ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ ЦЕНТРАЛЬНОГО БАНКА АЗЕРБАЙДЖАНСКОЙ РЕСПУБЛИКИ

от 28 марта 2024 года №14/2

Об утверждении "Требований к обеспечению информационной безопасности субъектов, деятельность которых контролируется на финансовых рынках"

В целях усиления требований к обеспечению информационной безопасности субъектов, деятельность которых контролируется на финансовых рынках в соответствии с международными стандартами, на основании статей 22.1.17 и 48.3.4 Закона Азербайджанской Республики "О Центральном банке Азербайджанской Республики", а также статьи 34-1.4 Закона Азербайджанской Республики "Об обязательных страхованиях" Правление Центрального банка Азербайджанской Республики ПОСТАНОВЛЯЕТ:

1. Утвердить "Требования к обеспечению информационной безопасности субъектов, деятельность которых контролируется на финансовых рынках" (далее — Требования) (прилагается).

2. Требования, утвержденные частью 1 настоящего Постановления, вступают в силу по истечении года со дня их опубликования, и с этой даты часть 1 Постановления Правления Центрального банка Азербайджанской Республики от 14 июля 2021 года №20/1 "Об утверждении "Порядка управления информационной безопасностью в банках"" отменяется.

3. Поручить Юридическому департаменту в 3-дневный срок обеспечить представление настоящего Постановления в Министерство юстиции Азербайджанской Республики для внесения в Государственный реестр правовых актов Азербайджанской Республики.

Утверждено Постановлением Правления Центрального банка Азербайджанской Республики от 28 марта 2024 года №14/2

Требования к обеспечению информационной безопасности субъектов, деятельность которых контролируется на финансовых рынках

1. Общие положения

1.1. Настоящие Требования разработаны на основании статьи 48.3.4 Закона Азербайджанской Республики "О Центральном банке Азербайджанской Республики", а также статьи 34-1.4 Закона Азербайджанской Республики "Об обязательных страхованиях" и определяет минимальные требования к информационной безопасности в банках, небанковских кредитных организациях, за исключением кредитных союзов, страховщиках, лицензируемых лицах на рынке ценных бумаг, управляющих акционерными инвестиционными фондами и инвестиционными фондами, национальном операторе почтовой связи, платежных организациях, организациях электронных денег, операторах платежных систем, кредитных бюро, центральном депозитарии.

1.2. Настоящие Требования распространяются на информационную систему по обязательным страхованиям и связанные активы Бюро обязательного страхования.

1.3. Лица, предусмотренные пунктами 1.1 и 1.2 настоящих Требований, совместно именуются в настоящих Требованиях субъектами контроля.

1.4. Пункты 4.12-4.16 и 6.5 настоящих Требований не применяются к субъектам контроля II категории, предусмотренным пунктами 2.1.35 настоящих Требований.

1.5. Пункты 4.4, 4.5, 4.12 - 4.16, 6.5, 6.9, 6.10, 6.12, 7.17, 7.19, 7.21 - 7.23 настоящих Требований не применяются к субъектам контроля III категории, предусмотренным пунктами 2.1.36 настоящих Требований.

1.6. Требования к защите персональных данных в субъектах контроля наряду с настоящими Требованиями регулируются и Законом Азербайджанской Республики "О персональных данных".

2. Понятия

2.1. Основные понятия, используемые в настоящих Требованиях, имеют следующие значения:

2.1.1. актив — основные (бизнес-процессы и информация) и поддерживающие (сетевая и техническая инфраструктура, программное обеспечение, персонал, здание, организационная структура) активы, имеющие ценность для субъектов контроля;

2.1.2. владелец актива — лицо, ответственное за управление и защиту актива в течение всего периода его функционирования;

2.1.3. аудит — систематический, независимый и задокументированный процесс, осуществляемый в целях получения аудиторских доказательств и определения уровня выполнения критериев их аудита для объективной оценки;

2.1.4. аутентификация — мера контроля, позволяющая проверить личность пользователя услуги и обоснованность использования персонализированных данных безопасности;

2.1.5. глубокая защита (defence in depth) — определение многоуровневых мер контроля для защиты активов;

2.1.6. эмулятор — программное обеспечение, которое запускает программы, работающие в операционной системе путем имитации этой операционной системы;

2.1.7. этикетирование — обозначение информации и связанных активов различными способами (например, посредством физического знака, заголовка и подзаголовка, метадаты, водяного знака, штампа) в соответствии с классификацией информации;

2.1.8. операционная среда — реальная эксплуатационная среда информационной системы, открытая пользователю;

2.1.9. уязвимая информация — информация, подлежащая защите от несанкционированной обработки, включая доступ, изменение или раскрытие, ввиду ее потенциального негативного воздействия на физических и юридических лиц, а также на национальную безопасность (например, уязвимые платежные данные, персональные данные, государственная тайна, коммерческая тайна, банковская тайна, страховая тайна и другая конфиденциальная информация);

2.1.10. информация — факты, мнения, сведения, новости или иная информация, созданная или полученная в результате какой-либо деятельности, независимо от даты возникновения, формы представления и классификации;

2.1.11. доступность информации — свойство информации, характеризующее возможность ее получения и использования в случае необходимости;

2.1.12. конфиденциальность информации — свойство информации быть недоступной и неоткрытой для неуполномоченных доступов;

2.1.13. информационный процесс — создание, сбор, обработка, хранение, поиск, распространение информации;

2.1.14. информационная система — упорядоченная в организационно-техническом порядке, в том числе с использованием вычислительной техники, совокупность информационных технологий и документов;

2.1.15. целостность информации — свойство точности и полноты информации;

2.1.16. информационная безопасность — защита конфиденциальности, целостности и доступности информации;

2.1.17. система управления информационной безопасностью (далее — СУИБ) — совокупность действий и процедур, направленных на создание, внедрение, поддержку и постоянное развитие информационной безопасности субъекта управления в целях достижения целей деятельности;

2.1.18. информационные технологии — программы, системы или оборудование, используемые для автоматизированного выполнения информационных процессов;