Точный
Действующий
Текст

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

от 2 ноября 2022 года N 12-МР

Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации



Глава 1. Общие положения

     

1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры") и требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения") при составлении отчетности об оценке выполнения требований к обеспечению защиты информации.

1.2. Настоящими Методическими рекомендациями рекомендуется руководствоваться следующим отчитывающимся организациям:

кредитным организациям при составлении отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации";

операторам услуг платежной инфраструктуры, осуществляющим деятельность операционных центров и (или) платежных клиринговых центров, не являющимся кредитными организациями, при составлении отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра".

Глава 2. Рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры")

     

2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению "Технологические меры" рекомендуется осуществлять в отношении требований, указанных в приложении 1* к настоящим Методическим рекомендациям (далее для целей настоящей главы - "требования").

________________

* Приложение см. по ссылке. - Примечание изготовителя базы данных.

2.2. По направлению "Технологические меры" осуществляется расчет значений следующих показателей:

- оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

- обобщающий показатель уровня оценки соответствия по направлению "Технологические меры".

2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (), рекомендуется рассчитывать по формуле:

,

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Определена ли область применения меры защиты информации?";

"Определен ли порядок применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("определено");

0 - "нет" ("не определено").

2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (), рекомендуется рассчитывать по формуле:

,

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0,75 - "в основном "да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0,25 - "в основном "нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (), рекомендуется рассчитывать по формуле:

,

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

. - значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников кредитной организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Обеспечен ли контроль области применения меры защиты информации?";

"Обеспечен ли контроль надлежащего применения меры защиты информации?";

"Обеспечен ли контроль знаний работников кредитной организации в части применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("контроль обеспечен");

0 - "нет" ("контроль не обеспечен").

2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (), рекомендуется рассчитывать по формуле:

,

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("анализ совершенствования осуществляется");

0 - "нет" ("анализ совершенствования не осуществляется").

2.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" () рекомендуется рассчитывать по формуле:

,

где - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;

- значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;

- значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;

- значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.

Глава 3. Рекомендации по расчету значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения")

     

3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении требований, указанных в приложении 2* к настоящим Методическим рекомендациям (далее для целей настоящей главы - "требования").

________________

* Приложение см. по ссылке. - Примечание изготовителя базы данных.

3.2. По направлению "Безопасность программного обеспечения" осуществляется расчет значений следующих показателей:

- оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

- оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»