Действующий
В случае, если полноту применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации не оценивают (EAC = 0), в знаменателе формулы (13) указывают только значение Т.
7.11 При вычислении оценок, указанных в разделе 7, их значения необходимо округлять до второго знака после запятой в соответствии с математическими правилами.
7.12 Заполненные формы, приведенные в приложениях А и В, являются приложением к отчету по результатам оценки соответствия ЗИ.
7.13 Числовые оценки соответствия ЗИ R, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.
8.2 Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ и включать следующие данные:
- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.
- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А;
- перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;
- таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ и заполненные по формам, приведенным в приложении В;
- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.
8.4 Отчет по результатам оценки соответствия ЗИ должен иметь сквозную нумерацию страниц, регистрационный номер, должен быть прошит нитью, не имеющей разрывов, и скреплен печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы.
8.5 Копии документов на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяемой организации с указанием количества листов документа в заверительной надписи, подписанной руководителем проверяемой организации или лицом им уполномоченным.
Тома с документами на бумажных носителях, прилагаемые к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяющей организации с указанием количества листов тома в заверительной надписи, подписанной руководителем проверяющей группы.
Для каждого электронного документа, файла данных, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.
8.6 Отчет по результатам оценки соответствия ЗИ должен быть подписан руководителем и всеми членами проверяющей группы, утвержден руководителем проверяющей организации и передан (направлен) проверяемой организации не позднее даты, установленной договором на проведение работ по оценке соответствия ЗИ.
8.7 Отчет по результатам оценки соответствия ЗИ является собственностью проверяемой организации. Члены проверяющей группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
8.8 Порядок и сроки направления финансовой организацией отчета по результатам оценки соответствия ЗИ в Банк России, а также сроки его хранения проверяемой организацией определяются нормативными актами Банка России.
Условное обозначение и номер меры ЗИ | Источники свидетельств оценки соответствия ЗИ (документы, результаты опроса или наблюдений) | Ф.И.О. и должность сотрудника (сотрудников) проверяемой организации, предоставившего (предоставивших) свидетельства оценки соответствия ЗИ | Подписи члена (членов) проверяющей группы и сотрудника (сотрудников) проверяемой организации | Дата |