Статус документа
Статус документа

ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

     6 Общие положения

6.1 В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.

Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.

_______________

Рекомендуемые типовые действия при проведении оценки соответствия приведены в стандарте [3], раздел 6.

6.2 Оценку соответствия ЗИ осуществляют по следующим направлениям:

- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);

- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);

- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).

6.3 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:

- процесс 1 "Обеспечение защиты информации при управлении доступом";

- процесс 2 "Обеспечение защиты вычислительных сетей";

- процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";

- процесс 4 "Защита от вредоносного кода";

- процесс 5 "Предотвращение утечек информации";

- процесс 6 "Управление инцидентами защиты информации";

- процесс 7 "Защита среды виртуализации";

- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".

6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Управление учетными записями и правами субъектов логического доступа";

- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";

- "Защита информации при осуществлении физического доступа";

- "Идентификация, классификация и учет ресурсов и объектов доступа".

6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:

- "Сегментация и межсетевое экранирование вычислительных сетей";

- "Выявление вторжений и сетевых атак";

- "Защита информации, передаваемой по вычислительным сетям";

- "Защита беспроводных сетей".

6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ: