ЦБ РФ представил новое Указание №6060-У от 12 января 2022 года, зарегистрированное Министерством Юстиции РФ №67755 от 15 марта 2022 года «О формах и методиках составления, порядке и сроках предоставления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств.
Важно! Указание вступит в силу с 1 января 2024 года.
Как уже видно из названия, документ распространяется на:
- Операторов услуг платежной инфраструктуры;
- Операторов по переводу денежных средств.
Данное Указание устанавливает кто, каким образом, когда и куда направляет отчетные документы по обеспечению защиты информации при осуществлении переводов денежных средств. Речь идет о знакомых нам формах 202 и 203.
В таблице приведены данные о сроках предоставления отчетности.
Порядок предоставления отчетности
Главные моменты отчетности, которая предоставляется в БР:
- Электронный вид;
- Подписана УКЭП;
- Предоставлена через личный кабинет, ссылка на который расположена на сайте БР;
- В ней должны быть заполнены все строки и графы, которые предусмотрены для заполнения.
Форма 203 за 4 квартал 2022 года составляется и предоставляется по форме, методике и в сроки, которые установлены Указанием БР от 9 июня 2012 года №2831-У, в соответствии с порядком взаимодействия посредством личного кабинета. Указания №2831-У, №3024-У, №4753-У утратят свою силу с 1 марта 2024 года.
При этом операторы услуг платежной инфраструктуры, которые начали выполнять функции РЦ после вступления в силу настоящего Указания, должны предоставить форму 203 начиная с отчетного квартала, следующего за кварталом, в котором он начал исполнять эти функции
Рассмотрим Приложения к Указанию более подробно.
Приложение 1.
Приложение 1 содержит в себе сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра (202 форма/предоставляется на нерегулярной основе).
Ниже самой формы, которую необходимо заполнить, содержится методика составления этой самой отчетности.
В Указании №2831-У форма 202 содержит в себе только одну таблицу, в которой были показатели Ev1, Ev2 и итоговый показатель R.
Раздел 1.
Раздел 1 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Технологические меры». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к технологическим мерам защиты информации, которые описаны в 719-П.
В разделе 1 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- вид оценки соответствия защиты информации в рамках направления «Технологические меры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначения используются показатель E. Например, ЕТМП.
- значение оценки.
Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.
Раздел 2.
Раздел 2 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность программного обеспечения». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к прикладному программному обеспечению, которые описаны в 719-П.
В разделе 2 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- вид оценки соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначение используется показатель Е. Например, EПОП.
- значение оценки.
Для значения оценки ППО ОС используются значения:
- «Сертификация ФСТЭК».
- «Оценка соответствия ОУД».
Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.
Раздел 3.
Раздел 3 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, в соответствии с 7 разделом ГОСТ Р 57580.2-2018.
В разделе 3 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- процесс защиты информации (в соответствии с ГОСТ 57580);
- направление защиты информации. А именно цикли Деминга, ЖЦ, качественная оценка уровня соответствия каждого процесса, оценка соответствия каждого процесса. Для обозначение используется показатель Е. Например, ЕПЗИi ;
- значение оценки в соответствии с ГОСТ 57580.2-2018;
- количество нарушений защиты информации, выявленных в результате оценки соответствия защиты информации, Z; (в соответствии с ГОСТ 57580.2-2018);
- итоговую оценку соответствия защиты информации, R. (в соответствии с ГОСТ 57580.2-2018).
Раздел 4.
В разделе 4 указываются сведения о проверяющей организации. Важно то, что она должна иметь лицензию на осуществление деятельности по ТЗКИ.