Требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства

Банка России своим Указанием от 20 мая 2016 года № 4023-У установил «Требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства», вступившие в силу 27 июня 2016 года.

Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность и защиту информации, полученной в процессе своей деятельности, включая сведения (независимо от формы их представления), полученные им от рейтингуемого лица, а также созданные в процессе своей деятельности (п.1).

В целях обеспечения сохранности и защиты данных агентство осуществляет мероприятия (включая организационные и технические), учитывающие особенности всех типов носителей информации (п.2).

Мероприятия должны быть направлены на (п.3):

• Предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации, в том числе о рейтинговых действиях до раскрытия такой информации в соответствии с ФЗ, нарушения конфиденциальности информации ограниченного доступа, определяемой в качестве таковой в соответствии с договором с рейтингуемым лицом и (или) в соответствии с законодательством РФ, иных неправомерных действий в отношении информации;


• Обеспечение полноты, точности и актуальности информации.

Кредитное рейтинговое агентство при осуществлении мероприятий по обеспечению сохранности и защиты информации принимает организационные и технические меры, в том числе (п.4):

• Разработку внутренних документов, регламентирующих порядок обеспечения сохранности и защиты информации.


• Меры по сохранности информации, которые должны обеспечивать ее хранение на территории РФ и предусматривать возможность ее восстановления в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, в том числе путем создания резервных копий в электронном виде с периодичностью, установленной кредитным рейтинговым агентством, но не реже одного раза в семь дней;


• Меры по сохранности информации должны предусматривать размещение резервных копий в местах, отличных от мест размещения носителей информации;


• Меры по защите информации;


• Меры по недопущению воздействия на объекты информационной инфраструктуры, в результате которого нарушается их функционирование;


• Меры по обеспечению сохранности и защиты информации при взаимодействии с третьими лицами, которым предоставляется к ней доступ;


• Меры по совершенствованию методов и средств обеспечения сохранности и защиты информации;


• Меры по обеспечению документирования деятельности, направленной на обеспечение сохранности и защиты информации, и по ее хранению;


• Иные дополнительные меры, направленные на сохранность и защиту информации.

Агентство должно создать структурное подразделение, ответственное за обеспечение сохранности и защиты информации, обеспечить контроль за его деятельностью (п.5).

Кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации и определяющие, в том числе (п.6):

• Состав информации (6.1), включая:
  
  
  • Договоры кредитного рейтингового агентства;
  
  
  • Протоколы (записи) встреч представителей агентства с представителями рейтингуемых лиц;
  
  
  • Переписку представителей агентства с рейтингуемыми лицами;
  
  
  • Отчетность и иную информацию рейтингуемых лиц, представленную агентству;
  
  
  • Информацию, связанную с подготовкой и осуществлением рейтинговых действий, в том числе материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты;
  
  
  • Материалы заседаний рейтинговых комитетов.


• Состав лиц, ответственных за хранение и уничтожение информации, место и форму ее хранения (п.6.2).


• Порядок работы с информацией, содержащий процедуры (п.6.3):
  
  
  • Документирования информации, в том числе в ходе подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;
  
  
  • Хранения информации в течение срока, предусмотренного законодательством РФ, но не менее пяти лет, и ее уничтожения;
  
  
  • Предоставления доступа к информации и объектам информационной инфраструктуры работникам агентства и третьим лицам, в том числе установления состава лиц, имеющих право такого доступа, и прав доступа каждого из этих лиц;
  
  
  • Регистрации действий, связанных с предоставлением права доступа к информации и объектам информационной инфраструктуры;
  
  
  • Идентификации и авторизации лиц, имеющих право доступа к информации и объектам информационной инфраструктуры, регистрации действий указанных лиц в ходе работы с ней;
  
  
  • Применения способов, методов и средств защиты информации с описанием указанных способов, методов и средств ее защиты.


• Порядок проведения мониторинга, периодических проверок мероприятий по сохранности и защите информации и объектов информационной инфраструктуры, требования к содержанию отчетов о результатах мониторинга и результатах проверки (далее - отчеты), порядок и периодичность представления отчетов контрольному органу, а также их рассмотрения контрольным органом (п.6.4).

Мой комментарий: Подход Банка России к установлению требований к обеспечению сохранности информации в подконтрольных ему организациях, как мне кажется, более правильный, чем тот, который в последнее время продвигал Росархив. Банк России не гоняется за мелочным регламентированием порядка хранения, он просто требует, чтобы организация в своих внутренних нормативных документах описала свой порядок работы.

Источник: Консультант плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=199715