ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
от 2 ноября 2022 года N 12-МР
Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации
1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры") и требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения") при составлении отчетности об оценке выполнения требований к обеспечению защиты информации.
1.2. Настоящими Методическими рекомендациями рекомендуется руководствоваться следующим отчитывающимся организациям:
кредитным организациям при составлении отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации";
операторам услуг платежной инфраструктуры, осуществляющим деятельность операционных центров и (или) платежных клиринговых центров, не являющимся кредитными организациями, при составлении отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра".
2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению "Технологические меры" рекомендуется осуществлять в отношении требований, указанных в приложении 1* к настоящим Методическим рекомендациям (далее для целей настоящей главы - "требования").
________________
* Приложение см. по ссылке. - Примечание изготовителя базы данных.
2.2. По направлению "Технологические меры" осуществляется расчет значений следующих показателей:
- оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;
- обобщающий показатель уровня оценки соответствия по направлению "Технологические меры".
2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (), рекомендуется рассчитывать по формуле:
,
где i - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.
В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Определена ли область применения меры защиты информации?";
"Определен ли порядок применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("определено");
0 - "нет" ("не определено").
2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (), рекомендуется рассчитывать по формуле:
,
где i - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("постоянно", "всегда", "в полном объеме");
0,75 - "в основном "да" ("почти постоянно", "почти всегда", "почти в полном объеме");
0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");
0,25 - "в основном "нет" ("непостоянно", "почти никогда");
0 - "нет" ("никогда", "ни в каких случаях").
2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (), рекомендуется рассчитывать по формуле:
,
где i - порядковый номер оцениваемых требований;
N - общее количество требований;
. - значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников кредитной организации в части применения меры защиты информации.
В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Обеспечен ли контроль области применения меры защиты информации?";
"Обеспечен ли контроль надлежащего применения меры защиты информации?";
"Обеспечен ли контроль знаний работников кредитной организации в части применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("контроль обеспечен");
0 - "нет" ("контроль не обеспечен").
2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (), рекомендуется рассчитывать по формуле:
,
где i - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.
В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("анализ совершенствования осуществляется");
0 - "нет" ("анализ совершенствования не осуществляется").
2.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" () рекомендуется рассчитывать по формуле:
,
где - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;
- значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;
- значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;
- значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.
3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении требований, указанных в приложении 2* к настоящим Методическим рекомендациям (далее для целей настоящей главы - "требования").
________________
* Приложение см. по ссылке. - Примечание изготовителя базы данных.
3.2. По направлению "Безопасность программного обеспечения" осуществляется расчет значений следующих показателей:
- оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;
- оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;