Порядок и сроки составления отчетности (отчета) по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями"
составления отчетности (отчета) по форме 0420433
"Сведения об оценке выполнения требований к обеспечению
защиты информации профессиональными участниками рынка ценных
бумаг, организаторами торговли, клиринговыми организациями"
1. Отчетность (отчет) по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями" (далее - отчетность (отчет) по форме 0420433) составляется профессиональными участниками рынка ценных бумаг, имеющими лицензии на осуществление дилерской, брокерской, депозитарной деятельности, деятельности по управлению ценными бумагами, деятельности по ведению реестра владельцев ценных бумаг, организаторами торговли и клиринговыми организациями, в том числе осуществляющими деятельность репозитария, указанными в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - Положение Банка России N 757-П) (далее при совместном упоминании - отчитывающаяся организация), по состоянию на день завершения проведения оценки соответствия уровня защиты информации, предусмотренной пунктом 1.5 Положения Банка России N 757-П (далее - оценка соответствия), включительно посредством формирования предусмотренных в отчетности (отчете) по форме 0420433 показателей с соблюдением положений части V настоящего приложения.
--------------------------------
<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 54634.
2. В отчетности (отчете) по форме 0420433 отражаются сведения о результатах оценки соответствия по следующим направлениям:
оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (далее - оценка соответствия по направлению "технологические меры") (раздел 1 отчетности (отчета) по форме 0420433);
оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка соответствия по направлению "безопасность программного обеспечения") (раздел 2 отчетности (отчета) по форме 0420433);
оценка выполнения требований к обеспечению защиты информации, применяемых в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - оценка соответствия по направлению "безопасность информационной инфраструктуры") (раздел 3 отчетности (отчета) по форме 0420433).
Информация по показателям разделов 1 и 2 отчетности (отчета) по форме 0420433 отражается соответственно по аналитическим признакам "Технологические меры", "Безопасность программного обеспечения" группы аналитических признаков "Направления защиты информации".
3. В разделе 1 отчетности (отчета) по форме 0420433 отражается информация об оценке соответствия по направлению "технологические меры", осуществляемой на основе оценки выполнения требований по направлению "технологические меры", указанных в Положении Банка России N 757-П.
3.1. Информация по показателям разделов 1 - 3 отчетности (отчета) по форме 0420433 раскрывается по группе аналитических признаков "Вид деятельности" в разрезе аналитических признаков, характеризующих вид деятельности отчитывающейся организации:
"Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов);
"Оператор обмена цифровых финансовых активов" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью оператора обмена цифровых финансовых активов);
"Оператор инвестиционной платформы" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью оператора инвестиционной платформы);
"Оператор финансовой платформы" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью оператора финансовой платформы);
"Репозитарий" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью репозитария);
"Специализированный депозитарий" (для отчитывающейся организации, совмещающей свою деятельность с деятельностью специализированного депозитария);
В случае если отчитывающаяся организация, являющаяся профессиональным участником рынка ценных бумаг, имеющим лицензию на осуществление брокерской деятельности, совмещает свою деятельность с дилерской деятельностью, и (или) с депозитарной деятельностью, и (или) с деятельностью по управлению ценными бумагами и использует единые эксплуатируемые автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование (далее при совместном упоминании - объекты информационной инфраструктуры), составление отчетности (отчета) по форме 0420433 в рамках указанных видов деятельности осуществляется по аналитическому признаку "Брокер" группы аналитических признаков "Вид деятельности".
В случае если отчитывающая организация, являющаяся профессиональным участником рынка ценных бумаг, имеющим лицензию на осуществление деятельности по ведению реестра владельцев ценных бумаг, совмещает свою деятельность с депозитарной деятельностью и использует единые объекты информационной инфраструктуры, составление отчетности (отчета) по форме 0420433 в рамках указанных видов деятельности осуществляется по аналитическому признаку "Регистратор" группы аналитических признаков "Вид деятельности".
В случае если отчитывающаяся организация, являющаяся профессиональным участником рынка ценных бумаг, имеющим лицензию на осуществление депозитарной деятельности, совмещает свою деятельность с деятельностью специализированного депозитария инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда и использует единые объекты информационной инфраструктуры, составление отчетности (отчета) по форме 0420433 в рамках указанных видов деятельности осуществляется по аналитическому признаку "Специализированный депозитарий" группы аналитических признаков "Вид деятельности".
3.2. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 1 отчетности (отчета) по форме 0420433 указывается обобщающий уровень оценки соответствия по направлению "технологические меры" (ЕТМ), а также уровни оценки соответствия по направлению "технологические меры" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (ЕТМП);
"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (ЕТМР);
"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (ЕТМК);
"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (ЕТМС).
4. В разделе 2 отчетности (отчета) по форме 0420433 указывается информация об оценке соответствия по направлению "безопасность программного обеспечения", осуществляемой на основе оценки выполнения требований по направлению "безопасность программного обеспечения", указанных в Положении Банка России N 757-П, по аналитическому признаку "Безопасность программного обеспечения" группы аналитических признаков "Направления защиты информации".
4.1. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" раздела 2 отчетности (отчета) по форме 0420433 указывается обобщающий уровень оценки соответствия по направлению "безопасность программного обеспечения" (ЕПО), а также уровни оценки соответствия по направлению "безопасность программного обеспечения" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (ЕПОП);
"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (ЕПОР);
"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (ЕПОК);
"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (ЕПОС).
4.2. По показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия требованиям к ОУД" указывается значение:
"Сертификация ФСТЭК России" - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю <2>;
--------------------------------
<2> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю".
"Оценка соответствия ОУД" (оценка соответствия оценочному уровню доверия (ОУД) - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего оценку соответствия требованиям к оценочному уровню доверия в соответствии с требованием пункта 1.8 Положения Банка России N 757-П.
4.3. По показателю "Признак, характеризующий проведение оценки соответствия требованиям к ОУД прикладного программного обеспечения автоматизированных систем и приложений самостоятельно или с привлечением проверяющей организации" раздела 2 отчетности (отчета) по форме 0420433 указывается одно из следующих значений:
"Самостоятельно" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложении самостоятельно;
"Проверяющая организация" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений с привлечением сторонней организации, имеющей лицензию на проведение работ и оказание услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (далее - проверяющая организация), а также если по показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия требованиям к ОУД" раздела 2 отчетности (отчета) по форме 0420433 указано значение "Сертификация ФСТЭК России".
5. В разделе 3 отчетности (отчета) по форме 0420433 заполнение отчитывающимися организациями сведений об оценке соответствия по направлению "безопасность информационной инфраструктуры" осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <3> (далее - ГОСТ Р 57580.2-2018).
--------------------------------
<3> Утвержден и введен в действие с 1 сентября 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018).
Сведения об оценке выполнения требований по направлению "безопасность информационной инфраструктуры" раскрываются в разрезе групп аналитических признаков "Вид деятельности", "Виды процессов защиты информации" и "Процессы системы защиты информации".
5.1. По показателю "Оценка, характеризующая выбор организационных и технических мер системы защиты информации" раздела 3 отчетности (отчета) по форме 0420433 указывается результат оценки, характеризующей выбор организационных и технических мер системы защиты информации (ЕПЗИi)", в соответствии с требованиями, предусмотренными пунктом 7.1 ГОСТ Р 57580.2-2018.
5.2. По показателю "Оценка по направлениям защиты информации системы организации и управления защиты информации" раздела 3 отчетности (отчета) по форме 0420433 информация представляется в разрезе следующих аналитических признаков группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - результат оценки, характеризующей планирование процесса системы защиты информации (ЕПi в соответствии с требованиями, указанными в подпункте 7.2 ГОСТ Р 57580.2-2018;
"Реализация" - результат оценки, характеризующей реализацию процесса системы защиты информации (ЕРi), в соответствии с требованиями, указанными в пункте 7.3 ГОСТ Р 57580.2-2018;
"Контроль" - результат оценки, характеризующей контроль процесса системы защиты информации (ЕКi), в соответствии с требованиями, указанными в пункте 7.4 ГОСТ Р 57580.2-2018;
"Совершенствование" - результат оценки, характеризующей совершенствование процесса системы защиты информации (ЕСi), в соответствии с требованиями, указанными в пункте 7.5 ГОСТ Р 57580.2-2018.
5.3. По показателю "Качественная оценка уровня соответствия процесса системы защиты информации" раздела 3 отчетности (отчета) по форме 0420433 указывается результат качественной оценки уровня соответствия каждого процесса системы защиты информации в соответствии с требованиями, указанными в пункте 7.9 ГОСТ Р 57580.2-2018.
5.4. По показателю "Числовое значение оценки соответствия процесса системы защиты информации" раздела 3 отчетности (отчета) по форме 0420433 отражается числовое значение оценки соответствия каждого процесса системы защиты информации (Еi) в соответствии с требованиями, указанными в пункте 7.7 ГОСТ Р 57580.2-2018.
5.5. По показателю "Применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы" раздела 3 отчетности (отчета) по форме 0420433 указывается значение оценки, характеризующей применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы (ЕАС), рассчитанное в соответствии с пунктом 7.6 ГОСТ Р 57580.2-2018.
5.6. По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" раздела 3 отчетности (отчета) по форме 0420433 указывается количество нарушений защиты информации, выявленных членами проверяющей организации в процессе оценки соответствия (Z), проведенной в соответствии с пунктом 7.10 ГОСТ Р 57580.2-2018.
5.7. По показателю "Итоговая оценка соответствия" раздела 3 отчетности (отчета) по форме 0420433 указывается значение итоговой оценки соответствия (R), рассчитанное в соответствии с пунктом 7.10 ГОСТ Р 57580.2-2018.
5.8. По показателям, указанным в подпунктах 5.1 - 5.4 настоящего пункта, информация отражается в разрезе следующих аналитических признаков группы аналитических признаков "Процессы системы защиты информации":
"Процесс 1 "Обеспечение защиты информации при управлении доступом";
"Процесс 2 "Обеспечение защиты вычислительных сетей";
"Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";
"Процесс 4 "Защита от вредоносного кода";
"Процесс 5 "Предотвращение утечек информации";
"Процесс 6 "Управление инцидентами защиты информации";
"Процесс 7 "Защита среды виртуализации";
"Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".
6. В разделе 4 отчетности (отчета) по форме 0420433 по аналитическому признаку "Проверяющая организация" группы аналитических признаков "Вид организации" указываются:
по показателю "Полное наименование" - полное наименование проверяющей организации;
по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика проверяющей организации;
по показателю "Дата проведения оценки соответствия" - дата проведения проверяющей организацией оценки соответствия;
по показателю "Стоимость оценки соответствия" - стоимость оценки соответствия.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875