Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ*.

──────────────────────────────

* Рекомендуемые типовые действия при проведении оценки соответствия приведены в стандарте [3], раздел 6.

6.2 Оценку соответствия ЗИ осуществляют по следующим направлениям:

- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);

- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);

- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).

6.3 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:

- процесс 1 "Обеспечение защиты информации при управлении доступом";

- процесс 2 "Обеспечение защиты вычислительных сетей";

- процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

- процесс 4 "Защита от вредоносного кода";

- процесс 5 "Предотвращение утечек информации";

- процессе "Управление инцидентами защиты информации";

- процесс 7 "Защита среды виртуализации";

- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Управление учетными записями и правами субъектов логического доступа";

- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";

- "Защита информации при осуществлении физического доступа";

- "Идентификация, классификация и учет ресурсов и объектов доступа".

6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Сегментация и межсетевое экранирование вычислительных сетей";

- "Выявление вторжений и сетевых атак";

- "Защита информации, передаваемой по вычислительным сетям";

- "Защита беспроводных сетей".

6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Мониторинг и анализ событий защиты информации";

- "Обнаружение инцидентов защиты информации и реагирование на них".

6.7 Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в 6.3, по следующим направлениям:

- направление 1 "Планирование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.2);

- направление 2 "Реализация процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.3);

- направление 3 "Контроль процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.4);

- направление 4 "Совершенствование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.5).

6.8 Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.

6.9 Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания:

а) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

б) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

в) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются;

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ;

е) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ.

6.10 Оценку соответствия процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют в соответствии со следующим общим подходом.

6.10.1 Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 7), Е_МЗИ определяют путем использования следующих числовых значений:

- 0 - не выбрана (при отсутствии у проверяемой организации свидетельств выбора);

- 1 - выбрана (при предъявлении проверяемой организацией свидетельств выбора).

Значения оценок заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), для каждого из процессов системы ЗИ.

6.10.2 Оценку, характеризующую полноту реализации каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 8), Е_МОУ определяют путем использования следующих числовых значений:

- 0 - полностью не реализуется;

- 0,5 - реализуется не в полном объеме;