Рейтинг@Mail.ru

"Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполн

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

20 июня 2023 г. N 8-МР

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

ПО РАСЧЕТУ ЗНАЧЕНИЙ ПОКАЗАТЕЛЕЙ ОЦЕНКИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ

К ТЕХНОЛОГИЧЕСКИМ МЕРАМ ЗАЩИТЫ ИНФОРМАЦИИ И ПРИКЛАДНОМУ

ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

И ПРИЛОЖЕНИЙ В ЦЕЛЯХ СОСТАВЛЕНИЯ ОТЧЕТНОСТИ ОБ ОЦЕНКЕ

ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

НЕКРЕДИТНЫМИ ФИНАНСОВЫМИ ОРГАНИЗАЦИЯМИ

Глава 1. Общие положения

1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры") и требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения") при составлении отчетности об оценке выполнения требований к обеспечению защиты информации некредитными финансовыми организациями.

1.2. Настоящими Методическими рекомендациями рекомендуется руководствоваться следующим отчитывающимся организациям:

профессиональным участникам рынка ценных бумаг, организаторам торговли, клиринговым организациям при составлении отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями";

негосударственным пенсионным фондам при составлении отчетности по форме 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом";

операторам инвестиционной платформы, операторам финансовой платформы, операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторам обмена цифровых финансовых активов при составлении отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов";

страховым организациям при составлении отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией".

Глава 2. Рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры")

2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению "Технологические меры" рекомендуется осуществлять в отношении требований, указанных в приложении 1 к настоящим Методическим рекомендациям (далее для целей настоящей главы - требования).

2.2. По направлению "Технологические меры" осуществляется расчет значений следующих показателей:

EТМП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

EТМР - оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

EТМК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

EТМС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

EТМ - обобщающий показатель уровня оценки соответствия по направлению "Технологические меры".

2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EТМП), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Определена ли область применения меры защиты информации?";

"Определен ли порядок применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("определено");

0 - "нет" ("не определено").

2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EТМР), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0,75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0,25 - "в основном нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (EТМК), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников некредитной финансовой организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Обеспечен ли контроль области применения меры защиты информации?";

"Обеспечен ли контроль надлежащего применения меры защиты информации?";

"Обеспечен ли контроль знаний работников некредитной финансовой организации в части применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("контроль обеспечен");

0 - "нет" ("контроль не обеспечен").

2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EТМС), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("анализ совершенствования осуществляется");

0 - "нет" ("анализ совершенствования не осуществляется").

2.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" (EТМ) рекомендуется рассчитывать по формуле:

EТМ = 0,2EТМП + 0,4EТМР + 0,25EТМК + 0,15EТМС, где

EТМП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;

EТМР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;

EТМК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;

EТМС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.

Глава 3. Рекомендации по расчету значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения")

3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении требований, указанных в приложении 2 к настоящим Методическим рекомендациям (далее для целей настоящей главы - требования).

3.2. По направлению "Безопасность программного обеспечения" осуществляется расчет значений следующих показателей:

EПОП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

EПОР - оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

EПОК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

EПОС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

EПО - обобщающий показатель уровня оценки соответствия по направлению "Безопасность программного обеспечения".

3.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EПОП), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Определена ли область применения меры защиты информации?";

"Определен ли порядок применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("определено");

0 - "нет" ("не определено").

3.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EПОР), рекомендуется рассчитывать по формуле:

где

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0,75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0,25 - "в основном нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

3.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля реализации мер защиты информации (EПОК), рекомендуется рассчитывать по формуле:

где:

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников некредитной финансовой организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Обеспечен ли контроль области применения меры защиты информации?";

"Обеспечен ли контроль надлежащего применения меры защиты информации?";

"Обеспечен ли контроль знаний работников некредитной финансовой организации в части применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("контроль обеспечен");

0 - "нет" ("контроль не обеспечен").

3.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EПОС), рекомендуется рассчитывать по формуле:

где:

i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("анализ совершенствования осуществляется");

0 - "нет" ("анализ совершенствования не осуществляется").

3.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Безопасность программного обеспечения" (EПО) рекомендуется рассчитывать по формуле:

EПО = 0,2EПОП + 0,4EПОР + 0,25EПОК + 0,15EПОС, где:

EПОП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.3 настоящей главы;

EПОР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 3.4 настоящей главы;

EПОК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 3.5 настоящей главы;

EПОС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.6 настоящей главы.

Глава 4. Заключительные положения

Настоящие Методические рекомендации подлежат размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя Банка России

Г.А.ЗУБАРЕВ

Приложение 1

к Методическим рекомендациям

по расчету значений показателей

оценки выполнения требований

к технологическим мерам защиты

информации и прикладному

программному обеспечению

автоматизированных систем

и приложений в целях составления

отчетности об оценке выполнения

требований к обеспечению защиты

информации некредитными финансовыми

организациями

ПЕРЕЧЕНЬ

ТРЕБОВАНИЙ К ТЕХНОЛОГИЧЕСКИМ МЕРАМ ЗАЩИТЫ ИНФОРМАЦИИ

ПО НАПРАВЛЕНИЮ "ТЕХНОЛОГИЧЕСКИЕ МЕРЫ"

1. Рекомендуемый перечень требований, установленных Положением Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П) в отношении некредитных финансовых организаций, выполнение которых оценивается при выборе соответствующего аналитического признака, характеризующего вид деятельности отчитывающейся организации <1>, приведен в таблице 1.1.

--------------------------------

<1> Аналитические признаки, характеризующие вид деятельности отчитывающихся организаций, определены пунктом 3 порядка и сроков составления отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями", пунктом 3 порядка и сроков составления отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией", пунктом 3 порядка и сроков составления отчетности по форме 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом", пунктом 3 порядка составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов".

Таблица 1.1

N п/п

Требования к технологическим мерам защиты информации

Общие требования к обеспечению защиты информации

1

Требование подпункта 1.10.1 пункта 1.10

Требования к обеспечению защиты информации, применяемые на технологическом участке идентификации, аутентификации и авторизации клиентов некредитных финансовых организаций в целях осуществления финансовых операций

2

Требование абзаца второго подпункта 1.10.2 пункта 1.10

3

Требование абзаца третьего подпункта 1.10.2 пункта 1.10

Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений

4

Требование абзаца второго подпункта 1.10.3 пункта 1.10

5

Требование абзаца третьего подпункта 1.10.3 пункта 1.10

6

Требование абзаца четвертого подпункта 1.10.3 пункта 1.10

7

Требование абзаца пятого подпункта 1.10.3 пункта 1.10

8

Требование абзаца шестого подпункта 1.10.3 пункта 1.10

Требования к обеспечению защиты информации, применяемые на технологическом участке удостоверения права клиентов некредитных финансовых организаций распоряжаться денежными средствами, ценными бумагами или иным имуществом

9

Требование абзаца второго подпункта 1.10.4 пункта 1.10

10

Требование абзаца третьего подпункта 1.10.4 пункта 1.10

Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления финансовой операции, учета результатов ее осуществления (при наличии учета)

11

Требование абзаца второго подпункта 1.10.5 пункта 1.10

12

Требование абзаца третьего подпункта 1.10.5 пункта 1.10

13

Требование абзаца четвертого подпункта 1.10.5 пункта 1.10

14

Требование абзаца пятого подпункта 1.10.5 пункта 1.10

2. Рекомендуемый перечень дополнительных требований, установленных Положением Банка России N 757-П в отношении некредитных финансовых организаций, являющихся операторами финансовой платформы, приведен в таблице 1.2.

Таблица 1.2

N п/п

Требования к технологическим мерам защиты информации

1

Требование абзаца второго подпункта 2.2.1 пункта 2.2

2

Требование абзаца третьего подпункта 2.2.1 пункта 2.2

3

Требование абзаца четвертого подпункта 2.2.1 пункта 2.2

4

Требование абзаца пятого подпункта 2.2.1 пункта 2.2

5

Требование подпункта 2.2.2 пункта 2.2

6

Требование пункта 2.3

3. Рекомендуемый перечень дополнительных требований, установленных Положением Банка России N 757-П в отношении некредитных финансовых организаций, являющихся операторами информационной системы, в которых осуществляется выпуск цифровых финансовых активов, операторами обмена цифровых финансовых активов, приведен в таблице 1.3.

Таблица 1.3

N п/п

Требования к технологическим мерам защиты информации

1

Требование абзаца второго пункта 3.2

2

Требование абзаца третьего пункта 3.2

3

Требование абзаца четвертого пункта 3.2

4

Требование абзаца пятого пункта 3.2

5

Требование абзаца шестого пункта 3.2

6

Требование абзаца седьмого пункта 3.2

7

Требование абзаца восьмого пункта 3.2

8

Требование абзаца девятого пункта 3.2

9

Требование абзаца второго пункта 3.3

10

Требование абзаца третьего пункта 3.3

11

Требование абзаца четвертого пункта 3.3 (до дня вступления указанного абзаца в силу может не учитываться при оценке выполнения требования)

Приложение 2

к Методическим рекомендациям

по расчету значений показателей

оценки выполнения требований

к технологическим мерам защиты

информации и прикладному

программному обеспечению

автоматизированных систем

и приложений в целях составления

отчетности об оценке выполнения

требований к обеспечению защиты

информации некредитными финансовыми

организациями

ПЕРЕЧЕНЬ

ТРЕБОВАНИЙ К ПРИКЛАДНОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ПРИЛОЖЕНИЙ ПО НАПРАВЛЕНИЮ

"БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ"

Рекомендуемый перечень требований, установленных Положением Банка России N 757-П в отношении некредитных финансовых организаций, выполнение которых оценивается при выборе соответствующего аналитического признака, характеризующего вид деятельности отчитывающейся организации <2>, приведен в таблице 2.1.

--------------------------------

<2> Аналитические признаки, характеризующие вид деятельности отчитывающихся организаций, определены пунктом 4 порядка и сроков составления отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями", пунктом 4 порядка и сроков составления отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией", пунктом 4 порядка и сроков составления отчетности по форме 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом", пунктом 4 порядка составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов".

Таблица 2.1

N п/п

Требования к прикладному программному обеспечению автоматизированных систем и приложений

1

Требование пункта 1.8 (в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитными финансовыми организациями своим клиентам для совершения действий в целях осуществления финансовых операций)

2

Требование пункта 1.8 (в отношении программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет")

Другие документы по теме
Ошибка на сайте