пятница, 15 июля 2016 г.

Требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства


Банка России своим Указанием от 20 мая 2016 года № 4023-У установил «Требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства», вступившие в силу 27 июня 2016 года.

Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность и защиту информации, полученной в процессе своей деятельности, включая сведения (независимо от формы их представления), полученные им от рейтингуемого лица, а также созданные в процессе своей деятельности (п.1).

В целях обеспечения сохранности и защиты данных агентство осуществляет мероприятия (включая организационные и технические), учитывающие особенности всех типов носителей информации (п.2).

Мероприятия должны быть направлены на (п.3):
  • Предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации, в том числе о рейтинговых действиях до раскрытия такой информации в соответствии с ФЗ, нарушения конфиденциальности информации ограниченного доступа, определяемой в качестве таковой в соответствии с договором с рейтингуемым лицом и (или) в соответствии с законодательством РФ, иных неправомерных действий в отношении информации;

  • Обеспечение полноты, точности и актуальности информации.
Кредитное рейтинговое агентство при осуществлении мероприятий по обеспечению сохранности и защиты информации принимает организационные и технические меры, в том числе (п.4):
  • Разработку внутренних документов, регламентирующих порядок обеспечения сохранности и защиты информации.

  • Меры по сохранности информации, которые должны обеспечивать ее хранение на территории РФ и предусматривать возможность ее восстановления в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, в том числе путем создания резервных копий в электронном виде с периодичностью, установленной кредитным рейтинговым агентством, но не реже одного раза в семь дней;

  • Меры по сохранности информации должны предусматривать размещение резервных копий в местах, отличных от мест размещения носителей информации;

  • Меры по защите информации;

  • Меры по недопущению воздействия на объекты информационной инфраструктуры, в результате которого нарушается их функционирование;

  • Меры по обеспечению сохранности и защиты информации при взаимодействии с третьими лицами, которым предоставляется к ней доступ;

  • Меры по совершенствованию методов и средств обеспечения сохранности и защиты информации;

  • Меры по обеспечению документирования деятельности, направленной на обеспечение сохранности и защиты информации, и по ее хранению;

  • Иные дополнительные меры, направленные на сохранность и защиту информации.
Агентство должно создать структурное подразделение, ответственное за обеспечение сохранности и защиты информации, обеспечить контроль за его деятельностью (п.5).

Кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации и определяющие, в том числе (п.6):
  • Состав информации (6.1), включая:

    • Договоры кредитного рейтингового агентства;

    • Протоколы (записи) встреч представителей агентства с представителями рейтингуемых лиц;

    • Переписку представителей агентства с рейтингуемыми лицами;

    • Отчетность и иную информацию рейтингуемых лиц, представленную агентству;

    • Информацию, связанную с подготовкой и осуществлением рейтинговых действий, в том числе материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты;

    • Материалы заседаний рейтинговых комитетов.

  • Состав лиц, ответственных за хранение и уничтожение информации, место и форму ее хранения (п.6.2).

  • Порядок работы с информацией, содержащий процедуры (п.6.3):

    • Документирования информации, в том числе в ходе подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;

    • Хранения информации в течение срока, предусмотренного законодательством РФ, но не менее пяти лет, и ее уничтожения;

    • Предоставления доступа к информации и объектам информационной инфраструктуры работникам агентства и третьим лицам, в том числе установления состава лиц, имеющих право такого доступа, и прав доступа каждого из этих лиц;

    • Регистрации действий, связанных с предоставлением права доступа к информации и объектам информационной инфраструктуры;

    • Идентификации и авторизации лиц, имеющих право доступа к информации и объектам информационной инфраструктуры, регистрации действий указанных лиц в ходе работы с ней;

    • Применения способов, методов и средств защиты информации с описанием указанных способов, методов и средств ее защиты.

  • Порядок проведения мониторинга, периодических проверок мероприятий по сохранности и защите информации и объектов информационной инфраструктуры, требования к содержанию отчетов о результатах мониторинга и результатах проверки (далее - отчеты), порядок и периодичность представления отчетов контрольному органу, а также их рассмотрения контрольным органом (п.6.4).
Мой комментарий: Подход Банка России к установлению требований к обеспечению сохранности информации в подконтрольных ему организациях, как мне кажется, более правильный, чем тот, который в последнее время продвигал Росархив. Банк России не гоняется за мелочным регламентированием порядка хранения, он просто требует, чтобы организация в своих внутренних нормативных документах описала свой порядок работы.

Источник: Консультант плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=199715

Комментариев нет:

Отправить комментарий