Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 1
к Положению Банка России
от 9 июня 2012 г. N 382-П
"О требованиях к обеспечению защиты
информации при осуществлении
переводов денежных средств и о
порядке осуществления Банком
России контроля за соблюдением
требований к обеспечению защиты
информации при осуществлении
переводов денежных средств"
Порядок
проведения оценки соответствия и документирования ее результатов
14 августа 2014 г.
1. Для оценки соответствия используется следующая система оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств:
требование к обеспечению защиты информации при осуществлении переводов денежных средств полностью не выполняется - оценке присваивается числовое значение 0;
требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется частично - оценке присваивается числовое значение 0.25, 0.5 или 0.75;
требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется полностью - оценке присваивается числовое значение 1;
выполнение требования к обеспечению защиты информации при осуществлении переводов денежных средств не является обязанностью субъекта платежной системы - оценке присваивается символьное значение "н/о" (нет оценки).
2. Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств определяется на основе следующих общих подходов.
2.1. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, реализуемых применением организационных мер защиты информации или использованием технических средств защиты информации, используется следующий подход (далее - требования категории проверки 1):
оценка 0 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации не определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры;
оценка 0.25 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но соответствующие организационные меры защиты информации не применяются, или технические средства защиты информации не используются;
оценка 0.5 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но применение соответствующих организационных мер защиты информации или использование технических средств защиты информации осуществляется не в полном соответствии с указанным порядком;
оценка 0.75 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, но применение соответствующих организационных мер защиты информации или использование технических средств защиты информации осуществляется почти в полном соответствии с указанным порядком;
оценка 1 выставляется, в случае если порядок применения организационных мер защиты информации или использования технических средств защиты информации определен во внутренних документах оператора по переводу денежных средств, оператора платежных систем, оператора услуг платежной инфраструктуры, и применение соответствующих организационных мер защиты информации и использование технических средств защиты информации осуществляется в полном соответствии с указанным порядком.
2.2. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, устанавливающих необходимость обеспечения наличия определенного настоящим Положением документа, используется следующий общий подход (далее - требования категории проверки 2):
оценка 0 выставляется, в случае если документ отсутствует;
оценка 1 выставляется, в случае если документ имеется в наличии.
2.3. Для оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, устанавливающих необходимость выполнения определенной настоящим Положением деятельности, используется следующий общий подход (далее - требования категории проверки 3):
оценка 0 выставляется, в случае если деятельность не выполняется;
оценка 0.5 выставляется, в случае если деятельность выполняется частично;
оценка 1 выставляется, в случае если деятельность выполняется полностью.
3. В приложении 2 к настоящему Положению определен перечень требований к обеспечению защиты информации при осуществлении переводов денежных средств с указанием соответствующей им категории проверки.
4. Для документирования результатов оценки соответствия используется следующая форма:
Форма 1. Документирование результатов оценки соответствия
В графе 2 Формы 1 отражаются формулировки проверяемых требований из перечня требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к настоящему Положению.
В графе 3 Формы 1 отражаются оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
В графе 4 Формы 1 отражаются факторы, учитываемые при оценке, и краткая формулировка обоснования выставленной оценки.
Указанием Банка России от 14 августа 2014 г. N 3361-У в пункт 5 внесены изменения, вступающие в силу по истечении 180 дней со дня официального опубликования названного Указания в "Вестнике Банка России"
5. Используя оценки выполнения требований, за исключением требований, по которым выставлены оценки "н/о", вычисляются три обобщающих показателя выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств:
обобщающий показатель - характеризующий выполнение группы требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных в пунктах 2.4 - 2.10, 2.18 и 2.19 настоящего Положения, и вычисляемый как среднее арифметическое оценок выполнения указанных требований, умноженное на корректирующий коэффициент ;
обобщающий показатель - характеризующий выполнение группы требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных в пунктах 2.11 - 2.17 настоящего Положения, и вычисляемый как среднее арифметическое оценок выполнения указанных требований, умноженное на корректирующий коэффициент ;
итоговый показатель - характеризующий выполнение всех требований к обеспечению защиты информации при осуществлении переводов денежных средств и принимаемый равным наименьшему из значений обобщающих показателей и .
Точность измерения значений обобщающих показателей при расчете средней арифметической - два знака после запятой.
5.1. Корректирующий коэффициент определяется по следующим правилам:
в случае отсутствия требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, корректирующий коэффициент принимается равным 1;
для случая, когда количество требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, больше нуля, но меньше одиннадцати, корректирующий коэффициент принимается равным 0.85;
для случая, когда количество требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, больше или равно одиннадцати, корректирующий коэффициент принимается равным 0.7.
5.2. Корректирующий коэффициент определяется по следующим правилам:
в случае отсутствия требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, корректирующий коэффициент принимается равным 1;
для случая, когда количество требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, больше нуля, но меньше шести, корректирующий коэффициент принимается равным 0.85;
для случая, когда количество требований к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя и которые полностью не выполняются, больше или равно шести, корректирующий коэффициент принимается равным 0.7.
6. Для документирования результатов вычисления обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств используется следующая форма:
Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств
Обобщающий показатель |
Значение обобщающего показателя |
1 |
2 |
|
|
|
|
|
В графе 2 Формы 2 отражаются значения обобщающих показателей.
7. На основе вычисленного значения итогового показателя формируется обобщенное суждение о выполнении субъектом платежной системы требований к обеспечению защиты информации при осуществлении переводов денежных средств в соответствии со следующим общим подходом:
в случае если значение итогового показателя больше или равно 0.85, работа по обеспечению защиты информации при осуществлении переводов денежных средств на необходимом уровне обеспечивает выполнение установленных требований (значение качественной оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств "хорошая");
в случае если значение итогового показателя больше или равно 0.70 и меньше 0.85, работа по обеспечению защиты информации при осуществлении переводов денежных средств в целом обеспечивает выполнение установленных требований (значение качественной оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств "удовлетворительная");
в случае если значение итогового показателя больше или равно 0.5 и меньше 0.7, работа по обеспечению защиты информации при осуществлении переводов денежных средств не в полной мере обеспечивает выполнение установленных требований (значение качественной оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств "сомнительная");
в случае если значение итогового показателя меньше 0.5, работа по обеспечению защиты информации при осуществлении переводов денежных средств не обеспечивает выполнение установленных требований (значение качественной оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств "неудовлетворительная").
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.