Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 г. N 156-ст)
- Приложение В (справочное). Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ
Приложение В (справочное). Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ
Приложение В
(справочное)
Формы таблиц оценок, входящих в отчет по результатам оценки соответствия ЗИ
В.1 Формы таблиц оценок, характеризующих выбор финансовой организацией организационных и технических мер ЗИ, направленных на непосредственное обеспечение ЗИ и входящих в процессы 1-8 системы ЗИ, приведены в таблицах В.1-В.8 соответственно.
Таблица В.1 - Форма таблицы оценок соответствия ЗИ для процесса 1
|
Процесс 1 "Обеспечение защиты информации при управлении доступом" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
Подпроцесс "Управление учетными записями и правами субъектов логического доступа" | ||
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа" | ||
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Защита информации при осуществлении физического доступа" | ||
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Идентификация и учет ресурсов и объектов доступа" | ||
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.2 - Форма таблицы оценок соответствия ЗИ для процесса 2
|
Процесс 2 "Обеспечение защиты вычислительных сетей" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
Подпроцесс "Сегментация и межсетевое экранирование вычислительных сетей" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Выявление вторжений и сетевых атак" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Защита информации, передаваемой по вычислительным сетям" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Защита беспроводных сетей" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.3 - Форма таблицы оценок соответствия ЗИ для процесса 3
|
Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.4 - Форма таблицы оценок соответствия ЗИ для процесса 4
|
Процесс 4 "Защита от вредоносного кода" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.5 - Форма таблицы оценок соответствия ЗИ для процесса 5
|
Процесс 5 "Предотвращение утечек информации" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.6 - Форма таблицы оценок соответствия ЗИ для процесса 6
|
Процесс 6 "Управление инцидентами защиты информации" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
Подпроцесс "Мониторинг и анализ событий защиты информации" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Подпроцесс "Обнаружение инцидентов защиты информации и реагирование на них" | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за подпроцесс |
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.7 - Форма таблицы оценок соответствия ЗИ для процесса 7
|
Процесс 7 "Защита среды виртуализации" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
|
|
Таблица В.8 - Форма таблицы оценок соответствия ЗИ для процесса 8
|
Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств" | ||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процесс |
|
|
В.2 Форма таблицы значений оценок, характеризующих применение организационных и технических мер ЗИ на этапах жизненного цикла АС, приведена в таблице В.9.
Таблица В.9 - Форма таблицы оценок соответствия ЗИ на этапах жизненного цикла АС
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка ЕАС |
|
|
В.3 Формы таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлениям 1-4, приведены в таблицах В.10-В.13 соответственно.
Таблица В.10 - Форма таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлению 1
|
Направление 1 "Планирование процесса системы защиты информации" | |||||||||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|||||||
|
Процесс 1 |
Процесс 2 |
Процесс 3 |
Процесс 4 |
Процесс 5 |
Процесс 6 |
Процесс 7 |
Процесс 8 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
|
|
Таблица В.11 - Форма таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлению 2
|
Направление 2 "Реализация процесса системы защиты информации" | |||||||||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|||||||
|
Процесс 1 |
Процесс 2 |
Процесс 3 |
Процесс 4 |
Процесс 5 |
Процесс 6 |
Процесс 7 |
Процесс 8 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
|
|
Таблица В.12 - Форма таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлению 3
|
Направление 3 "Контроль процесса системы защиты информации" | |||||||||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|||||||
|
Процесс 1 |
Процесс 2 |
Процесс 3 |
Процесс 4 |
Процесс 5 |
Процесс 6 |
Процесс 7 |
Процесс 8 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
|
|
Таблица В.13 - Форма таблиц оценок, характеризующих полноту реализации организационных и технических мер ЗИ, входящих в систему ЗИ по направлению 4
|
Направление 4 "Совершенствование процесса системы защиты информации" | |||||||||
|
Условное обозначение и номер меры |
Содержание мер системы защиты информации |
Оценка |
|||||||
|
Процесс 1 |
Процесс 2 |
Процесс 3 |
Процесс 4 |
Процесс 5 |
Процесс 6 |
Процесс 7 |
Процесс 8 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итоговая оценка за процессы |
|
|
|
|
|
|
|
|
|
В.4 Форма таблицы итоговых оценок по результатам оценки соответствия ЗИ приведена в таблице В.14.
Таблица В.14 - Форма таблицы итоговых оценок по результатам оценки соответствия ЗИ
|
Наименование процесса системы ЗИ, направления ЗИ |
Оценка, характеризующая выбор организационных и технических мер системы ЗИ |
Оценка по направлениям ЗИ системы организации и управления ЗИ |
Качественная оценка уровня соответствия процесса системы ЗИ |
Числовое значение оценки соответствия процесса системы ЗИ |
|||
|
Планирование процесса системы ЗИ |
Реализация процесса системы ЗИ |
Контроль процесса системы ЗИ |
Совершенствование процесса системы ЗИ |
||||
|
Процесс 1 "Обеспечение защиты информации при управлении доступом" |
|
|
|
|
|
|
|
|
Процесс 2 "Обеспечение защиты вычислительных сетей" |
|
|
|
|
|
|
|
|
Процесс 3 "Контроль целостности и защищенности информационной инфраструктуры" |
|
|
|
|
|
|
|
|
Процесс 4 "Защита от вредоносного кода" |
|
|
|
|
|
|
|
|
Процесс 5 "Предотвращение утечек информации" |
|
|
|
|
|
|
|
|
Процесс 6 "Управление инцидентами защиты информации" |
|
|
|
|
|
|
|
|
Процесс 7 "Защита среды виртуализации" |
|
|
|
|
|
|
|
|
Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств" |
|
|
|
|
|
|
|
|
Применение организационных и технических мер ЗИ на этапах жизненного цикла АС ЕАС |
|
||||||
|
Итоговая оценка соответствия ЗИ с учетом выявленных нарушений ЗИ | |||||||
|
Количество нарушений ЗИ, выявленных в результате оценки соответствия ЗИ Z |
|
||||||
|
Итоговая оценка соответствия ЗИ R |
|
||||||
|
<< Приложение Б (справочное). Перечень нарушений ЗИ |
||
|
Содержание Национальный стандарт РФ ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых... |