Положение Банка России от 03.12.2020 N 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ...

Таблица 1

N п/п

Технологические меры защиты информации

1

Технология обработки защищаемой информации обеспечивает подписание электронных сообщений (указаний) способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом

2

Технология обработки защищаемой информации, применяемая на всех технологических участках, обеспечивает целостность и неизменность защищаемой информации

3

Технология обработки защищаемой информации обеспечивает применение механизмов и (или) протоколов формирования и обмена электронными сообщениями, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификации входных электронных сообщений

4

Технология обработки защищаемой информации обеспечивает взаимную (двухстороннюю) аутентификацию участников обмена электронными сообщениями средствами вычислительной техники соискателя

5

Технология обработки защищаемой информации обеспечивает восстановление защищаемой информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники

6

Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает проверку правильности формирования (подготовки) электронных сообщений (указаний) (двойной контроль)

7

Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает проверку правильности заполнения полей электронного сообщения (указания) и прав владельца электронной подписи (входной контроль)

8

Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает контроль дублирования электронного сообщения (указания)

9

Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает структурный контроль электронных сообщений (указаний)

10

Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает защиту защищаемой информации при ее передаче по каналам связи

11

Технология обработки защищаемой информации на технологическом участке удостоверения права клиентов операторов инвестиционных платформ распоряжаться денежными средствами, ценными бумагами или иным имуществом обеспечивает получение электронных сообщений (указаний) клиента, подписанных клиентом способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом

12

Технология обработки защищаемой информации на технологическом участке удостоверения права клиентов операторов инвестиционных платформ распоряжаться денежными средствами, ценными бумагами или иным имуществом обеспечивает получение от клиента подтверждения финансовой операции

13

Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает проверку соответствия (сверку) выходных электронных сообщений (указаний) соответствующим входным электронным сообщениям (указаниям)

14

Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях (указаниях)

15

Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает направление клиентам финансовых платформ уведомлений о совершении финансовой сделки в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность финансовых платформ, или договором

1.1. В строке 1.1 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации (00000018.wmz), которое рассчитывается по формуле:

00000019.wmz

где:

00000020.wmz - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

00000021.wmz - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

00000022.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации, где значение равно "1", если область применения меры защиты информации определена ("да"), значение равно "0", если область применения меры защиты информации не определена ("нет");

00000023.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации, где значение равно "1", если порядок применения меры защиты информации определен ("да"), значение равно "0", если порядок применения меры защиты информации не определен ("нет").

1.2. В строке 1.2 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации (00000024.wmz), которое рассчитывается по формуле:

00000025.wmz

где:

00000026.wmz - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

00000027.wmz - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

00000028.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, равное следующим показателям:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0.75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0.5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0.25 - "в основном нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

1.3. В строке 1.3 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации (00000029.wmz), которое рассчитывается по формуле:

00000030.wmz

где:

00000031.wmz - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

00000032.wmz - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

00000033.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации, где значение равно "1", если контроль области применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль области применения меры защиты информации не обеспечен ("нет");

00000034.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля должного применения меры защиты информации, где значение равно "1", если контроль должного применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль должного применения меры защиты информации не обеспечен ("нет");

00000035.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников соискателя в части применения меры защиты информации, где значение равно "1", если контроль знаний работников соискателя в части применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль знаний работников соискателя в части применения меры защиты информации не обеспечен ("нет").

1.4. В строке 1.4 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации (00000036.wmz), которое рассчитывается по формуле:

00000037.wmz

где:

00000038.wmz - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

00000039.wmz - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

00000040.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации осуществляется ("да"), значение равно "О", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации не осуществляется ("нет");

00000041.wmz - значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации осуществляется, значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации не осуществляется ("нет").

1.5. В строке 1.5 Документа о защите информации указывается значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" (ЕТМ), которое рассчитывается по формуле:

00000042.wmz

где:

00000043.wmz - значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.1 настоящего пункта;

00000044.wmz - значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с подпунктом 1.2 настоящего пункта;

00000045.wmz - значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.3 настоящего пункта;

00000046.wmz - значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.4 настоящего пункта.

2. Объектом оценки, предусмотренной разделом 2 Документа о защите информации, является прикладное программное обеспечение автоматизированных систем и приложений, распространяемых соискателем своим клиентам для осуществления действий в целях совершения финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию при приеме электронных сообщений (указаний) к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет".

Заполнение раздела 2 Документа о защите информации осуществляется на основе проведенной в соответствии с подпунктами 2.1 - 2.5 настоящего пункта оценки соответствия выполнения мер, предусмотренных таблицей 2 настоящего порядка.

Порядок заполнения документа, подтверждающего выполнение юридическим лицом, намеревающимся получить статус оператора финансовой платформы, требований по защите информации Таблица 2