ГОСТ Р 57580.2-2018. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
Приложение В
(справочное)
ФОРМЫ ТАБЛИЦ ОЦЕНОК, ВХОДЯЩИХ В ОТЧЕТ ПО РЕЗУЛЬТАТАМ
ОЦЕНКИ СООТВЕТСТВИЯ ЗИ
В.1 Формы таблиц оценок, характеризующих выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в процессы 1 - 8 системы ЗИ, приведены в таблицах В.1 - В.8 соответственно.
Таблица В.1
Форма таблицы оценок соответствия ЗИ для процесса 1
Процесс 1 "Обеспечение защиты информации при управлении доступом" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
Подпроцесс "Управление учетными записями и правами субъектов логического доступа" | ||
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа" | ||
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Защита информации при осуществлении физического доступа" | ||
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Идентификация и учет ресурсов и объектов доступа" | ||
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Итоговая оценка за процесс |
| |
(0 или 1)
Таблица В.2
Форма таблицы оценок соответствия ЗИ для процесса 2
Процесс 2 "Обеспечение защиты вычислительных сетей" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
Подпроцесс "Сегментация и межсетевое экранирование вычислительных сетей" | ||
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Выявление вторжений и сетевых атак" | ||
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Защита информации, передаваемой по вычислительным сетям" | ||
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Защита беспроводных сетей" | ||
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Итоговая оценка за процесс |
| |
Таблица В.3
Форма таблицы оценок соответствия ЗИ для процесса 3
Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
| |
Таблица В.4
Форма таблицы оценок соответствия ЗИ для процесса 4
Процесс 4 "Защита от вредоносного кода" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
| |
Таблица В.5
Форма таблицы оценок соответствия ЗИ для процесса 5
Процесс 5 "Предотвращение утечек информации" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
| |
Таблица В.6
Форма таблицы оценок соответствия ЗИ для процесса 6
Процесс 6 "Управление инцидентами защиты информации" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
Подпроцесс "Мониторинг и анализ событий защиты информации" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Подпроцесс "Обнаружение инцидентов защиты информации и реагирование на них" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
| |
Итоговая оценка за процесс |
| |
Таблица В.7
Форма таблицы оценок соответствия ЗИ для процесса 7
Процесс 7 "Защита среды виртуализации" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
| |
Таблица В.8
Форма таблицы оценок соответствия ЗИ для процесса 8
Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств" | ||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
| |
В.2 Форма таблицы значений оценок, характеризующих применение организационных и технических мер ЗИ на этапах жизненного цикла АС, приведена в таблице В.9.
Таблица В.9
Форма таблицы оценок соответствия ЗИ
на этапах жизненного цикла АС
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка EАС |
| |
(0; 0,5 или 1)
В.3 Формы таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлениям 1 - 4, приведены в таблицах В.10 - В.13 соответственно.
Таблица В.10
Форма таблиц оценок, характеризующих полноту реализации
организационных и технических мер ЗИ, входящих
в систему ЗИ по направлению 1
Направление 1 "Планирование процесса системы защиты информации" | |||||||||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка | |||||||
Процесс 1 | Процесс 2 | Процесс 3 | Процесс 4 | Процесс 5 | Процесс 6 | Процесс 7 | Процесс 8 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
| |
(0; 0,5 или 1)
Таблица В.11
Форма таблиц оценок, характеризующих полноту реализации
организационных и технических мер ЗИ, входящих
в систему ЗИ по направлению 2
Направление 2 "Реализация процесса системы защиты информации" | |||||||||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка | |||||||
Процесс 1 | Процесс 2 | Процесс 3 | Процесс 4 | Процесс 5 | Процесс 6 | Процесс 7 | Процесс 8 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
| |
(0; 0,5 или 1)
Таблица В.12
Форма таблиц оценок, характеризующих полноту реализации
организационных и технических мер ЗИ, входящих
в систему ЗИ по направлению 3
Направление 3 "Контроль процесса системы защиты информации" | |||||||||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка | |||||||
Процесс 1 | Процесс 2 | Процесс 3 | Процесс 4 | Процесс 5 | Процесс 6 | Процесс 7 | Процесс 8 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
| |
(0; 0,5 или 1)
Таблица В.13
Форма таблиц оценок, характеризующих полноту реализации
организационных и технических мер ЗИ, входящих
в систему ЗИ по направлению 4
Направление 4 "Совершенствование процесса системы защиты информации" | |||||||||
Условное обозначение и номер меры | Содержание мер системы защиты информации | Оценка | |||||||
Процесс 1 | Процесс 2 | Процесс 3 | Процесс 4 | Процесс 5 | Процесс 6 | Процесс 7 | Процесс 8 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
| |
(0; 0,5 или 1)
В.4 Форма таблицы итоговых оценок по результатам оценки соответствия ЗИ приведена в таблице В.14.
Таблица В.14
Форма таблицы итоговых оценок
по результатам оценки соответствия ЗИ
Наименование процесса системы ЗИ, направления ЗИ | Оценка, характеризующая выбор организационных и технических мер системы ЗИ | Оценка по направлениям ЗИ системы организации и управления ЗИ | Качественная оценка уровня соответствия процесса системы ЗИ | Числовое значение оценки соответствия процесса системы ЗИ Ei | |||
Планирование процесса системы ЗИ | Реализация процесса системы ЗИ | Контроль процесса системы ЗИ | Совершенствование процесса системы ЗИ | ||||
Процесс 1 "Обеспечение защиты информации при управлении доступом" |
|
|
|
|
|
|
|
Процесс 2 "Обеспечение защиты вычислительных сетей" |
|
|
|
|
|
|
|
Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры" |
|
|
|
|
|
|
|
Процесс 4 "Защита от вредоносного кода" |
|
|
|
|
|
|
|
Процесс 5 "Предотвращение утечек информации" |
|
|
|
|
|
|
|
Процесс 6 "Управление инцидентами защиты информации" |
|
|
|
|
|
|
|
Процесс 7 "Защита среды виртуализации" |
|
|
|
|
|
|
|
Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств" |
|
|
|
|
|
|
|
Применение организационных и технических мер ЗИ на этапах жизненного цикла АС EАС |
| ||||||
Итоговая оценка соответствия ЗИ с учетом выявленных нарушений ЗИ | |||||||
Количество нарушений ЗИ, выявленных в результате оценки соответствия ЗИ Z |
| ||||||
Итоговая оценка соответствия ЗИ R |
| ||||||
Подписаться на обновления