Что является событием для сдачи отчетности по формам 0420174 и 0420175 и кто должен отвечать за эти формы и события у страховщика?
Отчетность по форме 0420174 составляется страховыми организациями в соответствии с Порядком и сроками составления отчетности по форме 0420174, установленными в приложении 1 к Указанию № 6315-У, а также с учетом требований Положения № 779-П.
Все разделы отчетности по форме 0420174 представляются страховой организацией в полном объеме при ее первичном представлении, а также по состоянию на последний календарный день года.
В рамках разделов 1–6 отчетности по форме 0420174 информация о показателях «Продолжительность времени работы (функционирования) технологического процесса» (строка 2) и «Суммарное время простоя и (или) деградации технологического процесса» (строка 6) представляется страховой организацией по состоянию на последний день I квартала, первого полугодия и 9 месяцев.
Иные показатели разделов 1–6 отчетности по форме 0420174 представляются в случае их изменения в сравнении с предыдущим отчетным периодом.
Отчетность по форме 0420175 составляется страховой организацией, указанной в абзаце пятом подпункта 1.4.3 пункта 1.4 Положения № 757-П, и представляется в течение 30 рабочих дней после дня проведения оценки соответствия уровня защиты информации, предусмотренной пунктом 1.5 Положения № 757-П.
Согласно подпункту 1.5.3 пункта 1.5 Положения № 757-П оценка соответствия уровня защиты информации осуществляется страховой организацией с привлечением проверяющей организации в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2-2018).
Разделы 1, 2 отчетности по форме 0420175 отражают степень выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации (направление «Технологические меры»), и требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений (направление «Безопасность программного обеспечения»), установленных Положением № 757-П.
В целях расчета показателей раздела 1 отчетности по форме 0420175 страховым организациям рекомендуется оценивать выполнение следующих требований Положения № 757-П:
В целях расчета показателей раздела 2 отчетности по форме 0420175 страховым организациям рекомендуется оценивать выполнение следующих требований Положения № 757-П:
В целях обеспечения единого подхода к расчету значений показателей разделов 1, 2 отчетности по форме 0420175 Банком России подготовлены Методические рекомендации от 20.06.2023 № 8-МР по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации некредитными финансовыми организациями.
Оценка выполнения требований по направлениям «Технологические меры» и «Безопасность программного обеспечения» может осуществляться страховой организацией самостоятельно, при этом привлечение сторонней организации, имеющей лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации», не обязательно.
Раздел 3 отчетности по форме 0420175 отражает результат оценки соответствия уровню защиты информации, проведенной проверяющей организацией в соответствии с ГОСТ Р 57580.2-2018 (направление «Безопасность информационной инфраструктуры»).
Раздел 4 отчетности по форме 0420175 отражает сведения о проверяющей организации.