Действующий
Значения оценок заносят в формы, приведенные в таблицах В.10-В.13 (приложение В), для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.
раздел 9), ЕМАС определяют путем использования следующих числовых значений:
6.10.3 Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (
В перечень неоцениваемых областей оценки соответствия ЗИ могут быть включены организационные и технические меры ЗИ:
- непосредственно связанные с информационными технологиями, не используемыми в проверяемой организации;
- реализация которых не является необходимой для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. При этом проверяющая группа должна проверить актуальность и обоснованность действующей модели угроз и нарушителей безопасности информации проверяемой организации.
Перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ включают в отчет по результатам оценки соответствия ЗИ.
пункт 6.4) вместо организационных и технических мер ЗИ, предусмотренных ГОСТ Р 57580.1, применяют иные (компенсирующие) меры ЗИ, при определении оценок ЕМЗИ, ЕМОУ и ЕМАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют оценку компенсирующих мер в соответствии с 6.10.1-6.10.3.
6.12 В случае, если в соответствии с ГОСТ Р 57580.1-2017 (
Обоснование применения компенсирующих мер ЗИ включают в отчет по результатам оценки соответствия ЗИ.
- документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде и, при необходимости, документы третьих лиц, относящиеся к обеспечению ЗИ финансовой организации и находящиеся в распоряжении проверяемой организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов в области оценки соответствия ЗИ;
- результаты наблюдений членов проверяющей группы за процессами системы ЗИ и деятельностью сотрудников проверяемой организации в области оценки соответствия ЗИ;
- технические и программные средства сбора свидетельств полноты реализации мер ЗИ (анализ электронных журналов регистрации, анализ фактических настроек, анализ уязвимостей, проведение тестирования на проникновение и т.п.).
Выбор конкретных источников свидетельств при проведении оценки соответствия ЗИ осуществляет проверяющая организация (проверяющая группа) с учетом предложений проверяемой организации и обеспечения максимальной достоверности оценки соответствия ЗИ.
ГОСТ Р 57580.1 по согласованию с проверяемой организацией могут использовать технические и программные средства для анализа параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ, а также результаты анализа уязвимостей и проведения тестирования на проникновение.
6.14 При проведении оценки соответствия ЗИ сотрудники проверяющей организации (проверяющая группа) при сборе свидетельств выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями
Проверку параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ проверяемой организации, а также результатов анализа уязвимостей и проведения тестирования на проникновение осуществляют в присутствии уполномоченных сотрудников проверяемой организации.
приложении А. При заполнении листов для сбора свидетельств необходимо указать ссылки на соответствующие документы и иные материалы проверяемой организации или документы третьих лиц, результаты опроса сотрудников проверяемой организации, результаты наблюдений членов проверяющей группы, а также результаты работы технических и программных средств в соответствии с 6.14. Результаты опроса должны быть подтверждены подписями члена (членов) проверяющей группы и опрашиваемого сотрудника (сотрудников) проверяемой организации.
6.15 Полученные свидетельства и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки процессов системы ЗИ и направлений ЗИ, форма которых приведена в ![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image1.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image2.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image3.emf.jpg)
где
- оценка выбора j-й меры ЗИ, оцениваемой в рамках i-го процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ. Соответствующие значения
берут из таблиц В.1-В.8 (приложение В);
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image5.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image6.emf.jpg)
j - порядковый номер меры ЗИ в процессе (подпроцессе) системы ЗИ, оцениваемой в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ;
N - общее количество мер ЗИ, выбор которых оценивается в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ.
где
- оценка выбора организационных и технических мер ЗИ k-го подпроцесса системы ЗИ в i-м процессе системы ЗИ;
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image10.emf.jpg)
Значения оценок
(
) заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), а оценки
также заносят в форму, приведенную в таблице В.14 (приложение В).
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image11.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image12.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image13.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image14.emf.jpg)
где
- оценка полноты реализации n-й меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения
берут из таблицы В.10 (приложение В);
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image16.emf.jpg)
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image17.emf.jpg)
n - порядковый номер меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ;
F - общее количество мер ЗИ, реализация которых оценивается в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ.
![](https://dokipedia.ru/sites/default/files/doc_files/534/701/5/files/image19.emf.jpg)