|
Меры защиты информации по направлению "Безопасность программного обеспечения" |
|
|
Обеспечивается использование соискателем для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, которые сертифицированы в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренному пунктом 7.6 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) |
2.1. В строке 2.1 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации (
), которое рассчитывается по формуле:
- порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;
- общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации, где значение равно "1", если область применения меры защиты информации определена ("да"), значение равно "0", если область применения меры защиты информации не определена ("нет");
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации, где значение равно "1", если порядок применения меры защиты информации определен ("да"), значение равно "0", если порядок применения меры защиты информации не определен ("нет").
2.2. В строке 2.2 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации (
), которое рассчитывается по формуле:
- порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;
- общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, равное следующим показателям:
1 - "да" ("постоянно", "всегда", "в полном объеме");
0.75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");
0.5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");
0.25 - "в основном нет" ("непостоянно", "почти никогда");
0 - "нет" ("никогда", "ни в каких случаях").
2.3. В строке 2.3 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса контроля реализации мер защиты информации (
), которое рассчитывается по формуле:
- порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;
- общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации, где значение равно "1", если контроль области применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль области применения меры защиты информации не обеспечен ("нет");
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля должного применения меры защиты информации, где значение равно "1", если контроль должного применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль должного применения меры защиты информации не обеспечен ("нет");
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников соискателя в части применения меры защиты информации, где значение равно "1", если контроль знаний работников соискателя в части применения меры защиты информации обеспечен ("да"), значение равно "0", если контроль знаний работников соискателя в части применения меры защиты информации не обеспечен ("нет").
2.4. В строке 2.4 Документа о защите информации указывается значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации (
), которое рассчитывается по формуле:
- порядковый номер оцениваемой меры защиты информации, указанной в таблице 2 настоящего порядка;
- общее количество мер защиты информации, указанных в таблице 2 настоящего порядка;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружение инцидентов защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации осуществлен ("да"), значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации не осуществлен ("нет");
- значение оценки i-й меры защиты информации, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации, где значение равно "1", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации осуществлен ("да"), значение равно "0", если анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации не осуществлен ("нет").
2.5. В строке 2.5 Документа о защите информации указывается значение обобщающего показателя уровня оценки соответствия по направлению "Безопасность программного обеспечения" (
), которое рассчитывается по формуле:
- значение оценки, характеризующей выполнение требований, в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.1 настоящего пункта;
- значение оценки, характеризующей выполнение требований, в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с подпунктом 2.2 настоящего пункта;
- значение оценки, характеризующей выполнение требований, в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.3 настоящего пункта;
- значение оценки, характеризующей выполнение требований, в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с подпунктом 2.4 настоящего пункта.
3. Заполнение сведений раздела 3 Документа о защите информации осуществляется в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 ГОСТ Р 57580.2-2018.
3.1. В рамках направления "Безопасность информационной инфраструктуры" соискателем проводится оценка применения организационных и технических мер процесса системы защиты информации, указанных в ГОСТ Р 57580.1-2017.
Объектом оценки применения организационных и технических мер процесса системы защиты информации в рамках направления "Безопасность информационной инфраструктуры" являются автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется соискателем.
3.2. Оценка выполнения соискателем требований по защите информации по направлению "Безопасность информационной инфраструктуры" осуществляется соискателем с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).
4. В строке 4.1 Документа о защите информации указывается значение итогового показателя уровня оценки соответствия (RОС), которое приравнивается к среднеарифметическому значению обобщающих показателей оценки соответствия по направлениям "Технологические меры" (ЕТМ), "Безопасность программного обеспечения" (ЕПО) и итоговой оценки соответствия R раздела 3 Документа о защите информации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей