Банк России разработал проект положения «О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования».

Проект разработан в целях реализации предоставленной Банку России подпунктом 5 пункта 7 статьи 33.10 Закона Российской Федерации от 27.11.1992 №4015-1 «Об организации страхового дела в Российской Федерации» компетенции на установление требований к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования для оператора автоматизированной информационной системы страхования (АИС Страхования).

При подготовке проекта использовались методологические подходы, аналогичные уже реализованным в Положении Банка России от 17.10.2022 № 808-П «О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона «О кредитных историях», при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства», Положении Банка России от 20.04.2021 №757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

При подготовке проекта использовались практика применения Положения Банка России от 04.06.2020№ 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Проект устанавливает следующие требования:

перечень защищаемой информации;

к сохранности и защите информации, полученной в процессе осуществления возложенных на оператора АИС страхования функций;

к обеспечению контроля целостности электронных сообщений и подтверждения составления электронных сообщений;

к технологиям обработки защищаемой информации, применяемой оператором АИС страхования на всех технологических участках, также технологическом участке при идентификации, аутентификации и авторизации пользователей АИС, при формировании (подготовке), технологическом участке при передаче и приеме электронных сообщений, составляемых при взаимодействии оператора АИС страхования с пользователями АИС страхования, технологическом участке при удостоверении оператором АСИ страхования права пользователя АИС страхования на совершение действий с защищаемой информацией;

к регистрации инцидентов защиты информации, а также представлению сведений о выявленных инцидентах защиты информации;

к информированию Банка России о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором АИС страхования или Банком России инцидент защиты информации.

Ответственное структурное подразделение Банка России по проекту — Департамент информационной безопасности.Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 12 апреля 2023 года по адресам: nikitinavl@cbr.ru и polivanovave@cbr.ru

Полный текст Проекта Указания: http://www.cbr.ru/Queries/XsltBlock/File/90538/4943

Википедия страхования