- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;

- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;

- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;

- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;

- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;

- неразрешенные разногласия между проверяющей группой и проверяемой организацией;

- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;

- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;

- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;

- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

8.3 К отчету по результатам оценки соответствия ЗИ прилагаются и являются его неотъемлемой частью:

- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А;

- перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;

- рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;

- таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ и заполненные по формам, приведенным в приложении В;

- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;

- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.

8.4 Отчет по результатам оценки соответствия ЗИ должен иметь сквозную нумерацию страниц, регистрационный номер, должен быть прошит нитью, не имеющей разрывов, и скреплен печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы.

8.5 Копии документов на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяемой организации с указанием количества листов документа в заверительной надписи, подписанной руководителем проверяемой организации или лицом им уполномоченным.

Тома с документами на бумажных носителях, прилагаемые к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяющей организации с указанием количества листов тома в заверительной надписи, подписанной руководителем проверяющей группы.

Для каждого электронного документа, файла данных, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

8.6 Отчет по результатам оценки соответствия ЗИ должен быть подписан руководителем и всеми членами проверяющей группы, утвержден руководителем проверяющей организации и передан (направлен) проверяемой организации не позднее даты, установленной договором на проведение работ по оценке соответствия ЗИ.

8.7 Отчет по результатам оценки соответствия ЗИ является собственностью проверяемой организации. Члены проверяющей группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

8.8 Порядок и сроки направления финансовой организацией отчета по результатам оценки соответствия ЗИ в Банк России, а также сроки его хранения проверяемой организацией определяются нормативными актами Банка России.

Форма листов

для сбора свидетельств оценки соответствия ЗИ

Процесс (подпроцесс) системы ЗИ, направление ЗИ

____________________________________________________________

Условное обозначение и номер меры ЗИ	Источники свидетельств оценки соответствия ЗИ (документы, результаты опроса или наблюдений)	Ф.И.О. и должность сотрудника (сотрудников) проверяемой организации, предоставившего (предоставивших) свидетельства оценки соответствия ЗИ	Подписи члена (членов) проверяющей группы и сотрудника (сотрудников) проверяемой организации	Дата

Перечень нарушений ЗИ

Б.1 Осуществление логического доступа под учетными записями неопределенного целевого назначения.

Б.2 Осуществление логического доступа под коллективными неперсонифицированными учетными записями.

Б.3 Наличие незаблокированных учетных записей уволенных работников.

Б.4 Отсутствие разграничения логического доступа.

Б.5 Несанкционированное предоставление пользователям административных прав.

Б.6 Несанкционированное предоставление пользователям прав логического доступа.

Б.7 Хранение паролей субъектов доступа в открытом виде.

Б.8 Передача аутентификационных данных в открытом виде по каналам и линиям связи.

Б.9 Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации.

Б.10 Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа.

Б.11 Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа.

Б.12 Отсутствие логической сетевой изоляции внутренних вычислительных сетей финансовой организации и сети Интернет и/или беспроводных сетей.

Б.13 Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых финансовой организацией, в открытом виде.

Б.14 Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации.

Б.15 Использование нелицензионного ПО.

Б.16 Отсутствие применения средств защиты от воздействия вредоносного кода.

Б.17 Обработка информации конфиденциального характера с использованием неучтенных МНИ.

Б.18 Отсутствие гарантированного стирания информации конфиденциального характера с МНИ при осуществлении их вывода из эксплуатации или вывода из эксплуатации СВТ, в состав которого входят указанные МНИ, а также при необходимости их передачи в сторонние организации.