами, отчетность и иную информацию рейтингуемых лиц, представленную кредитному рейтинговому агентству, сведения (сообщения, данные) независимо от формы их представления, полученные кредитным рейтинговым агентством от рейтингуемого лица;
  • информация, полученная кредитным рейтинговым агентством в процессе рейтинговой деятельности, включая информацию о рейтинговых действиях до раскрытия такой информации в соответствии со статьей 14 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации», информацию, связанную с подготовкой и осуществлением рейтинговых действий, осуществляемых группой рейтинговых аналитиков, включая ее председателя, принимающей решение о рейтинговых действиях (далее - рейтинговый комитет), в том числе материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты, материалы заседаний рейтинговых комитетов;
  • информация ограниченного доступа, определяемой в качестве таковой в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" 1 и (или) с договором с рейтингуемым лицом.

Инциденты защиты информации (для БКИ) – события, которые привели или могут привести к неоказанию услуг БКИ, связанные с нарушением требований к обеспечению защиты информации, включенные в перечень типов инцидентов, согласованный с ГосСОПКА.

Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемое субъектами в своей деятельности.

СКЗИ – средства криптографической защиты информации.

Субъекты взаимодействия (для БКИ) – пользователи кредитных историй, источники формирования кредитных историй, субъекты кредитных историй.

Технологические участки (для БКИ) – участки обработки защищаемой информации:

  • идентификация, аутентификация и авторизация субъектов взаимодействия при совершении действий в целях обработки, хранения и передачи защищаемой информации;
  • формирование, передача и прием электронных сообщений;
  • удостоверение права субъектов взаимодействия на совершение действий с защищаемой информацией;
  • осуществление действий с кредитными историями и учет их результатов;
  • хранение электронных сообщений и информации о действиях с защищаемой информацией.

КРА – кредитное рейтинговое агентство.

Электронные сообщения (для БКИ) – электронные сообщения, содержащие защищаемую информацию.

Требования к обеспечению БКИ защиты информации

Информация, которую необходимо защищать:

Информация, которая подлежит защите БКИ:

  • информация, указанная в статье 4 Федерального закона от 30 декабря 2004 года № 218-ФЗ «О кредитных историях», содержащаяся в автоматизированных системах, используемых БКИ, при ее обработке, хранении и передаче сертифицированными средствами защиты.

Если защищаемая информация содержит персональные данные, бюро кредитных историй должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».

При обеспечении безопасности объектов информационной инфраструктуры, эксплуатация и использование которых осуществляются БКИ в рамках своей деятельности и которые являются объектами критической информационной инфраструктуры РФ, применяются в том числе требования в области обеспечения безопасности критической информационной инфраструктуры в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Взаимодействие с субъектами взаимодействия:

БКИ должны:

Формировать для субъектов взаимодействия рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации;

Доводить до субъектов взаимодействия следующую информацию:

  • о возможных рисках получения несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи;
  • о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) субъектом взаимодействия устройства, с использованием которого им совершались действия в целях обработки, хранения и передачи защищаемой информации, по контролю конфигурации устройства, с использованием которого субъектом взаимодействия совершаются действия в целях обработки, хранения и передачи защищаемой информации, и своевременному обнаружению воздействия вредоносных кодов.

Обеспечение тестирования на проникновение и анализ уязвимостей:

БКИ должны осуществлять ежегодное тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию, субъектов кредитных историй в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», а также на официальном сайте бюро кредитных историй в сети «Интернет».

БКИ должны проводить анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Требования к используемому ПО:

БКИ должны использовать для обработки, хранения и передачи защищаемой информации прикладное программное обеспечение автоматизированных систем и приложений, распространяемых бюро кредитных историй среди субъектов кредитных историй, прошедших сертификацию в системе сертификации ФСТЭК, или оценку соответствия по требованиям к оценочному уровню доверия не ниже чем ОУД 4.

Для иного прикладного программного обеспечения и приложений БКИ должны самостоятельно определять необходимость проведения сертификации или оценки соответствия.

Оценка соответствия в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Обеспечение целостности электронных сообщений:

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом БКИ должны обеспечивать подписание электронных сообщений.

При передаче электронных сообщений между:

  • бюро кредитных историй и источниками формирования кредитных историй;
  • бюро кредитных историй и пользователями кредитных историй;
  • бюро кредитных историй и поднадзорными Банку России организациями, с которыми у бюро кредитных историй заключен договор в соответствии с частью 3 статьи 9 Федерального закона «О кредитных историях»;
  • бюро кредитных историй и субъектами кредитных историй;
  • бюро кредитных историй между собой;
  • бюро кредитных историй и Банком России,

БКИ должны обеспечить использование усиленной электронной подписи в соответствии с нормативными актами Банка России, регулирующими деятельность бюро кредитных историй.

При передаче в БКИ электронных сообщений от субъектов кредитных историй БКИ может обеспечить использование простой электронной подписи.

В случае использования БКИ усиленной неквалифицированной электронной подписи для ее создания и проверки должны применяться СКЗИ и средства удостоверяющего центра, имеющие сертификаты соответствия ФСБ.

Требования к технологическим мерам защиты (для БКИ):

БКИ должны обеспечивать на всех технологических участках:

  • конфиденциальность, целостность и достоверность защищаемой информации;
  • регламентацию, реализацию и контроль технологии обработки защищаемой информации;
  • регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.

Требования, связанные с технологией обработки защищаемой информации:

Технология обработки защищаемой информации, применяемая БКИ должна обеспечивать:

Технологический участок Требование к защите информации
1. Все технологические участки Обеспечение целостности и неизменности защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия.
2. Идентификация, аутентификация и авторизация субъектов кредитных историй Выполнение в случае использования единой системы идентификации и аутентификации соблюдение требований к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 210
3. Формирование (подготовка), передача и прием электронных сообщений Проверка правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль).

Структурный контроль электронных сообщений.

Защита защищаемой информации при ее передаче по каналам связи.
4. Удостоверение права субъектов взаимодействия на совершение действий с защищаемой информацией Получение электронных сообщений субъекта взаимодействия, подписанных субъектом взаимодействия способом, указанным в пункте 2.5 Положения 808-П.

Обеспечение регистрации событий:

Действия, подлежащие регистрации
Регистрация результатов совершения действий, связанных с осуществлением доступа к защищаемой информации при:
1. Идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий с кредитными историями;
2. Приеме (передаче) электронных сообщений при взаимодействии бюро кредитных историй с субъектами взаимодействия и другими бюро кредитных историй, в том числе для удостоверения права субъектов взаимодействия осуществлять действия с защищаемой информацией и для учета результатов осуществления действий с кредитными историями;
3. Осуществления доступа работников бюро кредитных историй к защищаемой информации и осуществления субъектами взаимодействия действий с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрация данных о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения
4. Дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;
5. Присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
6. Код, соответствующий технологическому участку;
7. Результат совершения работником действия с защищаемой информацией (успешно или неуспешно);
8. Информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.
Регистрации данных о действиях, выполняемых субъектами взаимодействия с использованием автоматизированных систем, программного обеспечения
9. Дата (день, месяц, год) и время (часы, минуты, секунды) совершения субъектом взаимодействия действий с защищаемой информацией;
10. Присвоенный субъекту взаимодействия идентификатор, позволяющий установить субъект взаимодействия в автоматизированной системе, программном обеспечении;
11. Код, соответствующий технологическому участку;
12. Результат совершения субъектом взаимодействия действия с защищаемой информацией (успешно или неуспешно);
13. Информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения субъектом взаимодействия действий с защищаемой информацией.

Требования к управлению инцидентами и информированию:

БКИ обязаны регистрировать инциденты защиты информации (фиксируя, какая информация была затронута и на каком технологическом участке, а также результаты реагирования на инцидент) и информировать Банк России:

  • о выявленных инцидентах и мерах реагирования;
  • о принадлежащих БКИ сайтах в сети «Интернет»;
  • о планируемых публичных мероприятиях в отношении инцидентов (не позднее одного рабочего дня до мероприятия).

БКИ должны хранить защищаемую информацию, журналы регистрации действий и информацию об инцидентах не менее 5 лет с даты ее формирования (или иного срока, установленного законом).

Требования к обеспечению КРА защиты информации

Информация, которую необходимо защищать:

Информация, указанная в определении защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства в рамках настоящего Описания.

Обеспечение сохранности защищаемой информации:

В целях обеспечения сохранности защищаемой информации КРА должно:

  • предупреждать неправомерный доступ, уничтожение, модифицирование, блокирование, копирование, представление, распространение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства;
  • обеспечивать полноту, точность и актуальность защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства;
  • не допускать воздействие на объекты информационной инфраструктуры, в том числе на официальный сайт кредитного рейтингового агентства в сети «Интернет», в результате которого нарушается их функционирование;
  • хранить защищаемую информацию, полученную в процессе деятельности кредитного рейтингового агентства, на территории Российской Федерации и обеспечивать возможность ее восстановления в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, в том числе создавать ее резервные копии в электронном виде с периодичностью, установленной кредитным рейтинговым агентством, но не реже одного раза в семь дней;
  • размещать резервные копии защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в местах, отличных от мест размещения ее носителей;
  • обеспечивать сохранность защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, при взаимодействии с третьими лицами, которым предоставляется к ней доступ;
  • разработать внутренние документы, регламентирующие порядок обеспечения сохранности защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, определяющие ее состав, а также состав лиц, ответственных за ее хранение и уничтожение, место и форму ее хранения, порядок работы с ней, включающий следующие процедуры:
  • реализовать документирование защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в том числе в ходе подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;
  • обеспечить хранение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в течение сроков, установленных Федеральным законом от 22 октября 2004 года № 125-ФЗ "Об архивном деле в Российской Федерации", но не менее пяти лет;
  • обеспечить уничтожение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства.

Некоторые возможные риски несоблюдения требований 808-П:

В самом тексте Положения 808-П прямые санкции не указаны. Однако, учитывая обязательный характер документа, установленный Банком России, несоблюдение его требований может повлечь следующие риски:

Меры воздействия со стороны Банка России: предписания об устранении нарушений, ограничения на осуществление операций, взыскания.

Административная ответственность по соответствующим статьям КоАП РФ, например:

  • Ст. 13.11 КоАП РФ – за нарушение законодательства о персональных данных (если нарушены требования по защите ПДн);
  • Ст. 13.12 КоАП РФ – за нарушение требований к обеспечению безопасности информации;
  • Ст. 14.1 КоАП РФ – за осуществление деятельности с нарушениями лицензионных требований.

Репутационные риски и утрата доверия клиентов и контрагентов.

Риски, связанные с безопасностью информации:

  • Утечки;
  • Несанкционированный доступ;
  • Финансовые потери;
  • Операционные сбои.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией