Настоящее Указание на основании части 13 статьи 9 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (Собрание законодательства Российской Федерации, 2015, № 29, ст. 4348) (далее - Федеральный закон) устанавливает требования к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства.

1. Под информацией, полученной в процессе деятельности кредитного рейтингового агентства (далее - информация), в целях настоящего Указания понимаются сведения (сообщения, данные) независимо от формы их представления, полученные кредитным рейтинговым агентством от рейтингуемого лица или его представителя, а также созданные кредитным рейтинговым агентством в процессе рейтинговой деятельности, в том числе:

финансовая, управленческая, иная отчетность рейтингуемого лица, его стратегии и бизнес-планы, представленные кредитному рейтинговому агентству;

договоры с рейтингуемыми лицами;

материалы анализа, проводимого рейтинговыми аналитиками, включая рейтинговые отчеты;

информация о рейтинговых действиях, в том числе материалы заседаний рейтинговых комитетов;

протоколы (записи) встреч представителей кредитного рейтингового агентства с представителями рейтингуемых лиц, переписку представителей кредитного рейтингового агентства с рейтингуемыми лицами.

2. В целях обеспечения сохранности и защиты информации кредитное рейтинговое агентство должно принимать меры, учитывающие особенности всех типов носителей информации, направленные на:

2.1. Предупреждение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, представления, распространения информации, а также иных неправомерных действий в отношении информации, включая нарушение конфиденциальности информации ограниченного доступа, определяемой в качестве таковой в соответствии с условиями договора с рейтингуемым лицом и (или) в соответствии с законодательством Российской Федерации, иными нормативными правовыми актами Российской Федерации, в том числе распространение информации о рейтинговых действиях до раскрытия такой информации в соответствии с Федеральным законом.

2.2. Обеспечение полноты, точности и актуальности информации, представляемой в Банк России в соответствии с требованиями Федерального закона, нормативных актов Банка России.

2.3. Обеспечение полноты, точности и актуальности информации, используемой кредитным рейтинговым агентством, его работниками, органами и структурными подразделениями при проведении контрольных процедур, в частности при проверке правильности применения методологии, соблюдения требований к проведению заседаний рейтинговых комитетов, управлению конфликтами интересов, а также обеспечении непрерывности рейтинговой деятельности.

3. Кредитным рейтинговым агентством должны быть разработаны внутренние документы, регламентирующие деятельность по обеспечению сохранности и защиты информации и определяющие в том числе:

3.1. Состав информации.

3.2. Порядок работы с информацией, содержащий процедуры:

документирования информации, в том числе в рамках подготовки и проведения заседаний рейтингового комитета, методологического комитета, работы органов внутреннего контроля;

хранения информации, в том числе сроки хранения информации с учетом требований законодательства Российской Федерации к срокам хранения документов, но не менее пяти лет, места и формы хранения информации, порядок ее уничтожения, а также состав лиц, ответственных за хранение и уничтожение информации;

предоставления доступа к информации и объектам инфраструктуры, обрабатывающим информацию, работникам кредитного рейтингового агентства и третьим лицам, в том числе состав лиц, имеющих такой доступ, и права доступа каждого из этих лиц;

регистрации действий, связанных с назначением и распределением прав доступа к информации и объектам инфраструктуры, обрабатывающим информацию;

идентификации и авторизации лиц, регистрации действий при осуществлении доступа к информации и объектам инфраструктуры, обрабатывающим информацию;

применения способов, методов и средств защиты информации, их описание.

Кредитным рейтинговым агентством могут быть дополнительно установлены иные процедуры работы с информацией.

3.3. Распределение полномочий и ответственности за выполнение задач в рамках деятельности по обеспечению сохранности и защиты информации.

3.4. Порядок осуществления мониторинга и контроля обеспечения сохранности и защиты информации, включая периодические проверки используемого программного обеспечения, требования к содержанию отчетов о результатах таких проверок и мониторинга, порядок и периодичность их представления органам управления кредитного рейтингового агентства и рассмотрения указанными органами.

4. Кредитное рейтинговое агентство должно создать структурное подразделение (назначить работника), в сферу ответственности которого входит обеспечение сохранности и защиты информации, получение сведений об инцидентах информационной безопасности, в том числе от работников кредитного рейтингового агентства, проведение анализа рисков нарушения требований к сохранности и защите информации, организация управления такими рисками и подготовка соответствующих отчетов не реже одного раза в год. Такое структурное подразделение (работник) взаимодействует с органами внутреннего контроля и отчитывается перед органами управления кредитного рейтингового агентства.

5. Организационные и технические меры кредитного рейтингового агентства по сохранности информации должны предусматривать:

обеспечение возможности восстановления информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;

создание резервных копий информации в электронном виде и их хранение.

6. Организационные и технические меры кредитного рейтингового агентства по защите информации должны предусматривать:

обеспечение защиты информации при управлении доступом и регистрацией;

обеспечение защиты информации на этапах жизненного цикла автоматизированных систем обработки информации;

обеспечение защиты информации средствами антивирусной защиты;

обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования;

обеспечение защиты информации при назначении и распределении прав доступа к информации;

документирование деятельности по обеспечению защиты информации;

обнаружение инцидентов информационной безопасности и реагирование на них;

мониторинг и анализ обеспечения защиты информации;

обеспечение непрерывности деятельности и возможности восстановления информации;

проведение самостоятельной или с привлечением сторонней организации оценки обеспечения защиты информации не реже одного раза в два года, а также по требованию Банка России;

предоставление результатов оценки соответствия в Банк России в течение месяца с момента окончания ее проведения.

Проведение оценки соответствия с привлечением сторонней организации выполняется кредитным рейтинговым агентством по решению Банка России.

Принятие организационно-технических мер по защите информации осуществляется на основе требований документов, разрабатываемых Банком России в рамках законодательства Российской Федерации о техническом регулировании.

7. Кредитное рейтинговое агентство обеспечивает:

совершенствование методов и средств обеспечения сохранности и защиты информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

включение в перечень обязанностей своих работников, участвующих в обработке информации, требования о соблюдении порядка работы с информацией, обеспечении ее сохранности и защиты.

исполнение требований к сохранности и защите информации при взаимодействии с третьими лицами, отношения с которыми оформляются в гражданско-правовом порядке, и которые в рамках этих отношений могут получить доступ к информации.

8. Кредитным рейтинговым агентством могут быть дополнительно реализованы иные меры, направленные на сохранность и защиту информации.

9. Кредитное рейтинговое агентство должно обеспечивать хранение информации, подтверждающей принятие мер по сохранности и защите информации.

10. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.

Пояснительная записка
к проекту Указания Банка России «О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства»

Банк России разработал проект указания Банка России «О требованиях к сохранности и защите информации, полученной в процессе деятельности кредитного рейтингового агентства» (далее - проект указания) на основании части 13 статьи 9 Федерального закона от 13 июля 2015 года № 222-ФЗ «О деятельности кредитных рейтинговых агентств в Российской Федерации, о внесении изменения в статью 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Проектом указания определяются цели обеспечения сохранности и защиты информации полученной в процессе деятельности кредитного рейтингового агентства, требования к кредитным рейтинговым агентством по разработке внутренних документов, регламентирующих деятельность по обеспечению сохранности и защиты информации, требования к организационным и техническим мерам.

Действие нормативного акта Банка России будет распространяться на кредитные рейтинговые агентства.

Планируемая дата вступления в силу - июль 2016 года.

Предложения и замечания по документу принимаются с 25 апреля 2016 года по 8 мая 2016 года.