Порядок проведения оценки соответствия защиты информации
Резюме от Б-152
Действующие требования
Оценка защиты информации в кредитных организациях проводится в соответствии с конкретными нормативными актами Банка России:
- Положение Банка России № 683-П (противодействие несанкционированным переводам).
- Положение Банка России № 719-П (защита информации при переводах денежных средств).
- Положение Банка России № 757-П (для некредитных финансовых организаций, если деятельность совмещается).
- Положение Банка России № 802-П (защита информации в платежной системе Банка России).
Виды оценки
Отчетность по форме 0409071 объединяет два разных вида оценки:
- Оценка выполнения требований: Степень выполнения технологических мер защиты и требований к ПО. Проводится на основе методик ЦБ.
- Оценка соответствия защиты информации: Проводится в соответствии с национальным стандартом ГОСТ Р 57580.2-2018.
Порядок отчетности
Результаты обеих оценок представляются в Банк России одновременно в рамках единой отчетности по форме 0409071.
- Срок: в течение 30 рабочих дней с даты завершения оценки соответствия.
- Отчетность можно подавать чаще установленной периодичности.
Сведения по разным направлениям деятельности можно представлять отдельно, но оценки (выполнения требований и соответствия) по одному направлению должны подаваться одновременно.
Организация процесса оценки
Кредитная организация вправе проводить «Оценку выполнения требований» самостоятельно. Привлечение лицензированных организаций для этого не является обязательным.
Периодичность оценки соответствия устанавливается нормативными актами ЦБ.
Сроки проведения последующих оценок определяются от даты предыдущей, даже если нормативный акт был заменен новым (при сохранении периодичности).
Оценки, проведенные по утратившим силу актам (например, № 382-П), не засчитываются для определения периодичности по новым (например, № 719-П).
Если вы все еще сомневаетесь в правильности применения рекомендаций регулятора,
Кто формировал письмо
Г.А.Зубарев - Заместитель председателя Банка России
Скан