Порядок проведения оценки соответствия и документирования ее результатов
(с изменениями на 14 августа 2014 года)
1. Для оценки соответствия используется следующая система оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств:
требование к обеспечению защиты информации при осуществлении переводов денежных средств полностью не выполняется - оценке присваивается числовое значение 0;
требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется частично - оценке присваивается числовое значение 0.25, 0.5 или 0.75;
требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется полностью - оценке присваивается числовое значение 1;
выполнение требования к обеспечению защиты информации при осуществлении переводов денежных средств не является обязанностью субъекта платежной системы - оценке присваивается символьное значение "н/о" (нет оценки).
2. Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств определяется на основе следующих общих подходов.
2.1. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, реализуемых применением организационных мер защиты информации или использованием технических средств защиты информации, используется следующий подход (далее - требования категории проверки 1):
оценка 0 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации не определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры;
оценка 0.25 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но соответствующие организационные меры защиты информации не применяются, или технические средства защиты информации не используются;
оценка 0.5 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но применение соответствующих организационных мер защиты информации или использование технических средств защиты информации осуществляется не в полном соответствии с указанным порядком;
оценка 0.75 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но применение соответствующих организационных мер защиты информации или использование технических средств защиты информации осуществляется почти в полном соответствии с указанным порядком;
оценка 1 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, и применение соответствующих организационных меры защиты информации и использование технических средств защиты информации осуществляется в полном соответствии с указанным порядком.
2.2. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, устанавливающих необходимость обеспечения наличия определенного настоящим Положением документа, используется следующий общий подход (далее - требования категории проверки 2):
оценка 0 выставляется, в случае если документ отсутствует;
оценка 1 выставляется, в случае если документ имеется в наличии.
2.3. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, устанавливающих необходимость выполнения определенной настоящим Положением деятельности, используется следующий общий подход (далее - требования категории проверки 3):
оценка 0 выставляется, в случае если деятельность не выполняется;
оценка 0.5 выставляется, в случае если деятельность выполняется частично;
оценка 1 выставляется, в случае если деятельность выполняется полностью.
3. В приложении 2 к настоящему Положению определен перечень требований к обеспечению защиты информации при осуществлении переводов денежных средств с указанием соответствующей им категории проверки.
4. Для документирования результатов оценки соответствия используется следующая форма: