Действующий
В отношении программного обеспечения и приложений, не указанных в абзаце первом настоящего подпункта, некредитные финансовые организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей.
По решению некредитной финансовой организации анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.
10. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи".
11. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1 настоящего Положения, в рамках идентификации, аутентификации и авторизации своих клиентов при совершении действий в целях осуществления финансовых операций, формировании (подготовке), передаче и приеме электронных сообщений, удостоверении права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом, осуществлении финансовой операции, учете результатов ее осуществления, хранении электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки) на основе анализа рисков с соблюдением следующих требований.
11.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, должна обеспечивать целостность и неизменность защищаемой информации.
11.2. Технология обработки защищаемой информации, применяемая при формировании (подготовке), передаче и приеме электронных сообщений, должна обеспечивать следующие мероприятия:
проверку правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль);
11.3. Технология обработки защищаемой информации, применяемая при удостоверении права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом, должна обеспечивать выполнение следующих мероприятий:
получение электронных сообщений клиента, подписанных клиентом способом, указанным в пункте 10 настоящего Положения;
11.4. Технология обработки защищаемой информации, применяемая при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета), должна обеспечивать выполнение следующих мероприятий:
проверку соответствия (сверку) выходных электронных сообщений соответствующим входным электронным сообщениям;
проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях;
направление клиентам некредитных финансовых организаций уведомлений об осуществлении финансовых операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, или договором.
12. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, с соблюдением следующих требований.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны регистрировать следующую информацию о действиях своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
дату (день, месяц, год) и время (часы, минуты, секунды) осуществления финансовой операции, а для клиентов - совершение действий в целях осуществления финансовой операции;
присвоенный работнику (клиенту) идентификатор, позволяющий идентифицировать работника (клиента) в автоматизированной системе, программном обеспечении;
результат осуществления финансовой операции - для работника, совершение действий в целях осуществления финансовой операции - для клиента;
идентификационную информацию, используемую для идентификации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций: для работников (клиентов) - сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) работника (клиента); для клиентов - международный идентификатор абонента-клиента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства клиента.
13. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков (далее - инциденты защиты информации), а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии указанного должностного лица (отдельного структурного подразделения) в соответствии с внутренними документами указанных некредитных финансовых организаций при соблюдении следующих требований.
13.1. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, к инцидентам защиты информации должны относить события, которые привели или могут по оценке указанных некредитных финансовых организаций привести к осуществлению финансовых операций без согласия клиента некредитной финансовой организации, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет" (далее - перечень типов инцидентов).
13.2. По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию следующей информации:
защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;
результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг и иного имущества клиента некредитной финансовой организации.
14. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать:
хранение информации, указанной в абзацах втором и четвертом пункта 1 настоящего Положения, информации о регистрации данных, указанных в пункте 12 настоящего Положения, и информации об инцидентах защиты информации;
целостность и доступность информации, указанной в абзаце первом настоящего пункта, в течение не менее чем пяти лет с даты ее формирования некредитной финансовой организацией (даты поступления в некредитную финансовую организацию), а в случае если законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций.
15. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
16. В случае если некредитная финансовая организация, не относящаяся к некредитным финансовым организациям, реализующим усиленный и стандартный уровни защиты информации, выявила соответствие требованиям, указанным в подпункте 5.3 пункта 5 настоящего Положения, такая некредитная финансовая организация должна обеспечить соответствие требованиям, указанным в подпунктах 5.3 и 5.4 пункта 5 и пунктах 6 - 15 настоящего Положения, в срок не позднее девяти месяцев со дня выявления соответствия требованиям, указанным в подпункте 5.3 пункта 5 настоящего Положения.
17. В случае совмещения некредитной финансовой организацией видов деятельности в сфере финансовых рынков, осуществление которых обусловливает необходимость реализации одновременно двух уровней защиты информации, такая некредитная финансовая организация должна обеспечить соблюдение требований, предъявляемых к более высокому уровню защиты информации, при условии, что при совмещении деятельности она использует единые объекты информационной инфраструктуры.
18. Настоящее Положение не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).
19. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 21 декабря 2018 года N 39) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.