Как финансовой организации отчитаться перед Банком России о выполнении требований по защите информации
После окончания действия Положения Банка России № 382-П, устанавливающего требования к обеспечению защиты информации при осуществлении переводов денежных средств, и вступления в силу Положений Банка России, регламентирующих обязательное выполнение требований ГОСТ Р 57580.1, кредитные организации задавались вопросом – как же отчитываться в Центральный Банк Российской Федерации? И вот в конце 2021 года было принято Указание Банка России № 5986-У (о внесении изменений в указание № 4927-У), регламентирующее отчётность по защите информации. В новом Указании появилась форма отчётности об оценке выполнения кредитными организациями требований к обеспечению защиты информации под номером 0409071, вступающая в силу с 1 октября 2022 года и обозначающая, по каким положениям нужно проводить оценку. В статье мы разберём новую форму, как заполнять разделы и по каким Положениям нужно отчитываться.
Кредитным организациям в данную форму необходимо вносить результаты оценки требований:






- Положения Банка России № 683-П;
- Положения Банка России № 747-П;
- Положения Банка России № 719-П;
- Положения Банка России № 757-П (при совмещении видов деятельности);
- национального стандарта ГОСТ Р 57580.1.
Форма 0409071

Форма 0409071 состоит из четырех разделов:
- Сведения об оценке выполнения требований по направлению «Технологические требования».
- Сведения об оценке выполнения требований по направлению «Безопасность программного обеспечения».
- Сведения об оценке выполнения требований по направлению «Безопасность информационной инфраструктуры» (оценка соответствия требованиям ГОСТ Р 57580.1).
- Сведения о проверяющей организации.
- По каким конкретно пунктам требований Положений оцениваться?
- По какой методике считать оценку?
- Какая оценка «хорошо», а какая «плохо»?

Пример того, что было только для Положения № 683-П. На рисунке наглядно видно, что в проекте были указаны конкретные пункты требований Положения Банка России. И так было по каждому Положению. А в принятом Указании ссылка целиком на всё Положение.
Проблемы расчетов
Пример формулы для расчёта оценки выполнения требований Положения, приведённый в проекте № 5986-У:
Оценка выполнения требований планирования применения мер защиты информации (ЕТМП)
- Определена ли область применения меры защиты информации?
- Определён ли порядок применения меры защиты информации?
- (ЕТМП) – планирование;
- (ЕТМР) – реализация;
- (ЕТМК) – контроль;
- (ЕТМС) – совершенствование;
- (ЕТМ) – технологические меры.
1 раздел «Технологические требования»
Раздел 1 касается оценки Положений Банка России № 683-П, № 719-П, № 747-П и № 757-П в части технологических мер. Необходимо заполнить пять видов оценок: Планирование, Реализация, Контроль, Совершенствование и Общая.
Оценки заполняются для каждого вида деятельности отдельно. Положение № 719-П ссылается на положение № 683-П и добавляет несколько требований, следовательно, допустимо проведение одной оценки, если нет других видов деятельности в рамках положения № 719-П.
2 раздел «Безопасность ПО»
Раздел 2 касается оценки безопасности программного обеспечения, а именно оценке по ОУД4. Здесь также пять оценок и заключение – сертификация ФСТЭК России или оценка соответствия по ОУД.
- Оценка планирования – соответствующие требования по реализации оценки ОУД внести в положение о жизненном цикле и выпустить распоряжение о выборе способа подтверждения соответствия.
- Оценка реализация – проведены ли работы и всё ли ПО, попадающее под требования, прошло оценку соответствия.
- Оценка контроля – документирование результата проведенных работ. Например, нового ПО не выявлено, изменений функций безопасности в существующем ПО не выявлено, повторную оценку проводить не нужно.
- Оценка совершенствования – анализ необходимости повторной оценки ПО. Например, документирование протокола совещания, на его основе поставить оценку соответствия и предоставить проверяющей организации.
3 раздел «Безопасность информационной инфраструктуры»
Заполняется из отчёта по оценке соответствия требованиям ГОСТ Р 57580.1.
В представленной форме допущены опечатки (выделены на картинке), при заполнении следует обратить на них повышенное внимание. Оценку по ЖЦ АС включили в каждый процесс, что неправильно. Также перепутали последовательность оценок по Планированию и Реализации. Если оценка соответствия делалась в области оценки всех Положений, то можно будет объединять «Направления деятельности». Единственное, что может заставить делать несколько оценок по ГОСТ Р 57580.1 – это разный уровень ЗИ по разным Положениям. Например, по № 683-П у КО стандартный уровень, а по № 757-П усиленный, или наоборот. В этом случае необходимо будет делать и заполнять разные оценки.
4 раздел «Сведения о проверяющей организации»
Берётся целиком из 3 раздела, поскольку в нём предусмотрена графа о сведениях организации, проверяющей оценку соответствия требованиям ГОСТ Р 57580.1. После проведения всех оценок и формировании отчёта появляется вопрос: «А когда же нужно отчитываться?». Кредитным организациям, совмещающим деятельность с деятельностью некредитной финансовой организации и реализующим усиленный уровень защиты информации (центральные контрагенты, центральный депозитарий, регистраторы финансовых транзакций), отчёт по всем видам деятельности (всем положениям) следует показывать 1 раз в год не позднее 30 дней, со дня завершения проведения оценки соответствия. Форма 0409071 предоставляется кредитными организациями один раз в 2 года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, в случаях, если они:- осуществляют банковскую деятельность, Положение № 683-П;
- являются операторами по переводу денежных средств (ОПДС) и (или) операторами услуг платежной инфраструктуры (ОУПИ), Положение № 719-П;
- осуществляют деятельность расчётного центра (Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП), Положение № 747-П;
- осуществляют деятельность участника платежной системы Банка России, Положение № 747-П.
- Что делать с полученной отчётностью?
- Когда появится методика заполнения формы отчётности 0409071?
- Оценка соответствия требованиям ГОСТ Р 57580.1, проведённая до 1 октября 2022 года засчитывается?
Авторы:
Иван Червяков, маркетолог компании «Перспективный мониторинг»,
Сергей Горюнов, аналитик компании «Перспективный мониторинг».
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
