ГОСТ Р 57580.2-2018. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
7 Требования к методике оценки соответствия ЗИ
7.1 Числовое значение оценки, характеризующей выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему ЗИ финансовой организации, 
вычисляют отдельно по каждому из процессов (подпроцессов) системы ЗИ по формуле (1) как среднеарифметическое значение оценок 
для каждой из организационных и технических мер ЗИ, установленных в ГОСТ Р 57580.1-2017 (раздел 7) и входящих в состав оцениваемого процесса (подпроцесса) системы ЗИ.
(1)
где - оценка выбора j-й меры ЗИ, оцениваемой в рамках i-го процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ. Соответствующие значения берут из таблиц В.1 - В.8 (приложение В);
i - порядковый номер процесса (подпроцесса) системы ЗИ;
j - порядковый номер меры ЗИ в процессе (подпроцессе) системы ЗИ, оцениваемой в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ;
N - общее количество мер ЗИ, выбор которых оценивается в рамках процесса (подпроцесса) системы ЗИ для соответствующего уровня ЗИ.
Числовые значения оценок по процессам 1, 2 и 6, указанным в 6.3, вычисляют по формуле (2) как среднеарифметическое значение оценок 
для каждого из подпроцессов системы ЗИ, указанных в 6.4 - 6.6 и входящих в состав оцениваемого процесса системы ЗИ.
(2)
где - оценка выбора организационных и технических мер ЗИ k-го подпроцесса системы ЗИ в i-м процессе системы ЗИ;
i - порядковый номер процесса системы ЗИ;
k - порядковый номер подпроцесса системы ЗИ в процессе системы ЗИ;
M - общее количество подпроцессов системы ЗИ в процессе системы ЗИ.
Значения оценок заносят в формы, приведенные в таблицах В.1 - В.8 (приложение В), а оценки также заносят в форму, приведенную в таблице В.14 (приложение В).
7.2 Числовое значение оценки, характеризующей планирование процесса системы ЗИ, 
вычисляют по формуле (3) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.2).
(3)
где 
- оценка полноты реализации n-й меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения берут из таблицы В.10 (приложение В);
i - порядковый номер процесса системы ЗИ;
n - порядковый номер меры ЗИ, оцениваемой в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ;
F - общее количество мер ЗИ, реализация которых оценивается в рамках направления 1 "Планирование процесса системы защиты информации" для соответствующего уровня ЗИ.
Значения оценок заносят в формы, приведенные в таблицах В.10 и В.14 (приложение В).
7.3 Числовое значение оценки, характеризующей реализацию процесса системы ЗИ, 
вычисляют по формуле (4) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ, входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.3).
(4)
где 
- оценка полноты реализации j-й меры ЗИ, оцениваемой в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения берут из таблицы В.11 (приложение В);
i - порядковый номер процесса системы ЗИ;
j - порядковый номер меры ЗИ, оцениваемой в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ;
P - общее количество мер, реализация которых оценивается в рамках направления 2 "Реализация процесса системы защиты информации" для соответствующего уровня ЗИ.
Значения оценок 
заносят в формы, приведенные в таблицах В.11 и В.14 (приложение В).
7.4 Числовое значение оценки, характеризующей контроль процесса системы ЗИ, 
вычисляют по формуле (5) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.4).
(5)
где 
- оценка полноты реализации k-ой меры ЗИ, оцениваемой в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения берут из таблицы В.12 (приложение В);
i - порядковый номер процесса системы ЗИ;
k - порядковый номер меры ЗИ, оцениваемой в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ;
S - общее количество мер, реализация которых оценивается в рамках направления 3 "Контроль процесса системы защиты информации" для соответствующего уровня ЗИ.
Значения оценок заносят в формы, приведенные в таблицах В.12 и В.14 (приложение В).
7.5 Числовое значение оценки, характеризующей совершенствование процесса ЗИ, 
вычисляют по формуле (6) отдельно по каждому из процессов системы ЗИ как среднеарифметическое значение оценок для организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в систему организации и управления ЗИ финансовой организации и установленных в ГОСТ Р 57580.1-2017 (подраздел 8.5).
(6)
где 
- оценка полноты реализации m-й меры ЗИ, оцениваемой в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ. Соответствующие значения берут из таблицы В.13 (приложение В);
i - порядковый номер процесса системы ЗИ;
m - порядковый номер меры ЗИ, оцениваемой в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ;
Q - общее количество мер ЗИ, реализация которых оценивается в рамках направления 4 "Совершенствование процесса системы защиты информации" для соответствующего уровня ЗИ.
Значения оценок заносят в формы, приведенные в таблицах В.13 и В.14 (приложение В).
7.6 Числовое значение оценки, характеризующей применение организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации, EАС вычисляют по формуле (7) как среднеарифметическое значение оценок EМАС для всех мер ЗИ, применяемых на этапах жизненного цикла АС и установленных в ГОСТ Р 57580.1-2017 (раздел 9).
(7)
где 
- оценка применения j-й меры ЗИ, оцениваемой в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ. Соответствующие значения берут из таблицы В.9 (приложение В);
j - порядковый номер меры ЗИ, оцениваемой в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ;
L - общее количество мер ЗИ, применение которых оценивается в рамках применения на этапах жизненного цикла АС для соответствующего уровня ЗИ.
Значение оценки EАС заносят в формы, приведенные в таблицах В.9 и В.14 (приложение В).
7.7 Числовое значение оценки соответствия каждого процесса системы ЗИ Ei вычисляют по формуле (8) отдельно по каждому из i-го процессов системы ЗИ как среднеарифметическое значение числовой оценки и суммы числовых значений оценок , , , с учетом их весовых коэффициентов.
. (8)
7.8 В случае если в область оценки соответствия ЗИ входят несколько контуров безопасности с различными уровнями ЗИ, сформированными финансовой организацией в соответствии с требованиями ГОСТ Р 57580.1-2017 (пункт 6.7) для реализации требований к обеспечению ЗИ, установленных нормативными актами Банка России, числовое значение оценки каждого процесса системы ЗИ Ei вычисляют по формуле (8) отдельно по контурам безопасности с одинаковым установленным уровнем ЗИ. Общее числовое значение оценки каждого процесса системы ЗИ Ei (в зависимости от различных вариантов наличия у проверяемой организации контуров безопасности с разными установленными уровнями ЗИ) вычисляют по формулам (9) - (12) как сумму числовых значений оценок Ei для контура (контуров) безопасности с учетом их весовых коэффициентов:
- при оценке контуров безопасности с первым, вторым и третьим уровнями ЗИ:
Ei = 0,6E1i + 0,3E2i + 0,1E3i; (9)
- при оценке контуров безопасности с первым и вторым уровнями ЗИ:
Ei = 0,7E1i + 0,3E2i; (10)
- при оценке контуров безопасности с первым и третьим уровнями ЗИ:
Ei = 0,8E1i + 0,2E3i; (11)
- при оценке контуров безопасности со вторым и третьим уровнями ЗИ:
Ei = 0,6E2i + 0,4E3i; (12)
где E1i - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен первый уровень ЗИ;
E2i - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен второй уровень ЗИ;
E3i - оценка каждого процесса системы ЗИ по контуру (контурам) безопасности, для которого (которых) установлен третий уровень ЗИ.
Значения оценок Ei заносят в форму, приведенную в таблице В.14 (приложение В).
7.9 Качественную оценку уровня соответствия каждого процесса системы ЗИ определяют по таблице 1 в соответствии с числовыми оценками Ei. Описание уровней соответствия содержится в качественной модели оценивания, приведенной в 6.9.
Таблица 1
Качественная оценка уровня соответствия процессов системы ЗИ
Ei | Уровень соответствия |
Ei = 0 | Нулевой |
0 < Ei <= 0,5 | Первый |
0,5 < Ei <= 0,7 | Второй |
0,7 < Ei <= 0,85 | Третий |
0,85 < Ei <= 0,9 | Четвертый |
0,9 < Ei <= 1 | Пятый |
Значения качественных оценок заносят в форму, приведенную в таблице В.14 (приложение В).
7.10 Числовую итоговую оценку соответствия ЗИ R вычисляют по формуле (13) как среднеарифметическое значение оценок Ei для всех процессов системы ЗИ и оценки EАС.
(13)
где Ei - оценка соответствия ЗИ i-го процесса системы ЗИ;
i - номер процесса системы ЗИ;
T - количество процессов системы ЗИ, вошедших в область оценки соответствия ЗИ;
EАС - оценка полноты применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации;
Z - количество нарушений ЗИ, выявленных членами проверяющей группы в процессе оценки соответствия ЗИ.
При выявлении самостоятельно членами проверяющей группы в процессе оценки соответствия ЗИ фактов нарушений ЗИ, в результате которых имелась или имеется возможность наступления инцидентов ЗИ, наносящих ущерб финансовой организации или ее клиентам, числовую итоговую оценку соответствия ЗИ R снижают на числовое значение, равное 0,01, за каждый выявленный факт нарушения.
Факты нарушений ЗИ, выявленные проверяемой организацией самостоятельно до начала и в процессе оценки соответствия ЗИ, по которым проведено разбирательство до окончания оценки соответствия ЗИ и приняты или запланированы с документальным оформлением соответствующие меры реагирования, при снижении итоговой оценки соответствия ЗИ не учитываются. Перечень нарушений приведен в приложении Б.
В случае, если полноту применения организационных и технических мер ЗИ на этапах жизненного цикла АС финансовой организации не оценивают (EАС = 0), в знаменателе формулы (13) указывают только значение T.
Значение итоговой оценки R заносят в форму, приведенную в таблице В.14 (приложение В).
7.11 При вычислении оценок, указанных в разделе 7, их значения необходимо округлять до второго знака после запятой в соответствии с математическими правилами.
7.12 Заполненные формы, приведенные в приложениях А и В, являются приложением к отчету по результатам оценки соответствия ЗИ.
7.13 Числовые оценки соответствия ЗИ R, превышающие числовое значение 0,85, соответствуют уровню, рекомендуемому Банком России.
Подписаться на обновления