(Действующий) Национальный стандарт РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
j - порядковый номер меры ЗИ, оцениваемой в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ;
L - общее количество мер ЗИ, применение которых оценивается в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ.
Значение оценки ЕАС заносят в формы, приведенные в таблицах В.9 и В.14 (приложение В).
7.7 Числовое значение оценки соответствия каждого процесса системы ЗИ Еi вычисляют по формуле (8) отдельно по каждому из i-го процессов системы ЗИ как среднеарифметическое значение числовой оценки и суммы числовых значений оценок , , , с учетом их весовых коэффициентов.
805 × 106 пикс.     Открыть в новом окне
.
(8)
7.8 В случае если в область оценки соответствия ЗИ входят несколько контуров безопасности с различными уровнями ЗИ, сформированными финансовой организацией в соответствии с требованиями ГОСТ Р 57580.1-2017 (пункт 6.7) для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России, числовое значение оценки каждого процесса системы ЗИ Ei вычисляют по формуле (8) отдельно по контурам безопасности с одинаковым установленным уровнем ЗИ. Общее числовое значение оценки каждого процесса системы ЗИ Ei (в зависимости от различных вариантов наличия у проверяемой организации контуров безопасности с разными установленными уровнями ЗИ) вычисляют по формулам (9)-(12) как сумму числовых значений оценок Ei для контура (контуров) безопасности с учетом их весовых коэффициентов:
- при оценке контуров безопасности с первым, вторым и третьим уровнями ЗИ:
457 × 57 пикс.     Открыть в новом окне
;
(9)
- при оценке контуров безопасности с первым и вторым уровнями ЗИ:
321 × 53 пикс.     Открыть в новом окне
;
(10)
- при оценке контуров безопасности с первым и третьим уровнями ЗИ:
317 × 52 пикс.     Открыть в новом окне
;
(11)
- при оценке контуров безопасности со вторым и третьим уровнями ЗИ:
324 × 55 пикс.     Открыть в новом окне
;
(12)
где - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен первый уровень ЗИ;
- оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен второй уровень ЗИ;
- оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен третий уровень ЗИ.
Значения оценок Ei заносят в форму, приведенную в таблице В.14 (приложение В).
7.9 Качественную оценку уровня соответствия каждого процесса системы ЗИ определяют по таблице 1 в соответствии с числовыми оценками Ei. Описание уровней соответствия содержится в качественной модели оценивания, приведенной в 6.9.

Таблица 1 - Качественная оценка уровня соответствия процессов системы ЗИ

Ei
Уровень соответствия
Ei = 0
Нулевой
0 < Ei 0,5
Первый
0,5 < Ei 0,7
Второй
0,7 < Ei 0,85
Третий
0,85 < Ei 0,9
Четвертый
0,9 < Ei 1
Пятый
Значения качественных оценок заносят в форму, приведенную в таблице В.14 (приложение В).
7.10 Числовую итоговую оценку соответствия ЗИ R вычисляют по формуле (13) как среднеарифметическое значение оценок Ei для всех процессов системы ЗИ и оценки EAC.
369 × 126 пикс.     Открыть в новом окне
,
(13)
где - оценка соответствия ЗИ i-го процесса системы ЗИ;
i - номер процесса системы ЗИ;
Т - количество процессов системы ЗИ, вошедших в область оценки соответствия ЗИ;
- оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации;
Z - количество нарушений ЗИ, выявленных членами проверяющей группы в процессе оценки соответствия ЗИ.
При выявлении самостоятельно членами проверяющей группы в процессе оценки соответствия ЗИ фактов нарушений ЗИ, в результате которых имелась или имеется возможность наступления инцидентов ЗИ, наносящих ущерб финансовой организации или ее клиентам, числовую итоговую оценку соответствия ЗИ R снижают на числовое значение, равное 0,01, за каждый выявленный факт нарушения.
Факты нарушений ЗИ, выявленные проверяемой организацией самостоятельно до начала и в процессе оценки соответствия ЗИ, по которым проведено разбирательство до окончания оценки соответствия ЗИ и приняты или запланированы с документальным оформлением соответствующие меры реагирования, при снижении итоговой оценки соответствия ЗИ не учитываются. Перечень нарушений приведен в приложении Б.
В случае, если полноту применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации не оценивают (EAC = 0), в знаменателе формулы (13) указывают только значение Т.
Значение итоговой оценки R заносят в форму, приведенную в таблице В.14 (приложение В).
7.11 При вычислении оценок, указанных в разделе 7, их значения необходимо округлять до второго знака после запятой в соответствии с математическими правилами.
7.12 Заполненные формы, приведенные в приложениях А и В, являются приложением к отчету по результатам оценки соответствия ЗИ.
7.13 Числовые оценки соответствия ЗИ R, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.

8 Требования к оформлению результатов оценки соответствия ЗИ

8.1 По результатам оценки соответствия ЗИ проверяющая организация должна подготовить отчет.
8.2 Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ и включать следующие данные:
- сведения о проверяющей организации;
- сведения о руководителе и членах проверяющей группы;
- сведения о проверяемой организации;
- сведения о заказчике оценки соответствия ЗИ;
- цель оценки соответствия ЗИ;