Действующий
7.9 Качественную оценку уровня соответствия каждого процесса системы ЗИ определяют по таблице 1 в соответствии с числовыми оценками Ei. Описание уровней соответствия содержится в качественной модели оценивания, приведенной в 6.9.
Ei | Уровень соответствия |
Ei = 0 | Нулевой |
0 < Ei  0,5 | Первый |
0,5 < Ei  0,7 | Второй |
0,7 < Ei  0,85 | Третий |
0,85 < Ei  0,9 | Четвертый |
0,9 < Ei  1 | Пятый |
7.10 Числовую итоговую оценку соответствия ЗИ R вычисляют по формуле (13) как среднеарифметическое значение оценок Ei для всех процессов системы ЗИ и оценки EAC.
- оценка соответствия ЗИ i-го процесса системы ЗИ;
- оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации;
Z - количество нарушений ЗИ, выявленных членами проверяющей группы в процессе оценки соответствия ЗИ.
При выявлении самостоятельно членами проверяющей группы в процессе оценки соответствия ЗИ фактов нарушений ЗИ, в результате которых имелась или имеется возможность наступления инцидентов ЗИ, наносящих ущерб финансовой организации или ее клиентам, числовую итоговую оценку соответствия ЗИ R снижают на числовое значение, равное 0,01, за каждый выявленный факт нарушения.
Факты нарушений ЗИ, выявленные проверяемой организацией самостоятельно до начала и в процессе оценки соответствия ЗИ, по которым проведено разбирательство до окончания оценки соответствия ЗИ и приняты или запланированы с документальным оформлением соответствующие меры реагирования, при снижении итоговой оценки соответствия ЗИ не учитываются. Перечень нарушений приведен в приложении Б.
В случае, если полноту применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации не оценивают (EAC = 0), в знаменателе формулы (13) указывают только значение Т.
7.11 При вычислении оценок, указанных в разделе 7, их значения необходимо округлять до второго знака после запятой в соответствии с математическими правилами.
7.12 Заполненные формы, приведенные в приложениях А и В, являются приложением к отчету по результатам оценки соответствия ЗИ.
7.13 Числовые оценки соответствия ЗИ R, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.
8.2 Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ и включать следующие данные:
- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А;
- перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;
- таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ и заполненные по формам, приведенным в приложении В;
- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.
8.4 Отчет по результатам оценки соответствия ЗИ должен иметь сквозную нумерацию страниц, регистрационный номер, должен быть прошит нитью, не имеющей разрывов, и скреплен печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы.
8.5 Копии документов на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяемой организации с указанием количества листов документа в заверительной надписи, подписанной руководителем проверяемой организации или лицом им уполномоченным.