Глава 2. Требования к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты

2.1. Бюро кредитных историй должны осуществлять защиту информации, указанной в статье 4 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях"), содержащейся в автоматизированных системах, используемых бюро кредитных историй, при ее обработке, хранении и передаче сертифицированными средствами защиты, в том числе при взаимодействии бюро кредитных историй с пользователями кредитных историй, источниками формирования кредитных историй, субъектами кредитных историй (далее соответственно - защищаемая информация, субъекты взаимодействия).

В случае если защищаемая информация содержит персональные данные, бюро кредитных историй должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона "О персональных данных" <1>.

--------------------------------

<1> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2022, N 29, ст. 5233.

2.2. Бюро кредитных историй должны формировать для субъектов взаимодействия рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.

Бюро кредитных историй должны доводить до субъектов взаимодействия следующую информацию:

о возможных рисках получения несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи;

о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) субъектом взаимодействия устройства, с использованием которого им совершались действия в целях обработки, хранения и передачи защищаемой информации, по контролю конфигурации устройства, с использованием которого субъектом взаимодействия совершаются действия в целях обработки, хранения и передачи защищаемой информации, и своевременному обнаружению воздействия вредоносных кодов.

2.3. Бюро кредитных историй должны осуществлять ежегодное тестирование объектов информационной инфраструктуры, обрабатывающих защищаемую информацию при приеме электронных сообщений, содержащих защищаемую информацию (далее - электронные сообщения), субъектов кредитных историй, в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), а также на официальном сайте бюро кредитных историй в сети "Интернет" на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Бюро кредитных историй вправе установить во внутренних документах форму результатов ежегодного тестирования объектов информационной инфраструктуры.

2.4. Бюро кредитных историй должны использовать для обработки, хранения и передачи защищаемой информации прикладное программное обеспечение автоматизированных систем и приложений, распространяемых бюро кредитных историй среди субъектов кредитных историй для совершения действий в целях обработки, хранения и передачи защищаемой информации, прошедших сертификацию в системе сертификации федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст <1>.

--------------------------------

<12> М., ФГУП "Стандартинформ", 2014.

В отношении прикладного программного обеспечения и приложений, не указанных в абзаце первом настоящего пункта, бюро кредитных историй должны самостоятельно определять необходимость проведения сертификации или оценки соответствия.

По решению бюро кредитных историй оценка соответствия в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 <2>.

--------------------------------

<2> Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049.

2.5. Бюро кредитных историй должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом.

В целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на это лицом бюро кредитных историй должны использовать установленные нормативными актами Банка России, регулирующими деятельность бюро кредитных историй, виды усиленной электронной подписи при передаче электронных сообщений между:

бюро кредитных историй и источниками формирования кредитных историй;

бюро кредитных историй и пользователями кредитных историй;

бюро кредитных историй и поднадзорными Банку России организациями, с которыми у бюро кредитных историй заключен договор в соответствии с частью 3 статьи 9 Федерального закона "О кредитных историях" <1>;

--------------------------------

<1> Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061.

бюро кредитных историй и субъектами кредитных историй;

бюро кредитных историй между собой;

бюро кредитных историй и Банком России.

Бюро кредитных историй могут обеспечить использование простой электронной подписи при передаче в бюро кредитных историй электронных сообщений от субъектов кредитных историй.

В случае если бюро кредитных историй при передаче электронных сообщений между субъектами, указанными в настоящем пункте, использует усиленную неквалифицированную электронную подпись, то для ее создания и проверки должны применяться СКЗИ и средства удостоверяющего центра, имеющие сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности в соответствии с пунктом 2 части 4 статьи 5 Федерального закона "Об электронной подписи" <2>.

--------------------------------

<2> Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2016, N 1, ст. 65.

Признание электронных сообщений, подписанных электронной подписью, равнозначными сообщениям на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи" <3>.

--------------------------------

<3> Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2019, N 52, ст. 7794.

Требования настоящего пункта распространяются на бюро кредитных историй в случае, если федеральными законами не установлено иное.

2.6. Бюро кредитных историй в части требований к защите информации, применяемых в отношении технологии обработки информации, обрабатываемой, передаваемой и хранимой на участках идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий в целях обработки, хранения и передачи защищаемой информации, формированию (подготовке), передаче и приему электронных сообщений, удостоверению права субъектов взаимодействия на совершение действий с защищаемой информацией, осуществлению действий в целях обработки, хранения и передачи защищаемой информации (далее - действия с кредитными историями), учету результатов осуществления действий с кредитными историями, хранению электронных сообщений и информации об осуществленных действиях с защищаемой информацией (далее - технологические участки) должны обеспечивать:

конфиденциальность, целостность и достоверность защищаемой информации;

регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;

регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.

2.6.1. Технология обработки защищаемой информации, применяемая бюро кредитных историй на всех технологических участках, должна обеспечивать целостность и неизменность защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия.

2.6.2. Технология обработки защищаемой информации, применяемая при идентификации, аутентификации и авторизации субъектов кредитных историй - физических лиц в целях предоставления кредитных отчетов, должна обеспечивать выполнение в случае использования единой системы идентификации и аутентификации соблюдение требований к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 <1>.

--------------------------------

<1> Зарегистрирован Минюстом России 25 августа 2015 года, регистрационный N 38668, с изменениями, внесенными приказом Минкомсвязи России от 22 февраля 2017 года N 71 (зарегистрирован Минюстом России 2 июня 2017 года, регистрационный N 46934).

2.6.3. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать следующие мероприятия:

проверку правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль);

структурный контроль электронных сообщений;

защиту защищаемой информации при ее передаче по каналам связи.

2.6.4. Технология обработки защищаемой информации, применяемая при удостоверении бюро кредитных историй права субъектов взаимодействия на совершение действий с защищаемой информацией, должна обеспечивать получение электронных сообщений субъекта взаимодействия, подписанных субъектом взаимодействия способом, указанным в пункте 2.5 настоящего Положения.

2.7. Бюро кредитных историй должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:

идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий с кредитными историями;

приема (передачи) электронных сообщений при взаимодействии бюро кредитных историй с субъектами взаимодействия и другими бюро кредитных историй, в том числе для удостоверения права субъектов взаимодействия осуществлять действия с защищаемой информацией и для учета результатов осуществления действий с кредитными историями;

осуществления доступа работников бюро кредитных историй (далее - работники) к защищаемой информации и осуществления субъектами взаимодействия действий с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;

присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения работником действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.

Регистрации подлежат следующие данные о действиях, выполняемых субъектами взаимодействия с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения субъектом взаимодействия действий с защищаемой информацией;

присвоенный субъекту взаимодействия идентификатор, позволяющий установить субъект взаимодействия в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения субъектом взаимодействия действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения субъектом взаимодействия действий с защищаемой информацией.

2.8. Бюро кредитных историй должны осуществлять регистрацию событий, которые привели или по их оценке могут привести к неоказанию услуг, предоставляемых бюро кредитных историй, связанных с нарушением требований к обеспечению защиты информации, в том числе включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее соответственно - инциденты защиты информации, перечень типов инцидентов), а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии указанного должностного лица (отдельного структурного подразделения) в соответствии с внутренними документами указанных бюро кредитных историй при соблюдении следующего требования.

По каждому инциденту защиты информации бюро кредитных историй должны осуществлять регистрацию:

защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;

результата реагирования на инцидент защиты информации.

2.9. Бюро кредитных историй должны осуществлять информирование Банка России:

о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный бюро кредитных историй или Банком России инцидент защиты информации;

о принадлежащих бюро кредитных историй и (или) об администрируемых в их интересах сайтах в сети "Интернет", которые используются бюро кредитных историй для осуществления своей деятельности;

о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. Бюро кредитных историй должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия бюро кредитных историй с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России бюро кредитных историй должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".

2.10. Бюро кредитных историй должны:

хранить защищаемую информацию, информацию о регистрации данных, указанных в пункте 2.7 настоящего Положения, и информацию об инцидентах защиты информации;

обеспечивать целостность и доступность защищаемой информации, информации о регистрации данных, указанных в пункте 2.7 настоящего Положения, и информации об инцидентах защиты информации в течение пяти лет с даты ее формирования бюро кредитных историй (даты поступления в бюро кредитных историй), а в случае если законодательством Российской Федерации, регулирующим деятельность бюро кредитных историй, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность бюро кредитных историй.