(Действующий) Национальный стандарт РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
321 × 53 пикс.     Открыть в новом окне
;
(10)
- при оценке контуров безопасности с первым и третьим уровнями ЗИ:
317 × 52 пикс.     Открыть в новом окне
;
(11)
- при оценке контуров безопасности со вторым и третьим уровнями ЗИ:
324 × 55 пикс.     Открыть в новом окне
;
(12)
где - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен первый уровень ЗИ;
- оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен второй уровень ЗИ;
- оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен третий уровень ЗИ.
Значения оценок Ei заносят в форму, приведенную в таблице В.14 (приложение В).
7.9 Качественную оценку уровня соответствия каждого процесса системы ЗИ определяют по таблице 1 в соответствии с числовыми оценками Ei. Описание уровней соответствия содержится в качественной модели оценивания, приведенной в 6.9.

Таблица 1 - Качественная оценка уровня соответствия процессов системы ЗИ

Ei
Уровень соответствия
Ei = 0
Нулевой
0 < Ei 0,5
Первый
0,5 < Ei 0,7
Второй
0,7 < Ei 0,85
Третий
0,85 < Ei 0,9
Четвертый
0,9 < Ei 1
Пятый
Значения качественных оценок заносят в форму, приведенную в таблице В.14 (приложение В).
7.10 Числовую итоговую оценку соответствия ЗИ R вычисляют по формуле (13) как среднеарифметическое значение оценок Ei для всех процессов системы ЗИ и оценки EAC.
369 × 126 пикс.     Открыть в новом окне
,
(13)
где - оценка соответствия ЗИ i-го процесса системы ЗИ;
i - номер процесса системы ЗИ;
Т - количество процессов системы ЗИ, вошедших в область оценки соответствия ЗИ;
- оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации;
Z - количество нарушений ЗИ, выявленных членами проверяющей группы в процессе оценки соответствия ЗИ.
При выявлении самостоятельно членами проверяющей группы в процессе оценки соответствия ЗИ фактов нарушений ЗИ, в результате которых имелась или имеется возможность наступления инцидентов ЗИ, наносящих ущерб финансовой организации или ее клиентам, числовую итоговую оценку соответствия ЗИ R снижают на числовое значение, равное 0,01, за каждый выявленный факт нарушения.
Факты нарушений ЗИ, выявленные проверяемой организацией самостоятельно до начала и в процессе оценки соответствия ЗИ, по которым проведено разбирательство до окончания оценки соответствия ЗИ и приняты или запланированы с документальным оформлением соответствующие меры реагирования, при снижении итоговой оценки соответствия ЗИ не учитываются. Перечень нарушений приведен в приложении Б.
В случае, если полноту применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации не оценивают (EAC = 0), в знаменателе формулы (13) указывают только значение Т.
Значение итоговой оценки R заносят в форму, приведенную в таблице В.14 (приложение В).
7.11 При вычислении оценок, указанных в разделе 7, их значения необходимо округлять до второго знака после запятой в соответствии с математическими правилами.
7.12 Заполненные формы, приведенные в приложениях А и В, являются приложением к отчету по результатам оценки соответствия ЗИ.
7.13 Числовые оценки соответствия ЗИ R, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.

8 Требования к оформлению результатов оценки соответствия ЗИ

8.1 По результатам оценки соответствия ЗИ проверяющая организация должна подготовить отчет.
8.2 Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ и включать следующие данные:
- сведения о проверяющей организации;
- сведения о руководителе и членах проверяющей группы;
- сведения о проверяемой организации;
- сведения о заказчике оценки соответствия ЗИ;
- цель оценки соответствия ЗИ;
- сроки проведения оценки соответствия ЗИ;
- область оценки соответствия ЗИ;
- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;
- неразрешенные разногласия между проверяющей группой и проверяемой организацией;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;
- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;