Положение 808-П
«О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства»
Действующая редакция
с 17 октября 2022
Описание Положения 808-П
Объекты:
- Лица, оказывающие профессиональные услуги на финансовом рынке.
- Бюро кредитных историй (БКИ).
- Кредитные рейтинговые агентства (КРА).
Самое главное:
808-П устанавливает обязательные требования к защите информации для указанных категорий организаций в целях противодействия осуществлению незаконных финансовых операций, а также для обеспечения сохранности конфиденциальной информации при ее обработке, хранении и передаче.
Используемые термины и сокращения:
БКИ – бюро кредитных историй.
Вредоносные коды – программный код, приводящий к нарушению штатного функционирования средств вычислительной техники.
Защищаемая информация (для БКИ) – информация, содержащаяся в автоматизированных системах, используемых бюро кредитных историй, при ее обработке, хранении и передаче сертифицированными средствами защиты.
Защищаемая информация, полученная в процессе деятельности кредитного рейтингового агентства (для КРА) – информация, полученная КРА в процессе деятельности:
- информация, полученная кредитным рейтинговым агентством в процессе своей деятельности, включая договоры кредитного рейтингового агентства, протоколы (записи) встреч представителей кредитного рейтингового агентства с представителями рейтингуемых лиц, переписку представителей кредитного рейтингового агентства с рейтингуемыми лицами, отчетность и иную информацию рейтингуемых лиц, представленную кредитному рейтинговому агентству, сведения (сообщения, данные) независимо от формы их представления, полученные кредитным рейтинговым агентством от рейтингуемого лица;
- информация, полученная кредитным рейтинговым агентством в процессе рейтинговой деятельности, включая информацию о рейтинговых действиях до раскрытия такой информации в соответствии со статьей 14 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации», информацию, связанную с подготовкой и осуществлением рейтинговых действий, осуществляемых группой рейтинговых аналитиков, включая ее председателя, принимающей решение о рейтинговых действиях (далее - рейтинговый комитет), в том числе материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты, материалы заседаний рейтинговых комитетов;
- информация ограниченного доступа, определяемой в качестве таковой в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" 1 и (или) с договором с рейтингуемым лицом.
Инциденты защиты информации (для БКИ) – события, которые привели или могут привести к неоказанию услуг БКИ, связанные с нарушением требований к обеспечению защиты информации, включенные в перечень типов инцидентов, согласованный с ГосСОПКА.
Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, используемое субъектами в своей деятельности.
СКЗИ – средства криптографической защиты информации.
Субъекты взаимодействия (для БКИ) – пользователи кредитных историй, источники формирования кредитных историй, субъекты кредитных историй.
Технологические участки (для БКИ) – участки обработки защищаемой информации:
- идентификация, аутентификация и авторизация субъектов взаимодействия при совершении действий в целях обработки, хранения и передачи защищаемой информации;
- формирование, передача и прием электронных сообщений;
- удостоверение права субъектов взаимодействия на совершение действий с защищаемой информацией;
- осуществление действий с кредитными историями и учет их результатов;
- хранение электронных сообщений и информации о действиях с защищаемой информацией.
КРА – кредитное рейтинговое агентство.
Электронные сообщения (для БКИ) – электронные сообщения, содержащие защищаемую информацию.
Требования к обеспечению БКИ защиты информации
Информация, которую необходимо защищать:
Информация, которая подлежит защите БКИ:
- информация, указанная в статье 4 Федерального закона от 30 декабря 2004 года № 218-ФЗ «О кредитных историях», содержащаяся в автоматизированных системах, используемых БКИ, при ее обработке, хранении и передаче сертифицированными средствами защиты.
Если защищаемая информация содержит персональные данные, бюро кредитных историй должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».
При обеспечении безопасности объектов информационной инфраструктуры, эксплуатация и использование которых осуществляются БКИ в рамках своей деятельности и которые являются объектами критической информационной инфраструктуры РФ, применяются в том числе требования в области обеспечения безопасности критической информационной инфраструктуры в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Взаимодействие с субъектами взаимодействия:
БКИ должны:
Формировать для субъектов взаимодействия рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации;
Доводить до субъектов взаимодействия следующую информацию:
- о возможных рисках получения несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи;
- о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) субъектом взаимодействия устройства, с использованием которого им совершались действия в целях обработки, хранения и передачи защищаемой информации, по контролю конфигурации устройства, с использованием которого субъектом взаимодействия совершаются действия в целях обработки, хранения и передачи защищаемой информации, и своевременному обнаружению воздействия вредоносных кодов.
Обеспечение тестирования на проникновение и анализ уязвимостей:
БКИ должны осуществлять ежегодное тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию, субъектов кредитных историй в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», а также на официальном сайте бюро кредитных историй в сети «Интернет».
БКИ должны проводить анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Требования к используемому ПО:
БКИ должны использовать для обработки, хранения и передачи защищаемой информации прикладное программное обеспечение автоматизированных систем и приложений, распространяемых бюро кредитных историй среди субъектов кредитных историй, прошедших сертификацию в системе сертификации ФСТЭК, или оценку соответствия по требованиям к оценочному уровню доверия не ниже чем ОУД 4.
Для иного прикладного программного обеспечения и приложений БКИ должны самостоятельно определять необходимость проведения сертификации или оценки соответствия.
Оценка соответствия в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Обеспечение целостности электронных сообщений:
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом БКИ должны обеспечивать подписание электронных сообщений.
При передаче электронных сообщений между:
- бюро кредитных историй и источниками формирования кредитных историй;
- бюро кредитных историй и пользователями кредитных историй;
- бюро кредитных историй и поднадзорными Банку России организациями, с которыми у бюро кредитных историй заключен договор в соответствии с частью 3 статьи 9 Федерального закона «О кредитных историях»;
- бюро кредитных историй и субъектами кредитных историй;
- бюро кредитных историй между собой;
- бюро кредитных историй и Банком России,
БКИ должны обеспечить использование усиленной электронной подписи в соответствии с нормативными актами Банка России, регулирующими деятельность бюро кредитных историй.
При передаче в БКИ электронных сообщений от субъектов кредитных историй БКИ может обеспечить использование простой электронной подписи.
В случае использования БКИ усиленной неквалифицированной электронной подписи для ее создания и проверки должны применяться СКЗИ и средства удостоверяющего центра, имеющие сертификаты соответствия ФСБ.
Требования к технологическим мерам защиты (для БКИ):
БКИ должны обеспечивать на всех технологических участках:
- конфиденциальность, целостность и достоверность защищаемой информации;
- регламентацию, реализацию и контроль технологии обработки защищаемой информации;
- регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.
Требования, связанные с технологией обработки защищаемой информации:
Технология обработки защищаемой информации, применяемая БКИ должна обеспечивать:
| № | Технологический участок | Требование к защите информации |
|---|---|---|
| 1. | Все технологические участки | Обеспечение целостности и неизменности защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия. |
| 2. | Идентификация, аутентификация и авторизация субъектов кредитных историй | Выполнение в случае использования единой системы идентификации и аутентификации соблюдение требований к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года № 210 |
| 3. | Формирование (подготовка), передача и прием электронных сообщений | Проверка правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль). Структурный контроль электронных сообщений. Защита защищаемой информации при ее передаче по каналам связи. |
| 4. | Удостоверение права субъектов взаимодействия на совершение действий с защищаемой информацией | Получение электронных сообщений субъекта взаимодействия, подписанных субъектом взаимодействия способом, указанным в пункте 2.5 Положения 808-П. |
Обеспечение регистрации событий:
| № | Действия, подлежащие регистрации |
|---|---|
| Регистрация результатов совершения действий, связанных с осуществлением доступа к защищаемой информации при: | |
| 1. | Идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий с кредитными историями; |
| 2. | Приеме (передаче) электронных сообщений при взаимодействии бюро кредитных историй с субъектами взаимодействия и другими бюро кредитных историй, в том числе для удостоверения права субъектов взаимодействия осуществлять действия с защищаемой информацией и для учета результатов осуществления действий с кредитными историями; |
| 3. | Осуществления доступа работников бюро кредитных историй к защищаемой информации и осуществления субъектами взаимодействия действий с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения. |
| Регистрация данных о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения | |
| 4. | Дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией; |
| 5. | Присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении; |
| 6. | Код, соответствующий технологическому участку; |
| 7. | Результат совершения работником действия с защищаемой информацией (успешно или неуспешно); |
| 8. | Информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией. |
| Регистрации данных о действиях, выполняемых субъектами взаимодействия с использованием автоматизированных систем, программного обеспечения | |
| 9. | Дата (день, месяц, год) и время (часы, минуты, секунды) совершения субъектом взаимодействия действий с защищаемой информацией; |
| 10. | Присвоенный субъекту взаимодействия идентификатор, позволяющий установить субъект взаимодействия в автоматизированной системе, программном обеспечении; |
| 11. | Код, соответствующий технологическому участку; |
| 12. | Результат совершения субъектом взаимодействия действия с защищаемой информацией (успешно или неуспешно); |
| 13. | Информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения субъектом взаимодействия действий с защищаемой информацией. |
Требования к управлению инцидентами и информированию:
БКИ обязаны регистрировать инциденты защиты информации (фиксируя, какая информация была затронута и на каком технологическом участке, а также результаты реагирования на инцидент) и информировать Банк России:
- о выявленных инцидентах и мерах реагирования;
- о принадлежащих БКИ сайтах в сети «Интернет»;
- о планируемых публичных мероприятиях в отношении инцидентов (не позднее одного рабочего дня до мероприятия).
БКИ должны хранить защищаемую информацию, журналы регистрации действий и информацию об инцидентах не менее 5 лет с даты ее формирования (или иного срока, установленного законом).
Требования к обеспечению КРА защиты информации
Информация, которую необходимо защищать:
Информация, указанная в определении защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства в рамках настоящего Описания.
Обеспечение сохранности защищаемой информации:
В целях обеспечения сохранности защищаемой информации КРА должно:
- предупреждать неправомерный доступ, уничтожение, модифицирование, блокирование, копирование, представление, распространение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства;
- обеспечивать полноту, точность и актуальность защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства;
- не допускать воздействие на объекты информационной инфраструктуры, в том числе на официальный сайт кредитного рейтингового агентства в сети «Интернет», в результате которого нарушается их функционирование;
- хранить защищаемую информацию, полученную в процессе деятельности кредитного рейтингового агентства, на территории Российской Федерации и обеспечивать возможность ее восстановления в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, в том числе создавать ее резервные копии в электронном виде с периодичностью, установленной кредитным рейтинговым агентством, но не реже одного раза в семь дней;
- размещать резервные копии защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в местах, отличных от мест размещения ее носителей;
- обеспечивать сохранность защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, при взаимодействии с третьими лицами, которым предоставляется к ней доступ;
- разработать внутренние документы, регламентирующие порядок обеспечения сохранности защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, определяющие ее состав, а также состав лиц, ответственных за ее хранение и уничтожение, место и форму ее хранения, порядок работы с ней, включающий следующие процедуры:
- реализовать документирование защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в том числе в ходе подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;
- обеспечить хранение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства, в течение сроков, установленных Федеральным законом от 22 октября 2004 года № 125-ФЗ "Об архивном деле в Российской Федерации", но не менее пяти лет;
- обеспечить уничтожение защищаемой информации, полученной в процессе деятельности кредитного рейтингового агентства.
Некоторые возможные риски несоблюдения требований 808-П:
В самом тексте Положения 808-П прямые санкции не указаны. Однако, учитывая обязательный характер документа, установленный Банком России, несоблюдение его требований может повлечь следующие риски:
Меры воздействия со стороны Банка России: предписания об устранении нарушений, ограничения на осуществление операций, взыскания.
Административная ответственность по соответствующим статьям КоАП РФ, например:
- Ст. 13.11 КоАП РФ – за нарушение законодательства о персональных данных (если нарушены требования по защите ПДн);
- Ст. 13.12 КоАП РФ – за нарушение требований к обеспечению безопасности информации;
- Ст. 14.1 КоАП РФ – за осуществление деятельности с нарушениями лицензионных требований.
Репутационные риски и утрата доверия клиентов и контрагентов.
Риски, связанные с безопасностью информации:
- Утечки;
- Несанкционированный доступ;
- Финансовые потери;
- Операционные сбои.
