Центральный Банк России выпустил Указание от 8 ноября 2021 года, № 5986-У «О внесении изменений в Указание Банка России от 8 октября 2018 года № 4927-У «О перечне, формах и порядке составления и представления форм отчётности кредитных организаций в центральный банк российской федерации»».
Все дело в том, что этим указанием вводится форма отчётности 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации», а также вводится порядок ее составления.
До текущего момента, были только требования по проведению оценки соответствия ГОСТ Р 57580 «Безопасность финансовых операций. Защита информации финансовых организаций» по Положениям Банка России 683-П, 747-П, 719-П, 757-П, а также приказом Минцифры № 930. Однако порядка отчётности и сроков не было предусмотрено.
Возникали вопросы, как же отчитываться за выполнение требований вышеуказанных положений? Провести оценку соответствия сторонней организацией, лицензиатом ФСТЭК, согласовать полученные результаты, получить от проверяющей организации бумажный отчет и машинные носители, и хранить их до первой проверки регулятором? Руководящих документов по порядку действий не было.
С выходом данного Указания все встало на свои места. Теперь кредитные финансовые организации обязаны подавать отчётность по оценке выполнения требований к обеспечению защиты информации один раз в два года. Аналогичное требование содержалось в Положении Банка России 382-П.
Заполнение кредитными организациями сведений о том, что они выполняют требования по обеспечению защиты информации, осуществляется по результатам проведения оценки соответствия по следующим направлениям:
Рассмотрим разделы подробнее.
Технологические меры заполняются кредитной финансовой организацией по методике, указанной в Приложении № 1 Положения 742-П. В данном положении имеется шкала оценок от 0 до 1, с шагом 0,25, где:
Также имеется перечень технологических мер, которые по данной шкале необходимо получить. Оценки за направления высчитываются как среднеарифметическое значение.
Заполнение раздела 2 Отчёта осуществляется на основе оценки выполнения требований к обеспечению защиты информации, применяемых в отношении прикладного ПО автоматизированных систем и приложений, установленных нормативными актами Банка России. В положениях ЦБ РФ, указанных выше, имеются требования, что в отношении прикладного ПО, с помощью которого через сеть «Интернет» осуществляются электронные платежи клиентов, должна быть проведена оценка соответствия ОУД 4.
Заполнение данного раздела аналогично предыдущему. Используется та же шкала оценок, и те же направления. Оценка за направления высчитывается как среднеарифметическое из всех показателей.
Данный раздел заполняется из отчёта оценки соответствия, проведенной сторонней организацией, лицензиатом ФСТЭК. За каждый из процессов отражается результат оценки реализации мер. Для отражения итоговой оценки имеется соответствующая графа. Также оценка за направления отражена в итоговом отчёте оценке соответствия, оформленном в строгом соответствии с п. 8.2. ГОСТ Р 57580.2-2018. Итогом данного раздела является общая оценка за все процессы и направления R.
Это информативный раздел, в котором указываются сведения об организации, которая будет проводить оценку соответствия. Напомним, что данная организация должна иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Подводя итог можно однозначно сказать, что заполнение формы 0409071 не будет занимать много времени, при выполнении всех требований. Рекомендуется использовать минимальные программные средства, для выполнения расчётов и получения сведений, необходимых для заполнения разделов 1 и 2. Например, стандартное приложений MS Office Excel.