Статья 9. Защита и предотвращение. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 9
Защита и предотвращение

1. В целях надлежащей защиты систем ICT, а также в целях организации мер реагирования финансовые организации должны осуществлять постоянный мониторинг и контроль безопасности и функционирования систем и инструментов ICT, а также минимизировать влияние ICT-рисков на системы ICT путем применения соответствующих инструментов, принципов и процедур в области безопасности ICT.

2. Финансовые организации должны разрабатывать, закупать и внедрять принципы, процедуры, протоколы и инструменты в области безопасности ICT, направленные на обеспечение устойчивости, непрерывности и доступности систем ICT, в частности тех, что поддерживают выполнение критических или важных функций, а также поддерживать высокие стандарты доступности, аутентичности, целостности и конфиденциальности данных, независимо от того, хранятся ли они, используются или передаются.

3. Для достижения целей, указанных в параграфе 2 настоящей Статьи, финансовые организации должны использовать решения и процессы в области ICT, которые являются надлежащими в соответствии со Статьей 4 настоящего Регламента. Такие решения и процессы в области ICT должны:

(a) обеспечивать безопасность средств передачи данных;

(b) сводить к минимуму риск повреждения или потери данных, несанкционированного доступа и технических недостатков, которые могут затруднить коммерческую деятельность;

(c) предотвращать недоступность, нарушение подлинности и целостности, нарушение конфиденциальности и потерю данных;

(d) гарантировать, что данные защищены от рисков, возникающих вследствие управления данными, включая плохое администрирование, риски, связанные с обработкой данных, и человеческий фактор.

4. В рамках системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента, финансовые организации должны:

(a) разработать и документально обосновать политику в области информационной безопасности, определяющую правила для защиты доступности, подлинности, целостности и конфиденциальности данных, информационных активов и ICT-активов, в том числе данных и активов их клиентов, если применимо;

(b) в рамках риск-ориентированного подхода создать надежную структуру управления сетью и инфраструктурой с использованием надлежащих технологий, методов и протоколов, которые могут включать в себя внедрение автоматизированных механизмов для изоляции затронутых информационных активов в случае кибератак;

(c) внедрить политики, которые ограничивают физический или логический доступ к информационным активам и ICT-активам исключительно тем, что необходимо для законных и утвержденных функций и действий, и установить в указанных целях ряд правил, процедур и средств контроля, которые касаются прав доступа и гарантируют их надежное администрирование;

(d) внедрить правила и протоколы для надежных механизмов аутентификации на основе соответствующих стандартов и специальных систем управления, а также меры защиты криптографических ключей, посредством которых шифрование данных осуществляется на основе результатов утвержденной классификации данных и процессов оценки ICT-рисков;

(e) внедрить обоснованные правила, процедуры и средства контроля для управления изменениями в области ICT, включая изменения в программном обеспечении, оборудовании, компонентах встроенного программного обеспечения, системах или параметрах безопасности, которые основаны на оценке рисков и являются неотъемлемой частью общего процесса управления изменениями финансовой организации, чтобы гарантировать, что все изменения в системах ICT заданным образом регистрируются, тестируются, оцениваются, утверждаются, внедряются и проверяются;

(f) иметь соответствующие и всесторонние обоснованные правила для корректировок и обновлений.

Для целей пункта (b) первого подпараграфа финансовые организации должны проектировать инфраструктуру сетевого соединения таким образом, чтобы ее можно было мгновенно отделить или сегментировать для минимизации и предотвращения распространения вируса, особенно для взаимосвязанных финансовых процессов.

Для целей пункта (е) первого подпараграфа процесс управления изменениями в области ICT должен быть утвержден на соответствующих уровнях управления и иметь специальные протоколы.