Порядок составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов"
составления отчетности (отчета) по форме 0420722
"Сведения об оценке выполнения требований к обеспечению
защиты информации оператором инвестиционной платформы,
оператором финансовой платформы, оператором информационной
системы, в которой осуществляется выпуск цифровых финансовых
активов, и оператором обмена цифровых финансовых активов"
1. Отчетность (отчет) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов" (далее - отчетность (отчет) по форме 0420722) составляется оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов, соответствующими условиям, указанным в абзацах одиннадцатом - четырнадцатом подпункта 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - Положение Банка России N 757-П) (далее при совместном упоминании - отчитывающаяся организация), по результатам оценки соответствия уровня защиты информации, проведенной в соответствии с пунктом 1.5 Положения Банка России N 757-П в сроки, указанные в подпункте 1.5.3 пункта 1.5 Положения Банка России N 757-П (далее - оценка соответствия), по состоянию на день завершения проведения оценки соответствия включительно посредством формирования предусмотренных в отчетности (отчете) по форме 0420722 показателей с соблюдением положений части V настоящего приложения.
--------------------------------
<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.
Отчетность (отчет) по форме 0420722 не составляется:
оператором инвестиционной платформы, совмещающим свою деятельность с видами деятельности, указанными в пунктах 1 - 7 части 2 статьи 10 Федерального закона от 2 августа 2019 года N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации";
оператором финансовой платформы, совмещающим свою деятельность с деятельностью организатора торговли, депозитария или регистратора;
оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператором обмена цифровых финансовых активов, совмещающими свою деятельность с деятельностью кредитной организации, профессионального участника рынка ценных бумаг, организатора торговли, клиринговой организации.
2. В отчетности (отчете) по форме 0420722 отчитывающейся организацией отражаются сведения о результатах оценки соответствия по следующим направлениям:
оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (далее - оценка соответствия по направлению "технологические меры") (раздел 1 отчетности (отчета) по форме 0420722);
оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка соответствия по направлению "безопасность программного обеспечения") (раздел 2 отчетности (отчета) по форме 0420722);
оценка выполнения требований к обеспечению защиты информации, применяемых в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - оценка соответствия по направлению "безопасность информационной инфраструктуры") (раздел 3 отчетности (отчета) по форме 0420722).
Информация по показателю "Оценка, характеризующая выполнение требований, в рамках процесса" разделов 1 и 2 отчетности (отчета) по форме 0420722 раскрывается в том числе в разрезе аналитических признаков группы аналитических признаков "Направления защиты информации", приведенных в части II настоящего приложения.
Информация по показателям разделов 1 - 3 отчетности (отчета) по форме 0420722 раскрывается в разрезе аналитических признаков группы аналитических признаков "Вид деятельности", приведенных в части II настоящего приложения.
3. В разделе 1 отчетности (отчета) по форме 0420722 отчитывающейся организацией отражаются сведения об оценке соответствия по направлению "технологические меры", осуществляемой на основе оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, указанных в Положении Банка России N 757-П, по аналитическому признаку "Технологические меры" группы аналитических признаков "Направления защиты информации".
По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" указывается обобщающий уровень оценки соответствия по направлению "технологические меры" - Eтм, а также указываются уровни оценки соответствия по направлению "технологические меры" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Eтмп);
"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Eтмр);
"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Eтмк);
"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Eтмс).
4. В разделе 2 отчетности (отчета) по форме 0420722 отчитывающейся организацией отражаются сведения об оценке соответствия по направлению "безопасность программного обеспечения", осуществляемой на основе оценки выполнения требований по направлению "безопасность программного обеспечения", указанных в Положении Банка России N 757-П, по аналитическому признаку "Безопасность программного обеспечения" группы аналитических признаков "Направления защиты информации".
4.1. По показателю "Оценка, характеризующая выполнение требований, в рамках процесса" указывается обобщающий уровень оценки соответствия по направлению "безопасность программного обеспечения" - Eпо, а также указываются уровни оценки соответствия по направлению "безопасность программного обеспечения" по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - оценка, характеризующая выполнение требований, в рамках процесса планирования применения мер защиты информации (Eпоп);
"Реализация" - оценка, характеризующая выполнение требований, в рамках процесса реализации мер защиты информации (Eпор);
"Контроль" - оценка, характеризующая выполнение требований, в рамках процесса контроля применения мер защиты информации (Eпок);
"Совершенствование" - оценка, характеризующая выполнение требований, в рамках процесса совершенствования применения мер защиты информации (Eпос).
4.2. По показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" указывается значение:
"Сертификация ФСТЭК России" - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю <2>;
--------------------------------
<2> Подпункт 13 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю".
"Оценка соответствия ОУД" - в случае если отчитывающаяся организация обеспечивает использование прикладного программного обеспечения автоматизированных систем и приложений, прошедшего оценку соответствия по требованиям к оценочному уровню доверия, в соответствии с пунктом 1.8 Положения Банка России N 757-П.
4.3. По показателю "Признак, характеризующий проведение оценки соответствия по требованиям к оценочному уровню доверия прикладного программного обеспечения автоматизированных систем и приложений самостоятельно или с привлечением проверяющей организации" указывается значение:
"Самостоятельно" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений самостоятельно;
"Проверяющая организация" - в случае если отчитывающаяся организация проводит оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений с привлечением сторонней организации, имеющей лицензию на проведение работ и оказание услуг, указанных в подпунктах "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (далее - проверяющая организация), а также если по показателю "Признак, характеризующий использование прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД" указано значение "Сертификация ФСТЭК России".
5. Заполнение отчитывающейся организацией сведений об оценке соответствия по направлению "безопасность информационной инфраструктуры" в разделе 3 отчетности (отчета) по форме 0420722 осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, предусмотренными разделом 7 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <3> (далее - ГОСТ Р 57580.2-2018).
--------------------------------
<3> Утвержден и введен в действие с 1 сентября 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018).
Информация по показателям "Оценка, характеризующая выбор организационных и технических мер системы защиты информации", "Оценка по направлениям защиты информации системы организации и управления защиты информации", "Качественная оценка уровня соответствия процесса системы защиты информации", "Числовое значение оценки соответствия процесса системы защиты информации" раскрывается в разрезе аналитических признаков группы аналитических признаков "Процессы системы защиты информации", приведенных в части II настоящего приложения.
По показателю "Оценка, характеризующая выбор организационных и технических мер системы защиты информации" 
указывается результат оценки в соответствии с требованиями, указанными в пункте 7.1 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Оценка по направлениям защиты информации системы организации и управления защиты информации" информация раскрывается по следующим аналитическим признакам группы аналитических признаков "Виды процессов защиты информации":
"Планирование" - результат оценки, характеризующей планирование процесса системы защиты информации 
, в соответствии с пунктом 7.2 раздела 7 ГОСТ Р 57580.2-2018;
"Реализация" - результат оценки, характеризующей реализацию процесса системы защиты информации 
, в соответствии с пунктом 7.3 раздела 7 ГОСТ Р 57580.2-2018;
"Контроль" - результат оценки, характеризующей контроль процесса системы защиты информации 
, в соответствии с пунктом 7.4 раздела 7 ГОСТ Р 57580.2-2018;
"Совершенствование" - результат оценки, характеризующей совершенствование процесса системы защиты информации 
, в соответствии с пунктом 7.5 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Качественная оценка уровня соответствия процесса системы защиты информации" указывается результат оценки уровня соответствия каждого процесса системы защиты информации (Ei) в соответствии с пунктом 7.9 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Числовое значение оценки соответствия процесса системы защиты информации" указывается результат оценки соответствия каждого процесса системы защиты информации (Ei) в соответствии с пунктом 7.7 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы" указывается значение оценки, характеризующей применение организационных и технических мер защиты информации на этапах жизненного цикла автоматизированной системы (EAC), рассчитанное в соответствии с пунктом 7.6 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Количество нарушений защиты информации, выявленных в результате оценки соответствия" указывается количество нарушений защиты информации, выявленных членами проверяющей группы в процессе оценки соответствия (Z), в соответствии с абзацем седьмым пункта 7.10 раздела 7 ГОСТ Р 57580.2-2018.
По показателю "Итоговая оценка соответствия" указывается значение итоговой оценки соответствия (R), рассчитанное в соответствии с пунктом 7.10 раздела 7 ГОСТ Р 57580.2-2018.
6. В разделе 4 отчетности (отчета) по форме 0420722 по аналитическому признаку "Проверяющая организация" группы аналитических признаков "Вид организации" отчитывающейся организацией указываются следующие сведения:
по показателю "Дата проведения оценки соответствия" - дата проведения оценки соответствия, указанная в заключении проверяющей организации;
по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) проверяющей организации;
по показателю "Полное наименование" - полное наименование проверяющей организации;
по показателю "Стоимость оценки соответствия" - стоимость оценки соответствия, проведенной проверяющей организацией.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875