Порядок составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов"

Порядок

составления отчетности (отчета) по форме 0420722

"Сведения об оценке выполнения требований к обеспечению

защиты информации оператором инвестиционной платформы,

оператором финансовой платформы, оператором информационной

системы, в которой осуществляется выпуск цифровых финансовых

активов, и оператором обмена цифровых финансовых активов"

1. Отчетность (отчет) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов" (далее - отчетность по форме 0420722) составляется оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов (далее при совместном упоминании - отчитывающиеся организации), соответствующими условиям, указанным в абзацах одиннадцатом - четырнадцатом подпункта 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - Положение Банка России N 757-П), по результатам оценки соответствия защиты информации, проведенной в соответствии с требованиями пункта 1.5 Положения Банка России N 757-П, по состоянию на день завершения проведения оценки соответствия уровня защиты информации при осуществлении деятельности в сфере финансовых рынков требованиям, предусмотренным подпунктом 1.5.3 пункта 1.5 Положения Банка России N 757-П включительно.

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

2. В отчетности по форме 0420722 отражаются сведения о результатах оценки соответствия уровня защиты информации требованиям, установленным Положением Банка России N 757-П (далее - оценка соответствия), по следующим направлениям:

оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (далее - оценка соответствия по направлению "технологические меры") (раздел 1 отчетности по форме 0420722);

оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения, автоматизированных систем и приложений (далее - оценка соответствия по направлению "безопасность программного обеспечения") (раздел 2 отчетности по форме 0420722);

оценка выполнения требований к обеспечению защиты информации, применяемых в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - оценка соответствия по направлению "безопасность информационной инфраструктуры") (раздел 3 отчетности по форме 0420722).

Информация по показателям разделов 1 - 3 отчетности по форме 0420722 раскрывается в разрезе группы аналитических признаков "Направления защиты информации" в разрезе следующих аналитических признаков:

технологические меры;

безопасность программного обеспечения.

3. В разделе 1 отчетности по форме 0420722 указывается информация об оценке соответствия по направлению "технологические меры", осуществляемой на основе оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, указанных в Положении Банка России N 757-П, по аналитическим признакам "Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов", "Оператор обмена цифровых финансовых активов", "Оператор инвестиционной платформы", "Оператор финансовой платформы" группы аналитических признаков "Вид деятельности" и по аналитическому признаку "Технологические меры" группы аналитических признаков "Направления защиты информации".

По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 1 отчетности по форме 0420722 указывается обобщающий уровень оценки соответствия по направлению "технологические меры" - Е_ТМ, а также уровни оценки соответствия по направлению "технологические меры" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

планирование - указывается оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Е_ТМП);

реализация - указывается оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Е_ТМР);

контроль - указывается оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Е_ТМК);

совершенствование - указывается оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Е_ТМС).

4. В разделе 2 отчетности по форме 0420722 указывается информация об оценке соответствия по направлению "безопасность программного обеспечения", осуществляемой на основе оценки выполнения требований по направлению "безопасность программного обеспечения", указанных в Положении Банка России N 757-П, по аналитическим признакам "Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов", "Оператор обмена цифровых финансовых активов", "Оператор инвестиционной платформы", "Оператор финансовой платформы" группы аналитических признаков "Вид деятельности" и по аналитическому признаку "Безопасность программного обеспечения" группы аналитических признаков "Направления защиты информации".

4.1. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 2 отчетности по форме 0420722 указывается обобщающий уровень оценки соответствия по направлению "Безопасность программного обеспечения" - Е_ПО, а также уровни оценки соответствия по направлению "безопасность программного обеспечения" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

планирование - указывается оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Е_ПОП);

реализация - указывается оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Е_ПОР);

контроль - указывается оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Е_ПОК);

совершенствование - указывается оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Е_ПОС).

4.2. По показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" указывается значение:

"Сертификация ФСТЭК России" - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю <1>;

--------------------------------

<1> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198).

"Оценка соответствия ОУД" (оценка соответствия оценочному уровню доверия) - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего оценку соответствия по требованиям к оценочному уровню доверия, в соответствии с требованием пункта 1.8 Положения Банка России N 757-П.

4.3. По показателю "Признак, характеризующий проведение оценки соответствия по требованиям к ОУД прикладного программного обеспечения автоматизированных систем и приложений самостоятельно или с привлечением проверяющей организации" указывается значение:

"Самостоятельно" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений самостоятельно;

"Проверяющая организация" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем с привлечением сторонней организации, имеющей лицензию на проведение работ и оказание услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 <2> (далее - проверяющая организация), а также если по показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" указано значение "Сертификация ФСТЭК России".

--------------------------------

<2> Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049.

5. Заполнение отчитывающейся организацией сведений об оценке соответствия по направлению "безопасность информационной инфраструктуры" (раздел 3 отчетности по форме 0420722) осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018).

5.1. Следующие показатели оценки соответствия по направлению "безопасность информационной инфраструктуры" раздела 3 отчетности по форме 0420722 указываются по аналитическим признакам "Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов", "Оператор обмена цифровых финансовых активов", "Оператор инвестиционной платформы", "Оператор финансовой платформы"

группы аналитических признаков "Вид деятельности".

5.1.1. По показателю "Оценка, характеризующая выбор организационных и технических мер системы защиты информации" (Е_ПЗИi) указывается результат оценки в соответствии с требованиями, указанными в подразделее 7.1 раздела 7 ГОСТ Р 57580.2-2018.

5.1.2. По показателю "Оценка по направлениям защиты информации системы организации и управления защиты информации" информация представляется в разрезе группы аналитических признаков "Виды процессов защиты информации" по следующим аналитическим признакам:

планирование - указывается результат оценки, характеризующей планирование процесса системы защиты информации, в соответствии с требованиями, указанными в подразделе 7.2 раздела 7 ГОСТ Р 57580.2-2018 (Е_Пi);

реализация - указывается результат оценки, характеризующей реализацию процесса системы защиты информации, в соответствии с требованиями, указанными в подразделе 7.3 раздела 7 ГОСТ Р 57580.2-2018 (Е_Рi);

контроль - указывается результат оценки, характеризующей контроль процесса системы защиты информации, в соответствии с требованиями, указанными в подразделе 7.4 раздела 7 ГОСТ Р 57580.2-2018 (Е_Кi);

совершенствование - указывается результат оценки, характеризующей совершенствование процесса системы защиты информации, в соответствии с требованиями, указанными в подразделе 7.5 раздела 7 ГОСТ Р 57580.2-2018 (Е_Сi).

5.1.3. По показателю "Качественная оценка уровня соответствия процесса системы защиты информации" указывается результат оценки уровня соответствия каждого процесса системы защиты информации в соответствии с требованиями, указанными в подразделе 7.9 раздела 7 ГОСТ Р 57580.2-2018;

5.1.4. По показателю "Числовое значение оценки соответствия процесса системы защиты информации" указывается результат оценки в соответствии с требованиями, указанными в подразделе 7.7 раздела 7 ГОСТ Р 57580.2-2018 (Е_i).

Показатели, указанные в подпунктах 5.1.1 - 5.1.4 настоящего пункта, указываются по группе аналитических признаков "Процессы системы защиты информации" в разрезе следующих аналитических признаков:

Процесс 1 "Обеспечение защиты информации при управлении доступом";

Процесс 2 "Обеспечение защиты вычислительных сетей";

Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

Процесс 4 "Защита от вредоносного кода";

Процесс 5 "Предотвращение утечек информации";

Процесс 6 "Управление инцидентами защиты информации";

Процесс 7 "Защита среды виртуализации";

Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

5.2. Следующие показатели оценки соответствия по направлению "безопасность информационной инфраструктуры" раздела 3 отчетности по форме 0420722 указываются по аналитическим признакам "Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов", "Оператор обмена цифровых финансовых активов", "Оператор инвестиционной платформы", "Оператор финансовой платформы" группы аналитических признаков "Вид деятельности".

5.2.1. По показателю "Применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы" указывается значение оценки, характеризующей применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы, расчитанной в соответствии с подразделом 7.6 раздела 7 ГОСТ Р 57580.2-2018 (Е_АС).

5.2.2. По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" указывается количество нарушений защиты информации, выявленных членами проверяющей группы в процессе оценки соответствия в соответствии с подразделом 7.10 раздела 7 ГОСТ Р 57580.2-2018 (Z).

5.2.3. По показателю "Итоговая оценка соответствия" указывается значение итоговой оценки соответствия, рассчитанной в соответствии с подразделом 7.10 раздела 7 ГОСТ Р 57580.2-2018 (R).

6. В Разделе 4 отчетности по форме 0420722 указывается следующее.

6.1. По показателю "Полное наименование" - полное наименование проверяющей организации.

6.2. По показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) проверяющей организации.

6.3. По показателю "Дата проведения оценки соответствия" отчетности по форме 0420722 - дата проведения оценки соответствия, указанная в заключении проверяющей организации.

6.4. По показателю "Стоимость оценки соответствия" - стоимость оценки соответствия.

Показатели раздела 4 отчетности по форме 0420722 представляются по аналитическому признаку "Проверяющая организация" группы аналитических признаков "Вид организации".

7. Отчетность по форме 0420722 составляется посредством формирования показателей с учетом пунктов 3, 9 - 18 приложения 2 к настоящему Указанию.