ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННОЕ ПИСЬМО
от 21 июля 2023 г. N ИН-017-56/48

О ПОРЯДКЕ ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ ЗАЩИТЫ ИНФОРМАЦИИ

В настоящее время оценка выполнения требований к обеспечению защиты информации проводится кредитными организациями в соответствии со следующими требованиями нормативных актов Банка России:

пункт 9 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента";

пункт 1.1 Положения Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 719-П);

пункт 1.5 Положения Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (в случае совмещения деятельности кредитной организации с деятельностью некредитной финансовой организации);

пункт 20 Положения Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России" (далее - Положение Банка России N 802-П).

Сведения о результатах проведения оценки выполнения требований к обеспечению защиты информации представляются в Банк России кредитными организациями в рамках отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации" (далее - отчетность по форме 0409071).

Информация, представляемая согласно разделам 1, 2 отчетности по форме 0409071, отражает степень выполнения установленных указанными нормативными актами Банка России требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, и требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (далее - оценка выполнения требований).

При проведении оценки выполнения требований рекомендуется руководствоваться Методическими рекомендациями Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации от 02.11.2022 N 12-МР.

Оценка выполнения требований может осуществляться кредитной организацией самостоятельно. Привлечение организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации, для проведения работ и предоставления услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 N 79, необязательно.

Информация, представляемая согласно разделам 3, 4 отчетности по форме 0409071, отражает информацию об оценке выполнения требований к обеспечению защиты информации, проведенной в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (далее - оценка соответствия защиты информации).

Сведения о проведении оценки выполнения требований представляются одновременно со сведениями о проведении оценки соответствия защиты информации в сроки, установленные пунктом 2 порядка составления и представления отчетности по форме 0409071, в течение 30 рабочих дней со дня завершения проведения оценки соответствия защиты информации.

Представление сведений о проведении оценки соответствия защиты информации по каждому из направлений деятельности кредитной организации <1> может осуществляться отдельно, при этом одновременно в Банк России представляются сведения о проведении оценки выполнения требований по такому же направлению (таким же направлениям) деятельности кредитной организации. Сведения о проведении оценки выполнения требований в рамках направлений деятельности кредитной организации, по которым оценка соответствия защиты информации не проводилась, могут быть представлены в Банк России повторно без изменений или актуализированы в случае, если оценка выполнения требований по таким направлениям деятельности проведена вновь после представления отчетности по форме 0409071.

--------------------------------

<1> Направления деятельности определены в подпункте 6.1 пункта 6 порядка составления и представления отчетности по форме 0409071.

Периодичность проведения оценки соответствия защиты информации определена нормативными актами Банка России, устанавливающими требования к ее проведению. Отмечаем, что кредитные организации вправе осуществлять проведение оценки выполнения требований, оценки соответствия защиты информации и представлять информацию об их результатах в рамках отчетности по форме 0409071 чаще, чем это определено нормативными актами Банка России.

Необходимость проведения первой оценки соответствия защиты информации определяется с учетом даты вступления в силу требования нормативного акта Банка России, в котором необходимость проведения такой оценки установлена впервые (для кредитных организаций, созданных ранее такой даты вступления в силу).

Для кредитных организаций, созданных после вступления в силу соответствующего нормативного акта Банка России, период проведения первой оценки соответствия защиты информации определяется с даты создания кредитной организации с учетом требований нормативного акта Банка России, действующего на дату начала ее функционирования.

Необходимость проведения последующей оценки соответствия защиты информации определяется с учетом даты проведения предыдущей оценки и периодичности проведения оценки соответствия защиты информации, установленной соответствующим нормативным актом Банка России.

В случае издания нормативного акта Банка России, устанавливающего требования к проведению оценки соответствия защиты информации, в том числе по причине изменения субъектного состава, в новой редакции, период проведения последующей оценки соответствия защиты информации для кредитных организаций, функционировавших в период действия отмененного нормативного акта Банка России, не изменяется и исчисляется с учетом даты предыдущей, результаты которой представлены в рамках реализации требования нормативного акта Банка России, утратившего силу.

Например, дата проведения оценки соответствия защиты информации в соответствии с требованиями Положения Банка России N 802-П определяется с учетом даты проведения предыдущей оценки соответствия защиты информации в соответствии с требованиями Положения Банка России от 23.12.2020 N 747-П "О требованиях к защите информации в платежной системе Банка России", утратившего силу. Периодичность проведения оценки соответствия защиты информации при этом не изменяется.

Также рекомендуем учитывать, что оценка соответствия, проводимая ранее в соответствии с требованиями Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", утратившего силу, не является тождественной оценке соответствия защиты информации, осуществляемой в соответствии с требованиями преемственного нормативного акта - Положения Банка России N 719-П, и не влияет на периодичность проведения оценки соответствия защиты информации согласно Положению Банка России N 719-П.

Информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя Банка России
Г.А.ЗУБАРЕВ