Порядок и сроки составления отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией"

Порядок и сроки

составления отчетности по форме 0420175 "Сведения об оценке

выполнения требований к обеспечению защиты информации

страховой организацией"

1. Отчетность по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией" (далее - отчетность по форме 0420175) составляется страховой организацией, указанной в абзаце пятом подпункта 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П), по состоянию на день завершения проведения оценки соответствия уровня защиты информации, предусмотренной пунктом 1.5 Положения Банка России N 757-П (далее - оценка соответствия), включительно.

Отчетность по форме 0420175 составляется страховой организацией посредством формирования предусмотренных в ней показателей с соблюдением положений пунктов 1, 2, 4, 5 и 10 части V настоящего приложения.

2. В отчетности по форме 0420175 отражаются сведения о результатах осуществленной оценки соответствия по следующим направлениям:

оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (далее - оценка соответствия по направлению "технологические меры") (раздел 1 отчетности по форме 0420175);

оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка соответствия по направлению "безопасность программного обеспечения") (раздел 2 отчетности по форме 0420175);

оценка выполнения требований к обеспечению защиты информации, применяемых в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - оценка соответствия по направлению "безопасность информационной инфраструктуры") (раздел 3 отчетности по форме 0420175).

3. В разделе 1 отчетности по форме 0420175 указывается информация об оценке соответствия по направлению "технологические меры", осуществляемой на основе оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, указанных в Положении Банка России N 757-П, по аналитическому признаку "Страховая организация" группы аналитических признаков "Вид деятельности" и аналитическому признаку "Технологические меры" группы аналитических признаков "Направления защиты информации".

По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" (строка 1) указываются обобщающий уровень оценки соответствия по направлению "технологические меры" (E_ТМ), а также уровни оценки соответствия по направлению "технологические меры" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (E_ТМП);

"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (E_ТМР);

"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (E_ТМК);

"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (E_ТМС).

4. В разделе 2 отчетности по форме 0420175 указывается информация об оценке соответствия по направлению "безопасность программного обеспечения", осуществляемой на основе оценки выполнения требований по направлению "безопасность программного обеспечения", указанных в Положении Банка России N 757-П, по аналитическому признаку "Страховая организация" группы аналитических признаков "Вид деятельности" и аналитическому признаку "Безопасность программного обеспечения" группы аналитических признаков "Направления защиты информации".

4.1. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" (строка 2) указываются обобщающий уровень оценки соответствия по направлению "безопасность программного обеспечения" (E_ПО), а также уровни оценки соответствия по направлению "безопасность программного обеспечения" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":

"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (E_ПОП);

"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (E_ПОР);

"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (E_ПОК);

"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (E_ПОС).

4.2. По показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" (строка 3) указывается одно из следующих значений:

"Сертификация ФСТЭК России" - в случае если страховая организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю <1>;

--------------------------------

<1> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю".

"Оценка соответствия ОУД" - в случае если страховая организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего оценку соответствия по требованиям к оценочному уровню доверия в соответствии с требованием пункта 1.8 Положения Банка России N 757-П.

4.3. По показателю "Признак, характеризующий проведение оценки соответствия по требованиям к ОУД прикладного программного обеспечения автоматизированных систем и приложений самостоятельно или с привлечением проверяющей организации" (строка 4) указывается одно из следующих значений:

"Самостоятельно" - в случае если страховая организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений самостоятельно;

"Проверяющая организация" - в случае если страховая организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений с привлечением сторонней организации, имеющей лицензию на проведение работ и оказание услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (далее - проверяющая организация), а также если по показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" (строка 3) указано значение "Сертификация ФСТЭК России".

5. В разделе 3 отчетности по форме 0420175 заполнение страховой организацией сведений об оценке соответствия по направлению "безопасность информационной инфраструктуры" осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <1> (далее - ГОСТ Р 57580.2-2018).

--------------------------------

<1> Утвержден и введен в действие с 1 сентября 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018).

Показатели раздела 3 отчетности по форме 0420175 указываются по аналитическому признаку "Страховая организация" группы аналитических признаков "Вид деятельности".

5.1. По показателю "Оценка, характеризующая выбор организационных и технических мер системы защиты информации" (E_ПЗИi) (строка 5) указывается результат оценки в соответствии с требованиями, указанными в пункте 7.1 ГОСТ Р 57580.2-2018.

5.2. По показателю "Оценка по направлениям защиты информации системы организации и управления защиты информации" (строка 6) информация указывается в разрезе группы аналитических признаков "Виды процессов защиты информации" по следующим аналитическим признакам:

"Планирование" - результат оценки, характеризующей планирование процесса системы защиты информации, в соответствии с требованиями, указанными в пункте 7.2 ГОСТ Р 57580.2-2018 (E_Пi);

"Реализация" - результат оценки, характеризующей реализацию процесса системы защиты информации, в соответствии с требованиями, указанными в пункте 7.3 ГОСТ Р 57580.2-2018 (E_Рi);

"Контроль" - результат оценки, характеризующей контроль процесса системы защиты информации, в соответствии с требованиями, указанными в пункте 7.4 ГОСТ Р 57580.2-2018 (E_Кi);

"Совершенствование" - результат оценки, характеризующей совершенствование процесса системы защиты информации, в соответствии с требованиями, указанными в пункте 7.5 ГОСТ Р 57580.2-2018 (E_Сi).

5.3. По показателю "Качественная оценка уровня соответствия процесса системы защиты информации" (строка 7) указывается результат оценки уровня соответствия каждого процесса системы защиты информации в соответствии с требованиями, указанными в пункте 7.9 ГОСТ Р 57580.2-2018.

5.4. По показателю "Числовое значение оценки соответствия процесса системы защиты информации" (строка 8) указывается результат оценки в соответствии с требованиями, указанными в пункте 7.7 ГОСТ Р 57580.2-2018 (E_i).

5.5. По показателю "Применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы" (строка 9) указывается значение оценки, характеризующей применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы, рассчитанное в соответствии с пунктом 7.6 ГОСТ Р 57580.2-2018 (E_АС).

5.6. По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" (строка 10) указывается количество нарушений защиты информации, выявленных проверяющей организацией в процессе оценки соответствия защиты информации в соответствии с абзацем седьмым пункта 7.10 ГОСТ Р 57580.2-2018 (Z).

5.7. По показателю "Итоговая оценка соответствия" (строка 11) указывается значение итоговой оценки соответствия, рассчитанное в соответствии с абзацем первым пункта 7.10 ГОСТ Р 57580.2-2018 (R).

5.8. Показатели, указанные в подпунктах 5.1 - 5.4 настоящего пункта, указываются по группе аналитических признаков "Процессы системы защиты информации" в разрезе следующих аналитических признаков:

"Процесс 1 "Обеспечение защиты информации при управлении доступом";

"Процесс 2 "Обеспечение защиты вычислительных сетей";

"Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

"Процесс 4 "Защита от вредоносного кода";

"Процесс 5 "Предотвращение утечек информации";

"Процесс 6 "Управление инцидентами защиты информации";

"Процесс 7 "Защита среды виртуализации";

"Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

6. В разделе 4 отчетности по форме 0420175 по аналитическому признаку "Проверяющая организация" группы аналитических признаков "Вид организации" указываются:

по показателю "Полное наименование" (строка 12) - полное наименование проверяющей организации;

по показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 13) - идентификационный номер налогоплательщика (ИНН) проверяющей организации;

по показателю "Дата проведения оценки соответствия" (строка 14) - дата проведения оценки соответствия, указанная в заключении проверяющей организации;

по показателю "Стоимость оценки соответствия" (строка 15) - стоимость проведения проверяющей организацией оценки соответствия.