Статья 11. "Базовый стандарт по управлению рисками форекс-дилеров" (утв. Банком России 15.02.2024 N КФНП-3)

11.1. В рамках обеспечения информационной безопасности процессов создания и эксплуатации автоматизированных систем, входящих в состав программно-технических средств форекс-дилера, форекс-дилер осуществляет мероприятия, руководствуясь требованиями законодательства Российской Федерации, нормативных актов Банка России и настоящего Базового стандарта.

11.2. В целях обеспечения информационной безопасности форекс-дилер создает структурное подразделение или назначает ответственного работника. Функции по обеспечению информационной безопасности могут быть переданы по договору третьему лицу, при этом форекс-дилер обеспечивает соблюдение указанным третьим лицом порядка, условий и сроков осуществления мероприятий по обеспечению информационной безопасности в соответствии с требованиями нормативных правовых актов и настоящего Базового стандарта.

11.3. Форекс-дилер не реже 1 (одного) раза в три года проводит аудит (оценку) информационной безопасности процессов создания и эксплуатации автоматизированных систем, входящих в состав программно-технических средств форекс-дилера. Аудит проводится структурным подразделением или работником по обеспечению информационной безопасности форекс-дилера на основании решения Органов управления форекс-дилера.

Функции по проведению указанного аудита могут быть переданы по договору третьему лицу, при этом форекс-дилер обеспечивает соблюдение указанным третьим лицом порядка, условий и сроков осуществления аудита в соответствии с требованиями нормативных правовых актов и настоящего Базового стандарта.

11.3.1. В решении о проведении аудита указываются:

- порядок проведения аудита (структурным подразделением или работником по обеспечению информационной безопасности форекс-дилера или на основании договора с третьим лицом);

- фамилия(и), имя(на), отчество(а) (последнее при наличии), должности должностного лица или должностных лиц форекс-дилера, уполномоченных на проведение аудита, или наименование третьего лица (при проведении аудита третьим лицом);

- цели, задачи, предмет аудита;

- сроки проведения аудита. При этом срок проведения аудита не должен превышать 45 (сорок пять) календарных дней со дня его начала. В случае необходимости проведения дополнительных проверочных мероприятий в рамках аудита, срок аудита может быть продлен не более чем на 30 (тридцать) календарных дней.

- иные сведения.

11.3.2. Порядок проведения аудита, порядок фиксации результатов проведенного аудита, иные сведения устанавливаются во внутреннем документе (документах) форекс-дилера по обеспечению информационной безопасности или в договоре на проведение аудита с соответствующим третьим лицом (в случае проведения аудита третьим лицом). При этом документ, составленный по результатам аудита, должен содержать описание объекта и предмета аудита, выявленные в рамках аудита нарушения и недостатки порядка обеспечения форекс-дилером информационной безопасности процессов создания и эксплуатации автоматизированных систем, входящих в состав его программно-технических средств. Также документ может содержать выводы и рекомендации по устранению выявленных в рамках аудита нарушений и недостатков. По результатам аудита руководитель структурного подразделения/работник по обеспечению информационной безопасности форекс-дилера разрабатывает мероприятия, направленные на устранение выявленных в рамках аудита нарушений и недостатков, и составляет план проведения указанных мероприятий, включающий в себя перечень мероприятий и сроки их проведения.