ЗИ - защита информации;

МНИ - машинные носители информации;

ПО - программное обеспечение;

СВТ - средство вычислительной техники.

5 Назначение и структура настоящего стандарта

Раздел 6 содержит описание общей методологии оценки соответствия ЗИ.

Раздел 7 содержит:

- требования к методике оценки соответствия ЗИ;

- описание методологии определения итоговой оценки соответствия ЗИ.

Раздел 8 содержит требования к оформлению результатов оценки соответствия ЗИ.

В приложении А приведена форма листов для сбора свидетельств оценки соответствия ЗИ, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

В приложении Б приведен примерный перечень нарушений ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам.

В приложении В приведены формы таблиц оценок, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

6 Общие положения

6.1 В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.

Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ*.

──────────────────────────────

* Рекомендуемые типовые действия при проведении оценки соответствия приведены в стандарте [3], раздел 6.

6.2 Оценку соответствия ЗИ осуществляют по следующим направлениям:

- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);

- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);

- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).

6.3 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:

- процесс 1 "Обеспечение защиты информации при управлении доступом";

- процесс 2 "Обеспечение защиты вычислительных сетей";

- процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

- процесс 4 "Защита от вредоносного кода";

- процесс 5 "Предотвращение утечек информации";

- процессе "Управление инцидентами защиты информации";

- процесс 7 "Защита среды виртуализации";

- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Управление учетными записями и правами субъектов логического доступа";

- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";

- "Защита информации при осуществлении физического доступа";

- "Идентификация, классификация и учет ресурсов и объектов доступа".

6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Сегментация и межсетевое экранирование вычислительных сетей";

- "Выявление вторжений и сетевых атак";

- "Защита информации, передаваемой по вычислительным сетям";

- "Защита беспроводных сетей".

6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Мониторинг и анализ событий защиты информации";

- "Обнаружение инцидентов защиты информации и реагирование на них".

6.7 Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в 6.3, по следующим направлениям:

- направление 1 "Планирование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.2);

- направление 2 "Реализация процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.3);

- направление 3 "Контроль процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.4);

- направление 4 "Совершенствование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.5).

6.8 Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.