ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
6 Общие положения
6.1 В область оценки соответствия ЗИ входит совокупность объектов информатизации, включая АС и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и/или технологических процессов, связанных с предоставлением финансовых и банковских услуг, а также услуг по осуществлению переводов денежных средств (далее при совместном упоминании - АС). Область оценки соответствия ЗИ должна совпадать с областью применения ГОСТ Р 57580.1. Количество и выборку проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ, определяет проверяющая организация самостоятельно с учетом предложений проверяемой организации и обеспечения достоверности итоговой оценки соответствия ЗИ.
Проверяемая организация для планирования мероприятий по проведению оценки соответствия ЗИ предоставляет проверяющей организации (проверяющей группе) достоверные исходные данные и документальные свидетельства, связанные с количеством проверяемых подразделений, объектов информатизации, АС и СВТ, входящих в область оценки соответствия ЗИ.
_______________
Рекомендуемые типовые действия при проведении оценки соответствия приведены в стандарте [3], раздел 6.
6.2 Оценку соответствия ЗИ осуществляют по следующим направлениям:
- выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 7);
- полнота реализации организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации (ГОСТ Р 57580.1-2017, раздел 8);
- обеспечение ЗИ на этапах жизненного цикла АС финансовой организации (ГОСТ Р 57580.1-2017, раздел 9).
6.3 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, осуществляют отдельно для следующих процессов ЗИ:
- процесс 1 "Обеспечение защиты информации при управлении доступом";
- процесс 2 "Обеспечение защиты вычислительных сетей";
- процесс 3 "Контроль целостности и защищенности информационной инфраструктуры";
- процесс 4 "Защита от вредоносного кода";
- процесс 5 "Предотвращение утечек информации";
- процесс 6 "Управление инцидентами защиты информации";
- процесс 7 "Защита среды виртуализации";
- процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств".
6.4 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 1 "Обеспечение защиты информации при управлении доступом" осуществляют отдельно для следующих подпроцессов системы ЗИ:
- "Управление учетными записями и правами субъектов логического доступа";
- "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа";
- "Защита информации при осуществлении физического доступа";
- "Идентификация, классификация и учет ресурсов и объектов доступа".
6.5 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 2 "Обеспечение защиты вычислительных сетей" осуществляют отдельно для следующих подпроцессов системы ЗИ:
- "Сегментация и межсетевое экранирование вычислительных сетей";
- "Выявление вторжений и сетевых атак";
- "Защита информации, передаваемой по вычислительным сетям";
- "Защита беспроводных сетей".
6.6 Оценку выбора финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, для процесса 6 "Управление инцидентами защиты информации" осуществляют отдельно для следующих подпроцессов системы ЗИ: