Действующий
- процесс 5 "Предотвращение утечек информации";
- процессе "Управление инцидентами защиты информации";
- процесс 7 "Защита среды виртуализации";
- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".
6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:
- "Управление учетными записями и правами субъектов логического доступа";
- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";
- "Защита информации при осуществлении физического доступа";
- "Идентификация, классификация и учет ресурсов и объектов доступа".
6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:
- "Сегментация и межсетевое экранирование вычислительных сетей";
- "Выявление вторжений и сетевых атак";
- "Защита информации, передаваемой по вычислительным сетям";
- "Защита беспроводных сетей".
6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ:
- "Мониторинг и анализ событий защиты информации";
- "Обнаружение инцидентов защиты информации и реагирование на них".
6.7 Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в
6.3, по следующим направлениям:
- направление 1 "Планирование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017,
подраздел 8.2);
- направление 2 "Реализация процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017,
подраздел 8.3);
- направление 3 "Контроль процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017,
подраздел 8.4);
- направление 4 "Совершенствование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017,
подраздел 8.5).
6.8 Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения
ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.
6.9 Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания:
а) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;
б) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;
в) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются;
г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;
д) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ;
е) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ.
6.10 Оценку соответствия процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют в соответствии со следующим общим подходом.
6.10.1 Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (
раздел 7), Е
МЗИ определяют путем использования следующих числовых значений:
- 0 - не выбрана (при отсутствии у проверяемой организации свидетельств выбора);
- 1 - выбрана (при предъявлении проверяемой организацией свидетельств выбора).
Значения оценок заносят в формы, приведенные в
таблицах В.1-В.8 (приложение В), для каждого из процессов системы ЗИ.
6.10.2 Оценку, характеризующую полноту реализации каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (
раздел 8), Е
МОУ определяют путем использования следующих числовых значений:
- 0 - полностью не реализуется;
- 0,5 - реализуется не в полном объеме;
- 1,0 - реализуется в полном объеме.
Значения оценок заносят в формы, приведенные в
таблицах В.10-В.13 (приложение В), для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.
6.10.3 Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (
раздел 9), Е
МАС определяют путем использования следующих числовых значений:
- 0 - полностью не реализуется;
- 0,5 - реализуется не в полном объеме;
- 1,0 - реализуется в полном объеме.
Значения оценок заносят в форму, приведенную в
таблице В.9 (приложение В).
6.11 Перед определением оценок ЕМЗИ, ЕМОУ и ЕМАС для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ проверяющей группой совместно с проверяемой организацией может быть определен перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ).
В перечень неоцениваемых областей оценки соответствия ЗИ могут быть включены организационные и технические меры ЗИ:
- непосредственно связанные с информационными технологиями, не используемыми в проверяемой организации;
- реализация которых не является необходимой для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. При этом
проверяющая группа должна проверить актуальность и обоснованность действующей модели угроз и нарушителей безопасности информации проверяемой организации.
Перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ включают в отчет по результатам оценки соответствия ЗИ.