(Действующий) Национальный стандарт РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Форма листов
для сбора свидетельств оценки соответствия ЗИ
Процесс (подпроцесс) системы ЗИ, направление ЗИ
____________________________________________________________
Условное обозначение и номер меры ЗИ
Источники свидетельств оценки соответствия ЗИ (документы, результаты опроса или наблюдений)
Ф.И.О. и должность сотрудника (сотрудников) проверяемой организации, предоставившего (предоставивших) свидетельства оценки соответствия ЗИ
Подписи члена (членов) проверяющей группы и сотрудника (сотрудников) проверяемой организации
Дата
Приложение Б
(справочное)

Перечень нарушений ЗИ

Б.1 Осуществление логического доступа под учетными записями неопределенного целевого назначения.
Б.2 Осуществление логического доступа под коллективными неперсонифицированными учетными записями.
Б.3 Наличие незаблокированных учетных записей уволенных работников.
Б.4 Отсутствие разграничения логического доступа.
Б.5 Несанкционированное предоставление пользователям административных прав.
Б.6 Несанкционированное предоставление пользователям прав логического доступа.
Б.7 Хранение паролей субъектов доступа в открытом виде.
Б.8 Передача аутентификационных данных в открытом виде по каналам и линиям связи.
Б.9 Отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации.
Б.10 Отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа.
Б.11 Несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа.
Б.12 Отсутствие логической сетевой изоляции внутренних вычислительных сетей финансовой организации и сети Интернет и/или беспроводных сетей.
Б.13 Передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых финансовой организацией, в открытом виде.
Б.14 Наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации.
Б.15 Использование нелицензионного ПО.
Б.16 Отсутствие применения средств защиты от воздействия вредоносного кода.
Б.17 Обработка информации конфиденциального характера с использованием неучтенных МНИ.
Б.18 Отсутствие гарантированного стирания информации конфиденциального характера с МНИ при осуществлении их вывода из эксплуатации или вывода из эксплуатации СВТ, в состав которого входят указанные МНИ, а также при необходимости их передачи в сторонние организации.
Б.19 Отсутствие реагирования на инциденты ЗИ.
Приложение В
(справочное)

Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ

В.1 Формы таблиц оценок, характеризующих выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в процессы 1-8 системы ЗИ, приведены в таблицах В.1-В.8 соответственно.

Таблица В.1 - Форма таблицы оценок соответствия ЗИ для процесса 1

Процесс 1 "Обеспечение защиты информации при управлении доступом"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Подпроцесс "Управление учетными записями и правами субъектов логического доступа"
Итоговая оценка за подпроцесс
Подпроцесс "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа"
Итоговая оценка за подпроцесс
Подпроцесс "Защита информации при осуществлении физического доступа"
Итоговая оценка за подпроцесс
Подпроцесс "Идентификация и учет ресурсов и объектов доступа"
Итоговая оценка за подпроцесс
Итоговая оценка за процесс

Таблица В.2 - Форма таблицы оценок соответствия ЗИ для процесса 2

Процесс 2 "Обеспечение защиты вычислительных сетей"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Подпроцесс "Сегментация и межсетевое экранирование вычислительных сетей"
Итоговая оценка за подпроцесс
Подпроцесс "Выявление вторжений и сетевых атак"
Итоговая оценка за подпроцесс
Подпроцесс "Защита информации, передаваемой по вычислительным сетям"
Итоговая оценка за подпроцесс
Подпроцесс "Защита беспроводных сетей"
Итоговая оценка за подпроцесс
Итоговая оценка за процесс

Таблица В.3 - Форма таблицы оценок соответствия ЗИ для процесса 3

Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Итоговая оценка за процесс

Таблица В.4 - Форма таблицы оценок соответствия ЗИ для процесса 4

Процесс 4 "Защита от вредоносного кода"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Итоговая оценка за процесс

Таблица В.5 - Форма таблицы оценок соответствия ЗИ для процесса 5

Процесс 5 "Предотвращение утечек информации"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)'
Итоговая оценка за процесс

Таблица В.6 - Форма таблицы оценок соответствия ЗИ для процесса 6

Процесс 6 "Управление инцидентами защиты информации"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Подпроцесс "Мониторинг и анализ событий защиты информации"
Итоговая оценка за подпроцесс
Подпроцесс "Обнаружение инцидентов защиты информации и реагирование на них"
Итоговая оценка за подпроцесс
Итоговая оценка за процесс

Таблица В.7 - Форма таблицы оценок соответствия ЗИ для процесса 7

Процесс 7 "Защита среды виртуализации"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Итоговая оценка за процесс

Таблица В.8 - Форма таблицы оценок соответствия ЗИ для процесса 8

Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств"
Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0 или 1)
Итоговая оценка за процесс
В.2 Форма таблицы значений оценок, характеризующих применение организационных и технических мер ЗИ на этапах жизненного цикла АС, приведена в таблице В.9.

Таблица В.9 - Форма таблицы оценок соответствия ЗИ на этапах жизненного цикла АС

Условное обозначение и номер меры
Содержание мер системы защиты информации
Оценка (0; 0,5 или 1);
Итоговая оценка ЕАС
В.3 Формы таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлениям 1-4, приведены в таблицах В.10-В.13 соответственно.

Таблица В.10 - Форма таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлению 1