Приложение 1. Документ, подтверждающий выполнение юридическим лицом, намеревающимся получить статус оператора финансовой платформы, требований по защите информации. Положение Банка России от 03.12.2020 N 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы"

Приложение 1
к Положению Банка России
от 3 декабря 2020 года N 742-П
"О требованиях по защите информации, которые должно
выполнять юридическое лицо, намеревающееся получить
статус оператора финансовой платформы, о ведении
Банком России реестра операторов финансовых платформ
и о требованиях к порядку регистрации Банком России
изменений в правила финансовой платформы"

(Форма)

Документ, подтверждающий выполнение юридическим лицом, намеревающимся получить статус оператора финансовой платформы, требований по защите информации

Руководитель (уполномоченное лицо) соискателя _____________________________________________________

                                               (фамилия, имя, отчество (последнее - при наличии)

                                              _____________________________________________________

                                                                (дата, подпись)

Порядок заполнения документа, подтверждающего выполнение юридическим лицом, намеревающимся получить статус оператора финансовой платформы, требований по защите информации

1. Объектом оценки, предусмотренной разделом 1 документа, подтверждающего выполнение юридическим лицом, намеревающимся получить статус оператора финансовой платформы, требований по защите информации (далее - Документ о защите информации), являются технологии обработки защищаемой информации при формировании (подготовке), передаче и приеме электронных сообщений (указаний), удостоверении права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом, совершении финансовых сделок с использованием финансовой платформы, предусмотренной пунктом 1 части 1 статьи 2 Федерального закона от 20 июля 2020 года N 211-ФЗ (далее - финансовые операции), учете результатов их осуществления, хранении электронных сообщений (указаний) и информации о совершенных финансовых операциях на основе анализа рисков.

Заполнение раздела 1 Документа о защите информации осуществляется на основе оценки соответствия выполнения соискателем технологических мер защиты информации, перечисленных в таблице 1 настоящего порядка, проведенной в соответствии с подпунктами 1.1-1.5 настоящего пункта.

Таблица 1

N п/п	Технологические меры защиты информации
1	Технология обработки защищаемой информации обеспечивает подписание электронных сообщений (указаний) способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом
2	Технология обработки защищаемой информации, применяемая на всех технологических участках, обеспечивает целостность и неизменность защищаемой информации
3	Технология обработки защищаемой информации обеспечивает применение механизмов и (или) протоколов формирования и обмена электронными сообщениями, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификации входных электронных сообщений
4	Технология обработки защищаемой информации обеспечивает взаимную (двухстороннюю) аутентификацию участников обмена электронными сообщениями средствами вычислительной техники соискателя
5	Технология обработки защищаемой информации обеспечивает восстановление защищаемой информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники
6	Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает проверку правильности формирования (подготовки) электронных сообщений (указаний) (двойной контроль)
7	Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает проверку правильности заполнения полей электронного сообщения (указания) и прав владельца электронной подписи (входной контроль)
8	Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает контроль дублирования электронного сообщения (указания)
9	Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает структурный контроль электронных сообщений (указаний)
10	Технология обработки защищаемой информации на технологическом участке формирования (подготовки), передачи и приема электронных сообщений (указаний) обеспечивает защиту защищаемой информации при ее передаче по каналам связи
11	Технология обработки защищаемой информации на технологическом участке удостоверения права клиентов операторов инвестиционных платформ распоряжаться денежными средствами, ценными бумагами или иным имуществом обеспечивает получение электронных сообщений (указаний) клиента, подписанных клиентом способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом
12	Технология обработки защищаемой информации на технологическом участке удостоверения права клиентов операторов инвестиционных платформ распоряжаться денежными средствами, ценными бумагами или иным имуществом обеспечивает получение от клиента подтверждения финансовой операции
13	Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает проверку соответствия (сверку) выходных электронных сообщений (указаний) соответствующим входным электронным сообщениям (указаниям)
14	Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает проверку соответствия (сверку) результатов осуществления финансовых операций информации, содержащейся в электронных сообщениях (указаниях)
15	Технология обработки защищаемой информации на технологическом участке совершения финансовой сделки, учета результатов ее осуществления (при наличии учета) обеспечивает направление клиентам финансовых платформ уведомлений о совершении финансовой сделки в случае, когда такое уведомление предусмотрено законодательством Российской Федерации, регулирующим деятельность финансовых платформ, или договором

1.1. В строке 1.1 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации, где значение равно "1", если область применения меры защиты информации определена ("да"), значение равно "0", если область применения меры защиты информации не определена ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации, где значение равно "1", если порядок применения меры защиты информации определен ("да"), значение равно "0", если порядок применения меры защиты информации не определен ("нет").

1.2. В строке 1.2 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, равное следующим показателям:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0.75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0.5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0.25 - "в основном нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

1.3. В строке 1.3 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации, где значение равно "1", если контроль области применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль области применения меры защиты информации не обеспечен ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля должного применения меры защиты информации, где значение равно "1", если контроль должного применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль должного применения меры защиты информации не обеспечен ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников соискателя в части применения меры защиты информации, где значение равно "1", если контроль знаний работников соискателя в части применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль знаний работников соискателя в части применения меры защиты информации не обеспечен ("нет").

1.4. В строке 1.4 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 1 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 1 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации осуществляется ("да"), значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации не осуществляется ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации осуществляется, значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации не осуществляется ("нет").

1.5. В строке 1.5 Документа о защите информации указывается значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" (ЕТМ), которое рассчитывается по формуле:

,

где:

- значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.1 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с подпунктом 1.2 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.3 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с подпунктом 1.4 настоящего пункта.

2. Объектом оценки, предусмотренной разделом 2 Документа о защите информации, является прикладное программное обеспечение автоматизированных систем и приложений, распространяемых соискателем своим клиентам для осуществления действий в целях совершения финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию при приеме электронных сообщений (указаний) к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет".

Заполнение раздела 2 Документа о защите информации осуществляется на основе проведенной в соответствии с подпунктами 2.1-2.5 настоящего пункта оценки соответствия выполнения мер, предусмотренных таблицей 2 настоящего порядка.

Таблица 2

N п/п

Меры защиты информации по направлению "Безопасность программного обеспечения"

1

Обеспечивается использование соискателем для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренному пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014)

2.1. В строке 2.1 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации, где значение равно "1", если область применения меры защиты информации определена ("да"), значение равно "0", если область применения меры защиты информации не определена ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации, где значение равно "1", если порядок применения меры защиты информации определен ("да"), значение равно "0", если порядок применения меры защиты информации не определен ("нет").

2.2. В строке 2.2 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, равное следующим показателям:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0.75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0.5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0.25 - "в основном нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

2.3. В строке 2.3 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса контроля реализации мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации, где значение равно "1", если контроль области применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль области применения меры защиты информации не обеспечен ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля должного применения меры защиты информации, где значение равно "1", если контроль должного применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль должного применения меры защиты информации не обеспечен ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников соискателя в части применения меры защиты информации, где значение равно "1", если контроль знаний работников соискателя в части применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль знаний работников соискателя в части применения меры защиты информации не обеспечен ("нет").

2.4. В строке 2.4 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации , которое рассчитывается по формуле:

,

где:

i - порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;

N - общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружение инцидентов защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации осуществлен ("да"), значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации не осуществлен ("нет");

- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации осуществлен ("да"), значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации не осуществлен ("нет").

2.5. В строке 2.5 Документа о защите информации указывается значение обобщающего показателя уровня оценки соответствия по направлению "Безопасность программного обеспечения" , которое рассчитывается по формуле:

,

где:

- значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.1 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с подпунктом 2.2 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.3 настоящего пункта;

- значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.4 настоящего пункта.

3. Заполнение сведений раздела 3 Документа о защите информации осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 ГОСТ Р 57580.2-2018.

3.1. В рамках направления "Безопасность информационной инфраструктуры" соискателем проводится оценка применения организационных и технических мер процесса системы защиты информации, указанных в ГОСТ Р 57580.1-2017.

Объектом оценки применения организационных и технических мер процесса системы защиты информации в рамках направления "Безопасность информационной инфраструктуры" являются автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется соискателем.

3.2. Оценка выполнения соискателем требований по защите информации по направлению "Безопасность информационной инфраструктуры" осуществляется соискателем с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).

4. В строке 4.1 Документа о защите информации указывается значение итогового показателя уровня оценки соответствия , которое приравнивается к среднеарифметическому значению обобщающих показателей оценки соответствия по направлениям "Технологические меры" , "Безопасность программного обеспечения" и итоговой оценки соответствия R раздела 3 Документа о защите информации.

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)