Расширенный

Расширенный поиск

Автор
Статьи по теме: «Информационная безопасность»

Как финансовой организации отчитаться перед Банком России о выполнении требований по защите информации

В статье рассматриваются нюансы соответствия финансовых организаций требованиям нормативных документов Банка России по защите информации и отчётности об их выполнении.

После окончания действия Положения Банка России № 382-П, устанавливающего требования к обеспечению защиты информации при осуществлении переводов денежных средств, и вступления в силу Положений Банка России, регламентирующих обязательное выполнение требований ГОСТ Р 57580.1, кредитные организации задавались вопросом – как же отчитываться в Центральный Банк Российской Федерации? И вот в конце 2021 года было принято Указание Банка России № 5986-У (о внесении изменений в указание № 4927-У), регламентирующее отчётность по защите информации. В новом Указании появилась форма отчётности об оценке выполнения кредитными организациями требований к обеспечению защиты информации под номером 0409071, вступающая в силу с 1 октября 2022 года и обозначающая, по каким положениям нужно проводить оценку. В статье мы разберём новую форму, как заполнять разделы и по каким Положениям нужно отчитываться.

Кредитным организациям в данную форму необходимо вносить результаты оценки требований:

Стоит отметить, что оценка соответствия требованиям ГОСТ Р 57580.1 должна проводиться только внешней специализированной организацией, в то время как оценки соответствия требованиям Положений Банка России кредитная организация может проводить самостоятельно. При этом нет ограничений на проведение оценок соответствия требованиям Положений внешней организацией. Результатами оценок соответствия являются отчёты, которые хранятся в кредитной организации и предоставляются в Банк России по его требованию.

Стоит обратить внимание, что Банк России включил в форму отчётности для кредитных организаций Положение № 757-П, которое относится к некредитным финансовым организациям (НФО). Хотя ранее Банком России были даны разъяснения, что на кредитные организации распространяются установленные Положением № 683-П требования к обеспечению защиты информации, в том числе при осуществлении ими деятельности в сфере финансовых рынков.

При этом в форме отчётности прописано, что при совмещении деятельности кредитной организации с деятельностью НФО, она должна предоставить оценку по требованиям Положения № 757-П.
Форма 0409071


Форма 0409071 состоит из четырех разделов:

  1. Сведения об оценке выполнения требований по направлению «Технологические требования».
  2. Сведения об оценке выполнения требований по направлению «Безопасность программного обеспечения».
  3. Сведения об оценке выполнения требований по направлению «Безопасность информационной инфраструктуры» (оценка соответствия требованиям ГОСТ Р 57580.1).
  4. Сведения о проверяющей организации.

Первые два раздела формы 0409071 касаются исключительно оценки требований самих Положений Банка России № 683-П, № 719-П, № 747-П и № 757-П в части технологических мер и требований к ПО (оценка выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации ФСТЭК России или в отношении которых проведена оценка соответствия по требованиям к ОУД).

Сведения для заполнения раздела 3 и 4 берутся из отчёта по оценке соответствия требованиям ГОСТ Р 57580.1, сделанного в соответствии с методикой, указанной в ГОСТ Р 57580.2. И в случае, если проводившая оценку соответствия организация сделала все по методике, то у кредитной организации проблем с заполнением этих разделов возникнуть не должно.

По разделу 1 и 2 из самого Указания неясно несколько моментов:

  • По каким конкретно пунктам требований Положений оцениваться?
  • По какой методике считать оценку?
  • Какая оценка «хорошо», а какая «плохо»?

Ответы на первые два вопроса были раскрыты в проекте изменений Указания № 5986-У.

В принятом Указании Банка России от 8 ноября 2021 г. № 5986-У была существенно урезана по сравнению с проектом документа методика заполнения рассматриваемой формы отчётности 0409071. Исключили конкретные пункты требований Положений Банка России по направлению «Технологические меры» и «Безопасность программного обеспечения».


Пример того, что было только для Положения № 683-П. На рисунке наглядно видно, что в проекте были указаны конкретные пункты требований Положения Банка России. И так было по каждому Положению. А в принятом Указании ссылка целиком на всё Положение.

Проблемы расчетов

Пример формулы для расчёта оценки выполнения требований Положения, приведённый в проекте № 5986-У:


Оценка выполнения требований планирования применения мер защиты информации (ЕТМП)

  • Определена ли область применения меры защиты информации?
  • Определён ли порядок применения меры защиты информации?

Оценка ответов производится путём присвоения им значений: 1 – «да» (определено); 0 – «нет» (не определено).

В новой форме убрана методика и формулы расчёта для оценок, характеризующих выполнение требований по планированию, реализации, контролю, совершенствованию и обобщённой оценки по направлению.

Новая форма:
  • ТМП) – планирование;
  • ТМР) – реализация;
  • ТМК) – контроль;
  • ТМС) – совершенствование;
  • ТМ) – технологические меры.

Оценки касаются той деятельности, которая реализуется в отношении требований, приведенных в Положениях. Как высчитывать оценку неясно, ждём методику в виде отдельного документа от Банка России.

Разберём разделы детальнее.

1 раздел «Технологические требования»

Раздел 1 касается оценки Положений Банка России № 683-П, № 719-П, № 747-П и № 757-П в части технологических мер. Необходимо заполнить пять видов оценок: Планирование, Реализация, Контроль, Совершенствование и Общая.


Оценки заполняются для каждого вида деятельности отдельно. Положение № 719-П ссылается на положение № 683-П и добавляет несколько требований, следовательно, допустимо проведение одной оценки, если нет других видов деятельности в рамках положения № 719-П.

2 раздел «Безопасность ПО»

Раздел 2 касается оценки безопасности программного обеспечения, а именно оценке по ОУД4. Здесь также пять оценок и заключение – сертификация ФСТЭК России или оценка соответствия по ОУД.


  • Оценка планирования – соответствующие требования по реализации оценки ОУД внести в положение о жизненном цикле и выпустить распоряжение о выборе способа подтверждения соответствия.
  • Оценка реализация – проведены ли работы и всё ли ПО, попадающее под требования, прошло оценку соответствия.
  • Оценка контроля – документирование результата проведенных работ. Например, нового ПО не выявлено, изменений функций безопасности в существующем ПО не выявлено, повторную оценку проводить не нужно.
  • Оценка совершенствования – анализ необходимости повторной оценки ПО. Например, документирование протокола совещания, на его основе поставить оценку соответствия и предоставить проверяющей организации.

Здесь рассматриваются только 3 Положения в которых установлены требования по ОУД. Опять же, оценку можно объединять, поскольку для разных видов деятельности будет использоваться одни и те же АС.

Результатом подтверждения соответствия является либо сертификация ФСТЭК России, либо оценка соответствия по оценочному уровню доверия (ОУД).

3 раздел «Безопасность информационной инфраструктуры»

Заполняется из отчёта по оценке соответствия требованиям ГОСТ Р 57580.1.


В представленной форме допущены опечатки (выделены на картинке), при заполнении следует обратить на них повышенное внимание. Оценку по ЖЦ АС включили в каждый процесс, что неправильно. Также перепутали последовательность оценок по Планированию и Реализации.

Если оценка соответствия делалась в области оценки всех Положений, то можно будет объединять «Направления деятельности». Единственное, что может заставить делать несколько оценок по ГОСТ Р 57580.1 – это разный уровень ЗИ по разным Положениям. Например, по № 683-П у КО стандартный уровень, а по № 757-П усиленный, или наоборот. В этом случае необходимо будет делать и заполнять разные оценки.

4 раздел «Сведения о проверяющей организации»

Берётся целиком из 3 раздела, поскольку в нём предусмотрена графа о сведениях организации, проверяющей оценку соответствия требованиям ГОСТ Р 57580.1.

После проведения всех оценок и формировании отчёта появляется вопрос: «А когда же нужно отчитываться?».

Кредитным организациям, совмещающим деятельность с деятельностью некредитной финансовой организации и реализующим усиленный уровень защиты информации (центральные контрагенты, центральный депозитарий, регистраторы финансовых транзакций), отчёт по всем видам деятельности (всем положениям) следует показывать 1 раз в год не позднее 30 дней, со дня завершения проведения оценки соответствия.

Форма 0409071 предоставляется кредитными организациями один раз в 2 года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, в случаях, если они:

  • осуществляют банковскую деятельность, Положение № 683-П;
  • являются операторами по переводу денежных средств (ОПДС) и (или) операторами услуг платежной инфраструктуры (ОУПИ), Положение № 719-П;
  • осуществляют деятельность расчётного центра (Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП), Положение № 747-П;
  • осуществляют деятельность участника платежной системы Банка России, Положение № 747-П.

Кредитным организациям при совмещении деятельности с деятельностью некредитной финансовой организации, реализующей стандартный уровень защиты информации следует отчитываться 1 раз в 3 года не позднее 30 рабочих дней, со дня завершения проведения оценки соответствия.

К таким НФО относятся: специализированные депозитарии инвестиционных фондов, паевые инвестиционные фонды и негосударственные пенсионные фонды, клиринговые организации, организаторы торговли, страховые организации, негосударственные пенсионные фонды, репозитарии, не являющиеся регистраторами финансовых транзакций, брокеры, дилеры, управляющие, депозитарии и регистраторы, операторы инвестиционной платформы, операторы финансовой платформы и др.

С новой формой отчётности у кредитных организаций появились и новые вопросы:

  • Что делать с полученной отчётностью?
  • Когда появится методика заполнения формы отчётности 0409071?
  • Оценка соответствия требованиям ГОСТ Р 57580.1, проведённая до 1 октября 2022 года засчитывается?

На перечисленные вопросы ответ может дать только Банк России, поэтому ждём дальнейших разъяснений и новых нормативных документов.

Авторы:
Иван Червяков, маркетолог компании «Перспективный мониторинг»,
Сергей Горюнов, аналитик компании «Перспективный мониторинг».