Порядок и сроки составления отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями"

Порядок и сроки

составления отчетности по форме 0420433 "Сведения об оценке

выполнения требований к обеспечению защиты информации

профессиональными участниками рынка ценных бумаг,

организаторами торговли, клиринговыми организациями"

1. Отчетность по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями" (далее - отчетность по форме 0420433) составляется профессиональными участниками, организаторами торговли и клиринговыми организациями, в том числе осуществляющими деятельность репозитария, указанными в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - Положение Банка России N 757-П) (далее - отчитывающиеся организации) по состоянию на день завершения проведения оценки соответствия уровня защиты информации, предусмотренной пунктом 1.5 Положения Банка России N 757-П (далее - оценка соответствия).

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 54634.

2. В отчетности по форме 0420433 отражаются сведения о результатах оценки соответствия по следующим направлениям:

сведения об оценке выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (далее - оценка соответствия по направлению "технологические меры") (раздел 1 отчетности по форме 0420433);

сведения об оценке выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка соответствия по направлению "безопасность программного обеспечения") (раздел 2 отчетности по форме 0420433);

сведения об оценке выполнения требований к обеспечению защиты информации, применяемых в отношении объектов информационной инфраструктуры (далее - оценка соответствия по направлению "безопасность информационной инфраструктуры") (раздел 3 отчетности по форме 0420433).

Информация по показателям разделов 1 - 3 отчетности по форме 0420433 раскрывается по группе аналитических признаков "Направления защиты информации" в разрезе следующих аналитических признаков:

технологические меры;

безопасность программного обеспечения;

безопасность информационной инфраструктуры.

3. В разделе 1 отчетности по форме 0420433 указывается информация об оценке соответствия по направлению "технологические меры", осуществляемой на основе оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, указанных в Положении Банка России N 757-П.

3.1. Информация по показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 1 отчетности по форме 0420433 раскрывается по группе аналитических признаков "Вид деятельности" в разрезе следующих аналитических признаков, характеризующих вид деятельности отчитывающейся организации:

брокер;

депозитарий;

дилер;

клиринговая организация;

оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов);

оператор обмена цифровых финансовых активов (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью оператора обмена цифровых финансовых активов);

оператор инвестиционной платформы (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью оператора инвестиционной платформы);

оператор финансовой платформы (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью оператора финансовой платформы);

организатор торговли;

регистратор;

репозитарий (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью репозитария);

специализированный депозитарий (для отчитывающихся организаций, совмещающих свою деятельность с деятельностью специализированного депозитария);

управляющий.

В случае если отчитывающейся организацией при совмещении брокерской деятельности с дилерской деятельностью, и (или) с депозитарной деятельностью, и (или) с деятельностью по управлению ценными бумагами используются единые эксплуатируемые автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование (далее при совместном упоминании - объекты информационной инфраструктуры), составление отчетности по форме 0420433 в рамках указанных видов деятельности осуществляется по виду деятельности "брокер".

В случае если отчитывающейся организацией при совмещении деятельности по ведению реестра владельцев ценных бумаг с депозитарной деятельностью используются единые объекты информационной инфраструктуры, составление отчетности по форме 0420433 в рамках указанных видов деятельности осуществляется по виду деятельности "регистратор".

В случае если отчитывающейся организацией при совмещении депозитарной деятельности с деятельностью специализированного депозитария инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда используются единые объекты информационной инфраструктуры, составление отчетности по форме 0420433 в рамках указанных видов деятельности осуществляется по виду деятельности "специализированный депозитарий".

3.2. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 1 отчетности по форме 0420433 указывается обобщающий уровень оценки соответствия по направлению "технологические меры" (Е_ТМ), а также уровни оценки соответствия по направлению "технологические меры" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

планирование - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Е_ТМП);

реализация - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Е_ТМР);

контроль - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Е_ТМК);

совершенствование - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Е_ТМС).

3.3. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 1 отчетности по форме 0420433 указывается значение оценки соответствия по направлению "технологические меры".

4. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 2 отчетности по форме 0420433 раскрывается информация об оценке соответствия по направлению "безопасность программного обеспечения", осуществляемой на основе оценки выполнения требований Положения Банка России N 757-П.

4.1. Информация по показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 2 отчетности по форме 0420433 раскрывается по группе аналитических признаков "Вид деятельности" в разрезе аналитических признаков, указанных в подпункте 3.1 пункта 3 настоящих Порядка и сроков.

4.2. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 2 отчетности по форме 0420433 указывается обобщающий уровень оценки соответствия по направлению "безопасность программного обеспечения" (ЕПО), а также уровни оценки соответствия по направлению "безопасность программного обеспечения" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

планирование - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Е_ПОП);

реализация - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Е_ПОР);

контроль - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Е_ПОК);

совершенствование - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Е_ПОС).

4.3. По показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" указывается значение:

"Сертификация ФСТЭК России" - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю <1>;

--------------------------------

<1> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198).

"Оценка соответствия ОУД" (оценка соответствия оценочному уровню доверия) - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего оценку соответствия по требованиям к оценочному уровню доверия, в соответствии с требованием пункта 1.8 Положения Банка России N 757-П.

4.4. По показателю "Признак, характеризующий проведение оценки соответствия по требованиям к ОУД прикладного программного обеспечения автоматизированных систем и приложений самостоятельно или с привлечением проверяющей организации" раздела 2 отчетности по форме 0420433 указываются значения:

"Самостоятельно" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений самостоятельно;

"Проверяющая организация" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем с привлечением сторонней организации, имеющей лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" <1> (далее - проверяющая организация), а также если по показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" раздела 2 отчетности по форме 0420433 указано значение "Сертификация ФСТЭК России".

--------------------------------

<1> Собрание законодательства Российской Федерации 2012, N 7, ст. 863; 2016, N 26, ст. 4049.

5. Заполнение отчитывающимися организациями сведений об оценке соответствия по направлению "безопасность информационной инфраструктуры" осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, предусмотренной разделом 7 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <2> (далее - ГОСТ Р 57580.2-2018).

--------------------------------

<2> Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2018).

5.1. Сведения об оценке выполнения требований по направлению "безопасность информационной инфраструктуры" раскрывается в разрезе видов деятельности, видов процессов системы защиты информации и процессов системы защиты информации.

Показатели раздела 3 отчетности по форме 0420433 указываются по группе аналитических признаков "Вид деятельности" в разрезе аналитических признаков, приведенных в части II настоящего приложения.

Показатели, указанные в подпунктах 5.2.1 - 5.2.4 настоящего пункта, указываются по группе аналитических признаков "Процессы системы защиты информации" в разрезе следующих аналитических признаков:

процесс 1 "Обеспечение защиты информации при управлении доступом";

процесс 2 "Обеспечение защиты вычислительных сетей";

процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

процесс 4 "Защита от вредоносного кода";

процесс 5 "Предотвращение утечек информации";

процесс 6 "Управление инцидентами защиты информации";

процесс 7 "Защита среды виртуализации";

процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

5.2. Сведения об оценке выполнения требований по направлению "безопасность информационной инфраструктуры" раскрываются в разрезе следующих показателей:

5.2.1. По показателю "Оценка, характеризующая выбор организационных и технических мер системы защиты информации" раздела 3 отчетности по форме 0420433 указывается результат оценки, характеризующей выбор организационных и технических мер системы защиты информации () в соответствии с требованиями, предусмотренными подразделом 7.1 раздела 7 ГОСТ Р 57580.2-2018.

5.2.2. По показателю "Оценка по направлениям защиты информации системы организации и управления защиты информации" раздела 3 отчетности по форме 0420433 информация представляется в разрезе группы аналитических признаков "Виды процессов защиты информации" по следующим аналитическим признакам:

планирование - результат оценки, характеризующей планирование процесса системы защиты информации (), в соответствии с требованиями, указанными в подразделе 7.2 раздела 7 ГОСТ Р 57580.2-2018;

реализация - результат оценки, характеризующей реализацию процесса системы защиты информации (), в соответствии с требованиями, указанными в подразделе 7.3 раздела 7 ГОСТ Р 57580.2-2018;

контроль - результат оценки, характеризующей контроль процесса системы защиты информации (), в соответствии с требованиями, указанными в подразделе 7.4 раздела 7 ГОСТ Р 57580.2-2018;

совершенствование - результат оценки, характеризующей совершенствование процесса системы защиты информации (), в соответствии с требованиями, указанными в подразделе 7.5 раздела 7 ГОСТ Р 57580.2-2018.

5.2.3. По показателю "Качественная оценка уровня соответствия процесса системы защиты информации" раздела 3 отчетности по форме 0420433 отражается результат оценки уровня соответствия каждого процесса системы защиты информации (Е_i) в соответствии с требованиями, указанными в подразделе 7.9 раздела 7 ГОСТ Р 57580.2-2018;

5.2.4. По показателю "Числовое значение оценки соответствия процесса системы защиты информации" раздела 3 отчетности по форме 0420433 отражается результат оценки соответствия процесса системы защиты информации (Е_i) в соответствии с требованиями, указанными в подразделе 7.7 раздела 7 ГОСТ Р 57580.2-2018.

5.2.5. По показателю "Применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы" раздела 3 отчетности по форме 0420433 указывается значение оценки, характеризующей применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы (Е_АС), рассчитанное в соответствии с подразделом 7.6 раздела 7 ГОСТ Р 57580.2-2018.

5.2.6. По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" раздела 3 отчетности по форме 0420433 указывается количество нарушений защиты информации, выявленных членами проверяющей группы в процессе оценки соответствия (Z), в соответствии с подразделом 7.10 раздела 7 ГОСТ Р 57580.2-2018.

5.3. В разделе 3 отчетности по форме 0420433 указываются значения оценки по каждому из направлений защиты информации по результатам оценки соответствия защиты информации, проведенной в соответствии с требованиями раздела 7 ГОСТ Р 57580.2-2018.

5.4. По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" раздела 3 отчетности по форме 0420433 указывается количество нарушений защиты информации, выявленных членами проверяющей группы в процессе оценки соответствия в соответствии с подразделом 7.10 раздела 7 ГОСТ Р 57580.2-2018.

5.5. По показателю "Итоговая оценка соответствия" раздела 3 отчетности по форме 0420433 указывается значение итоговой оценки соответствия, рассчитанной в соответствии с разделом 7.10 ГОСТ Р 57580.2-2018.

6. По показателю "Полное наименование" раздела 4 отчетности по форме 0420433 указывается полное наименование проверяющей организации.

7. По показателю "Идентификационный номер налогоплательщика (ИНН)" раздела 4 отчетности по форме 0420433 указывается идентификационный номер налогоплательщика (ИНН) проверяющей организации.

8. По показателю "Дата проведения оценки соответствия" отчетности по форме 0420433 указывается дата проведения проверяющей организацией оценки соответствия.

9. По показателю "Стоимость оценки соответствия" раздела 4 отчетности по форме 0420433 указывается стоимость оценки соответствия.

10. Отчетность по форме 0420433 составляется посредством формирования показателей с учетом пунктов 10 - 17 приложения 2 к настоящему Указанию.