• Текст документа
  • Статус
Действующий


ГОСТ Р 57580.2-2018

     
     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


Безопасность финансовых (банковских) операций


ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ


Методика оценки соответствия



Security of financial (banking) operations. Information protection of financial organizations. Conformity assessment methods



ОКС 03.060
35.240.40

Дата введения 2018-09-01

Предисловие

1 РАЗРАБОТАН Центральным банком Российской Федерации (Банком России) и Научно-производственной фирмой "КРИСТАЛЛ" (НПФ "КРИСТАЛЛ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 122 "Стандарты финансовых операций"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 г. N 156-ст

4 ВВЕДЕН ВПЕРВЫЕ


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Центрального банка Российской Федерации (Банка России) [1]. Одним из условий реализации целей деятельности кредитных организаций, некредитных финансовых организаций Российской Федерации, а также субъектов национальной платежной системы (далее при совместном упоминании - финансовые организации) является обеспечение необходимого и достаточного уровня защиты информации, а также сохранение этого уровня в течение длительного времени.

Требования к содержанию базового состава организационных и технических мер защиты информации, реализующих установленные Банком России требования к обеспечению защиты информации при осуществлении банковской деятельности и деятельности в сфере финансовых рынков, установлены ГОСТ Р 57580.1.

Способом проверки соответствия защиты информации является оценка выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1 (далее - оценка соответствия защиты информации) независимой организацией, обладающей необходимым уровнем компетенции и имеющей лицензию на деятельность по технической защите конфиденциальной информации как минимум на один из следующих видов работ и услуг:

- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

- проектирование в защищенном исполнении средств и систем информатизации;

- установка, монтаж, испытания, ремонт средств защиты информации [программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации].

Основными целями настоящего стандарта являются:

- установление единых требований к методике и оформлению результатов оценки соответствия защиты информации финансовой организации;

- установление способов оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1;

- определение итоговой оценки соответствия защиты информации финансовой организации.

1 Область применения


Настоящий стандарт устанавливает требования к методике и оформлению результатов оценки соответствия защиты информации (ЗИ) финансовой организации при выборе и реализации организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1, применяемых финансовой организацией для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России.

Требования к методике и оформлению результатов оценки соответствия ЗИ, устанавливаемые настоящим стандартом, предназначены для использования организациями, осуществляющими оценку соответствия ЗИ кредитных организаций, некредитных финансовых организаций, указанных в Федеральном законе [1] (статья 76.1, часть 1), а также субъектов национальной платежной системы, не являющихся кредитными организациями.

Область применения настоящего стандарта, определяющая обязанность финансовых организаций проводить оценку соответствия ЗИ для конкретной совокупности объектов информатизации, в том числе автоматизированных систем (АС), используемых финансовыми организациями для предоставления финансовых услуг, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [2].

Настоящий стандарт устанавливает требования к методике оценки соответствия ЗИ, применение которой обеспечивает определение итоговой оценки соответствия ЗИ финансовой организации требованиям ГОСТ Р 57580.1.

Настоящий стандарт предназначен для применения путем включения нормативных ссылок на него и/или прямого использования устанавливаемых в нем требований в нормативных актах Банка России, во внутренних документах финансовых организаций, а также в договорах.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 34.11 Информационная технология. Криптографическая защита информации. Функция хэширования

ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения


В настоящем стандарте применены термины по ГОСТ Р 57580.1, а также следующие термины с соответствующими определениями:

3.1 оценка соответствия защиты информации: Процесс оценки выбора и реализации финансовой организацией организационных и технических мер защиты информации в соответствии с требованиями ГОСТ Р 57580.1, выполняемой проверяющей организацией.

3.2 проверяющая организация: Организация, проводящая оценку соответствия ЗИ финансовой организации и являющаяся независимой от проверяемой организации и от организаций, осуществлявших или осуществляющих оказание услуг проверяемой организации в области реализации информатизации и защиты информации (в части внедрения и/или сопровождения систем, средств, процессов информатизации и защиты информации, используемых в финансовой организации в период проведения проверки и входящих в область оценки соответствия ЗИ).

3.3 проверяющая группа: Группа, состоящая из сотрудников проверяющей организации, а также (при необходимости) иных лиц, уполномоченных проверяющей организацией проводить оценку соответствия защиты информации финансовой организации.

3.4 проверяемая организация: Финансовая организация, в отношении которой проводится оценка соответствия защиты информации.

4 Сокращения


В настоящем стандарте использованы следующие сокращения:

АС - автоматизированная система;

ЗИ - защита информации;

МНИ - машинные носители информации;

ПО - программное обеспечение;

СВТ - средство вычислительной техники.

5 Назначение и структура настоящего стандарта


Раздел 6 содержит описание общей методологии оценки соответствия ЗИ.

Раздел 7 содержит:

- требования к методике оценки соответствия ЗИ;

- описание методологии определения итоговой оценки соответствия ЗИ.

Раздел 8 содержит требования к оформлению результатов оценки соответствия ЗИ.

В приложении А приведена форма листов для сбора свидетельств оценки соответствия ЗИ, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

В приложении Б приведен примерный перечень нарушений ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам.

В приложении В приведены формы таблиц оценок, которые оформляются как приложения к отчету по результатам оценки соответствия ЗИ.

6 Общие положения

6.1 В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.

Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.
_______________
ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия Рекомендуемые типовые действия при проведении оценки соответствия приведены в стандарте [3], раздел 6.

6.2 Оценку соответствия ЗИ осуществляют по следующим направлениям:

- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);

- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);

- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).

6.3 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:

- процесс 1 "Обеспечение защиты информации при управлении доступом";

- процесс 2 "Обеспечение защиты вычислительных сетей";

- процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

- процесс 4 "Защита от вредоносного кода";

- процесс 5 "Предотвращение утечек информации";

- процесс 6 "Управление инцидентами защиты информации";

- процесс 7 "Защита среды виртуализации";

- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Управление учетными записями и правами субъектов логического доступа";

- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";

- "Защита информации при осуществлении физического доступа";

- "Идентификация, классификация и учет ресурсов и объектов доступа".

6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Сегментация и межсетевое экранирование вычислительных сетей";

- "Выявление вторжений и сетевых атак";

- "Защита информации, передаваемой по вычислительным сетям";

- "Защита беспроводных сетей".

6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Мониторинг и анализ событий защиты информации";

- "Обнаружение инцидентов защиты информации и реагирование на них".

6.7 Оценку полноты реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации, осуществляют отдельно для каждого из процессов ЗИ, указанных в 6.3, по следующим направлениям:

- направление 1 "Планирование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.2);

- направление 2 "Реализация процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.3);

- направление 3 "Контроль процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.4);

- направление 4 "Совершенствование процесса системы защиты информации" (см. ГОСТ Р 57580.1-2017, подраздел 8.5).

6.8 Оценку ЗИ на этапах жизненного цикла АС финансовой организации осуществляют в случаях распространения (в соответствии с требованиями нормативных актов Банка России) области применения ГОСТ Р 57580.1 на АС, используемые финансовой организацией для выполнения отдельных видов бизнес-процессов или технологических процессов.

6.9 Для оценки полноты реализации процессов системы ЗИ используют следующую качественную модель оценивания:

а) нулевой уровень соответствия: организационные и технические меры процесса системы ЗИ не реализуются или реализуются в единичных случаях. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

б) первый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно и/или эпизодически. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ не установлены. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ не осуществляются;

в) второй уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе. Общие подходы (способы) реализации организационных и технических мер процесса системы ЗИ установлены в единичных случаях. Реализация организационных и технических мер процесса системы ЗИ осуществляется на усмотрение исполнителя. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ практически не осуществляются;

г) третий уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ осуществляются бессистемно и/или эпизодически;

д) четвертый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации в основном реализованы контроль и совершенствование реализации организационных и технических мер процесса системы ЗИ;

е) пятый уровень соответствия: организационные и технические меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. В финансовой организации реализованы постоянный контроль и необходимое своевременное совершенствование реализации организационных и технических мер процесса системы ЗИ.

6.10 Оценку соответствия процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют в соответствии со следующим общим подходом.

6.10.1 Оценку, характеризующую выбор финансовой организацией каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 7), ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия определяют путем использования следующих числовых значений:

- 0 - не выбрана (при отсутствии у проверяемой организации свидетельств выбора);

- 1 - выбрана (при предъявлении проверяемой организацией свидетельств выбора).

Значения оценок заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), для каждого из процессов системы ЗИ.

6.10.2 Оценку, характеризующую полноту реализации каждой из организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (раздел 8), ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия определяют путем использования следующих числовых значений:

- 0 - полностью не реализуется;

- 0,5 - реализуется не в полном объеме;

- 1,0 - реализуется в полном объеме.

Значения оценок заносят в формы, приведенные в таблицах В.10-В.13 (приложение В), для каждого направления ЗИ системы организации и управления ЗИ и каждого процесса системы ЗИ.

6.10.3 Оценку, характеризующую реализацию каждой из организационных и технических мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (раздел 9), ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия определяют путем использования следующих числовых значений:

- 0 - полностью не реализуется;

- 0,5 - реализуется не в полном объеме;

- 1,0 - реализуется в полном объеме.

Значения оценок заносят в форму, приведенную в таблице В.9 (приложение В).

6.11 Перед определением оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия и ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ проверяющей группой совместно с проверяемой организацией может быть определен перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ).

В перечень неоцениваемых областей оценки соответствия ЗИ могут быть включены организационные и технические меры ЗИ:

- непосредственно связанные с информационными технологиями, не используемыми в проверяемой организации;

- реализация которых не является необходимой для нейтрализации актуальных угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. При этом проверяющая группа должна проверить актуальность и обоснованность действующей модели угроз и нарушителей безопасности информации проверяемой организации.

Перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ включают в отчет по результатам оценки соответствия ЗИ.

6.12 В случае, если в соответствии с ГОСТ Р 57580.1-2017 (пункт 6.4) вместо организационных и технических мер ЗИ, предусмотренных ГОСТ Р 57580.1, применяют иные (компенсирующие) меры ЗИ, при определении оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия и ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для соответствующих процессов (подпроцессов) системы ЗИ и направлений ЗИ осуществляют оценку компенсирующих мер в соответствии с 6.10.1-6.10.3.

Обоснование применения компенсирующих мер ЗИ включают в отчет по результатам оценки соответствия ЗИ.

6.13 Оценку соответствия ЗИ следует основывать на свидетельствах, в качестве основных источников которых рекомендуется использовать:

- документы проверяемой организации и иные материалы проверяемой организации в бумажном или электронном виде и, при необходимости, документы третьих лиц, относящиеся к обеспечению ЗИ финансовой организации и находящиеся в распоряжении проверяемой организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов в области оценки соответствия ЗИ;

- результаты наблюдений членов проверяющей группы за процессами системы ЗИ и деятельностью сотрудников проверяемой организации в области оценки соответствия ЗИ;

- параметры конфигураций и настроек технических объектов информатизации и средств ЗИ;

- технические и программные средства сбора свидетельств полноты реализации мер ЗИ (анализ электронных журналов регистрации, анализ фактических настроек, анализ уязвимостей, проведение тестирования на проникновение и т.п.).

Выбор конкретных источников свидетельств при проведении оценки соответствия ЗИ осуществляет проверяющая организация (проверяющая группа) с учетом предложений проверяемой организации и обеспечения максимальной достоверности оценки соответствия ЗИ.

6.14 При проведении оценки соответствия ЗИ сотрудники проверяющей организации (проверяющая группа) при сборе свидетельств выбора и реализации финансовой организацией организационных и технических мер ЗИ в соответствии с требованиями ГОСТ Р 57580.1 по согласованию с проверяемой организацией могут использовать технические и программные средства для анализа параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ, а также результаты анализа уязвимостей и проведения тестирования на проникновение.

Проверку параметров конфигураций, фактических настроек и электронных журналов регистрации технических объектов информатизации и средств ЗИ проверяемой организации, а также результатов анализа уязвимостей и проведения тестирования на проникновение осуществляют в присутствии уполномоченных сотрудников проверяемой организации.

6.15 Полученные свидетельства и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки процессов системы ЗИ и направлений ЗИ, форма которых приведена в приложении А. При заполнении листов для сбора свидетельств необходимо указать ссылки на соответствующие документы и иные материалы проверяемой организации или документы третьих лиц, результаты опроса сотрудников проверяемой организации, результаты наблюдений членов проверяющей группы, а также результаты работы технических и программных средств в соответствии с 6.14. Результаты опроса должны быть подтверждены подписями члена (членов) проверяющей группы и опрашиваемого сотрудника (сотрудников) проверяемой организации.

7 Требования к методике оценки соответствия ЗИ

7.1 Числовое значение оценки, характеризующей выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия (ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия) вычисляют отдельно по каждому из процессов (подпроцессов) системы ЗИ по формуле (1) как среднеарифметическое значение оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для каждой из организационных и технических мер ЗИ, установленных в ГОСТ Р 57580.1-2017 (раздел 7) и входящих в состав оцениваемого процесса (подпроцесса) системы ЗИ.

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (1)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка выбора j-й меры ЗИ, оцениваемой в рамках i-го процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблиц В.1-В.8 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса (подпроцесса) системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ в процессе (подпроцессе) системы ЗИ, оцениваемой в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер ЗИ, выбор которых оценивается в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ.

Числовые значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия по процессам 1, 2 и 6, указанным в 6.3, вычисляют по формуле (2) как среднеарифметическое значение оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для каждого из подпроцессов системы ЗИ, указанных в 6.4-6.6 и входящих в состав оцениваемого процесса системы ЗИ.

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (2)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка выбора организационных и технических мер ЗИ k-го подпроцесса системы ЗИ в i-м процессе системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер подпроцесса системы ЗИ в процессе системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество подпроцессов системы ЗИ в процессе системы ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия (ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия) заносят в формы, приведенные в таблицах В.1-В.8 (приложение В), а оценки ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия также заносят в форму, приведенную в таблице В.14 (приложение В).

7.2 Числовое значение оценки, характеризующей планирование процесса системы ЗИ, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (3) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.2).

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (3)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка полноты реализации n-й меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблицы В.10 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер ЗИ, реализация которых оценивается в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в формы, приведенные в таблицах В.10 и В.14 (приложение В).

7.3 Числовое значение оценки, характеризующей реализацию процесса системы ЗИ, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (4) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.3).

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (4)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка полноты реализации j-й меры ЗИ, оцениваемой в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблицы В.11 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ, оцениваемой в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер, реализация которых оценивается в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в формы, приведенные в таблицах В.11 и В.14 (приложение В).

7.4 Числовое значение оценки, характеризующей контроль процесса системы ЗИ, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (5) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.4).

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (5)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка полноты реализации k-ой меры ЗИ, оцениваемой в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблицы В.12 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ, оцениваемой в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер, реализация которых оценивается в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в формы, приведенные в таблицах В.12 и В.14 (приложение В).

7.5 Числовое значение оценки, характеризующей совершенствование процесса ЗИ, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (6) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.5).

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (6)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка полноты реализации m-й меры ЗИ, оцениваемой в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблицы В.13 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ, оцениваемой в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер ЗИ, реализация которых оценивается в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в формы, приведенные в таблицах В.13 и В.14 (приложение В).

7.6 Числовое значение оценки, характеризующей применение организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (7) как среднеарифметическое значение оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для всех мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (раздел 9).

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (7)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка применения j-й меры ЗИ, оцениваемой в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ. Соответствующие значения ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия берут из таблицы В.9 (приложение В);

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - порядковый номер меры ЗИ, оцениваемой в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - общее количество мер ЗИ, применение которых оценивается в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ.

Значение оценки ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в формы, приведенные в таблицах В.9 и В.14 (приложение В).

7.7 Числовое значение оценки соответствия каждого процесса системы ЗИ ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (8) отдельно по каждому из i-го процессов системы ЗИ как среднеарифметическое значение числовой оценки ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия и суммы числовых значений оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия с учетом их весовых коэффициентов.

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия. (8)

7.8 В случае если в область оценки соответствия ЗИ входят несколько контуров безопасности с различными уровнями ЗИ, сформированными финансовой организацией в соответствии с требованиями ГОСТ Р 57580.1-2017 (пункт 6.7) для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России, числовое значение оценки каждого процесса системы ЗИ ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (8) отдельно по контурам безопасности с одинаковым установленным уровнем ЗИ. Общее числовое значение оценки каждого процесса системы ЗИ ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия (в зависимости от различных вариантов наличия у проверяемой организации контуров безопасности с разными установленными уровнями ЗИ) вычисляют по формулам (9)-(12) как сумму числовых значений оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для контура (контуров) безопасности с учетом их весовых коэффициентов:

- при оценке контуров безопасности с первым, вторым и третьим уровнями ЗИ:

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия; (9)


- при оценке контуров безопасности с первым и вторым уровнями ЗИ:

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия; (10)


- при оценке контуров безопасности с первым и третьим уровнями ЗИ:

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия; (11)


- при оценке контуров безопасности со вторым и третьим уровнями ЗИ:

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия; (12)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен первый уровень ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен второй уровень ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен третий уровень ЗИ.

Значения оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия заносят в форму, приведенную в таблице В.14 (приложение В).

7.9 Качественную оценку уровня соответствия каждого процесса системы ЗИ определяют по таблице 1 в соответствии с числовыми оценками ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия. Описание уровней соответствия содержится в качественной модели оценивания, приведенной в 6.9.

Таблица 1 - Качественная оценка уровня соответствия процессов системы ЗИ

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

Уровень соответствия

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия=0

Нулевой

0<ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия0,5

Первый

0,5<ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия0,7

Второй

0,7<ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия0,85

Третий

0,85<ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия0,9

Четвертый

0,9<ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия1

Пятый


Значения качественных оценок заносят в форму, приведенную в таблице В.14 (приложение В).

7.10 Числовую итоговую оценку соответствия ЗИ ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия вычисляют по формуле (13) как среднеарифметическое значение оценок ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия для всех процессов системы ЗИ и оценки ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия, (13)


где ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка соответствия ЗИ i-го процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - номер процесса системы ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - количество процессов системы ЗИ, вошедших в область оценки соответствия ЗИ;

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия - оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации;

Доступ к полной версии этого документа ограничен

Текст документа вы можете получить на ваш адрес электронной почты, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

Название документа: ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

Номер документа: 57580.2-2018

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Действующий

Опубликован: Официальное издание. М.: Стандартинформ, 2018 год
Дата принятия: 28 марта 2018

Дата начала действия: 01 сентября 2018
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах