Информационное письмо Банка России от 21.07.2023 N ИН-017-56/48 "О порядке проведения оценки соответствия защиты информации"
В настоящее время оценка выполнения требований к обеспечению защиты информации проводится кредитными организациями в соответствии со следующими требованиями нормативных актов Банка России:
пункт 9 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента";
пункт 1.1 Положения Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 719-П);
пункт 1.5 Положения Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (в случае совмещения деятельности кредитной организации с деятельностью некредитной финансовой организации);
пункт 20 Положения Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России" (далее - Положение Банка России N 802-П).
Сведения о результатах проведения оценки выполнения требований к обеспечению защиты информации представляются в Банк России кредитными организациями в рамках отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации" (далее - отчетность по форме 0409071).
Информация, представляемая согласно разделам 1, 2 отчетности по форме 0409071, отражает степень выполнения установленных указанными нормативными актами Банка России требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, и требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка выполнения требований).
При проведении оценки выполнения требований рекомендуется руководствоваться Методическими рекомендациями Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации от 02.11.2022 N 12-МР.
Оценка выполнения требований может осуществляться кредитной организацией самостоятельно. Привлечение организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации, для проведения работ и предоставления услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 N 79, необязательно.
Информация, представляемая согласно разделам 3, 4 отчетности по форме 0409071, отражает информацию об оценке выполнения требований к обеспечению защиты информации, проведенной в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (далее - оценка соответствия защиты информации).
Сведения о проведении оценки выполнения требований представляются одновременно со сведениями о проведении оценки соответствия защиты информации в сроки, установленные пунктом 2 порядка составления и представления отчетности по форме 0409071, в течение 30 рабочих дней со дня завершения проведения оценки соответствия защиты информации.
Представление сведений о проведении оценки соответствия защиты информации по каждому из направлений деятельности кредитной организации <1> может осуществляться отдельно, при этом одновременно в Банк России представляются сведения о проведении оценки выполнения требований по такому же направлению (таким же направлениям) деятельности кредитной организации. Сведения о проведении оценки выполнения требований в рамках направлений деятельности кредитной организации, по которым оценка соответствия защиты информации не проводилась, могут быть представлены в Банк России повторно без изменений или актуализированы в случае, если оценка выполнения требований по таким направлениям деятельности проведена вновь после представления отчетности по форме 0409071.
--------------------------------
<1> Направления деятельности определены в подпункте 6.1 пункта 6 порядка составления и представления отчетности по форме 0409071.
Периодичность проведения оценки соответствия защиты информации определена нормативными актами Банка России, устанавливающими требования к ее проведению. Отмечаем, что кредитные организации вправе осуществлять проведение оценки выполнения требований, оценки соответствия защиты информации и представлять информацию об их результатах в рамках отчетности по форме 0409071 чаще, чем это определено нормативными актами Банка России.
Необходимость проведения первой оценки соответствия защиты информации определяется с учетом даты вступления в силу требования нормативного акта Банка России, в котором необходимость проведения такой оценки установлена впервые (для кредитных организаций, созданных ранее такой даты вступления в силу).
Для кредитных организаций, созданных после вступления в силу соответствующего нормативного акта Банка России, период проведения первой оценки соответствия защиты информации определяется с даты создания кредитной организации с учетом требований нормативного акта Банка России, действующего на дату начала ее функционирования.
Необходимость проведения последующей оценки соответствия защиты информации определяется с учетом даты проведения предыдущей оценки и периодичности проведения оценки соответствия защиты информации, установленной соответствующим нормативным актом Банка России.
В случае издания нормативного акта Банка России, устанавливающего требования к проведению оценки соответствия защиты информации, в том числе по причине изменения субъектного состава, в новой редакции, период проведения последующей оценки соответствия защиты информации для кредитных организаций, функционировавших в период действия отмененного нормативного акта Банка России, не изменяется и исчисляется с учетом даты предыдущей, результаты которой представлены в рамках реализации требования нормативного акта Банка России, утратившего силу.
Например, дата проведения оценки соответствия защиты информации в соответствии с требованиями Положения Банка России N 802-П определяется с учетом даты проведения предыдущей оценки соответствия защиты информации в соответствии с требованиями Положения Банка России от 23.12.2020 N 747-П "О требованиях к защите информации в платежной системе Банка России", утратившего силу. Периодичность проведения оценки соответствия защиты информации при этом не изменяется.
Также рекомендуем учитывать, что оценка соответствия, проводимая ранее в соответствии с требованиями Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", утратившего силу, не является тождественной оценке соответствия защиты информации, осуществляемой в соответствии с требованиями преемственного нормативного акта - Положения Банка России N 719-П, и не влияет на периодичность проведения оценки соответствия защиты информации согласно Положению Банка России N 719-П.
Информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Заместитель Председателя Банка России
Г.А.ЗУБАРЕВ
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей