ГОСТ Р 57580.2-2018. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

8 Требования к оформлению результатов оценки соответствия ЗИ

 

8.1 По результатам оценки соответствия ЗИ проверяющая организация должна подготовить отчет.

8.2 Отчет должен предоставлять полные, точные, четкие и достаточные записи по оценке соответствия ЗИ и включать следующие данные:

- сведения о проверяющей организации;

- сведения о руководителе и членах проверяющей группы;

- сведения о проверяемой организации;

- сведения о заказчике оценки соответствия ЗИ;

- цель оценки соответствия ЗИ;

- сроки проведения оценки соответствия ЗИ;

- область оценки соответствия ЗИ;

- перечень неоцениваемых областей оценки соответствия ЗИ (процессов системы ЗИ, подпроцессов системы ЗИ, направлений ЗИ, мер ЗИ) с обоснованием их исключения из области оценки соответствия ЗИ;

- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;

- краткое изложение процесса оценки соответствия ЗИ, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам оценки соответствия ЗИ;

- числовое значение итоговой оценки соответствия ЗИ, характеризующей соответствие ЗИ проверяемой организации установленным требованиям на дату завершения оценки соответствия ЗИ;

- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки соответствия ЗИ;

- неразрешенные разногласия между проверяющей группой и проверяемой организацией;

- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;

- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;

- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;

- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11.

8.3 К отчету по результатам оценки соответствия ЗИ прилагаются и являются его неотъемлемой частью:

- заполненные листы для сбора свидетельств оценки процессов (подпроцессов) системы ЗИ и направлений ЗИ, подтверждающих выставленные оценки, по форме, приведенной в приложении А;

- перечень нарушений ЗИ, выявленных членами проверяющей группы в результате оценки соответствия ЗИ, которые могли или могут привести к инцидентам ЗИ, наносящим ущерб финансовой организации или ее клиентам;

- рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;

- таблицы, содержащие числовые значения оценок процессов (подпроцессов) системы ЗИ и направлений ЗИ по результатам оценки соответствия ЗИ и заполненные по формам, приведенным в приложении В;

- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;

- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований ЗИ.

8.4 Отчет по результатам оценки соответствия ЗИ должен иметь сквозную нумерацию страниц, регистрационный номер, должен быть прошит нитью, не имеющей разрывов, и скреплен печатью проверяющей организации с указанием количества листов в заверительной надписи, подписанной руководителем проверяющей группы.

8.5 Копии документов на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяемой организации с указанием количества листов документа в заверительной надписи, подписанной руководителем проверяемой организации или лицом им уполномоченным.

Тома с документами на бумажных носителях, прилагаемые к отчету по результатам оценки соответствия ЗИ, должны быть прошиты нитью, не имеющей разрывов, и скреплены печатью проверяющей организации с указанием количества листов тома в заверительной надписи, подписанной руководителем проверяющей группы.

Для каждого электронного документа, файла данных, прилагаемых к отчету по результатам оценки соответствия ЗИ, должны быть вычислены хэш-функции, реализованные в соответствии с ГОСТ Р 34.11.

8.6 Отчет по результатам оценки соответствия ЗИ должен быть подписан руководителем и всеми членами проверяющей группы, утвержден руководителем проверяющей организации и передан (направлен) проверяемой организации не позднее даты, установленной договором на проведение работ по оценке соответствия ЗИ.

8.7 Отчет по результатам оценки соответствия ЗИ является собственностью проверяемой организации. Члены проверяющей группы и все получатели отчета должны обеспечивать конфиденциальность содержания отчета, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

8.8 Порядок и сроки направления финансовой организацией отчета по результатам оценки соответствия ЗИ в Банк России, а также сроки его хранения проверяемой организацией определяются нормативными актами Банка России.