Результат проведения оценки соответствия основывается на свидетельствах, в
качестве основных источников которых рекомендуется использовать:
-
документы организации и иные материалы в бумажном или электронном виде и,
при необходимости, документы третьих лиц, относящиеся к обеспечению защиты
информации финансовой организации (в том числе модель угроз, технический
паспорт и т.д.).
-
устные высказывания сотрудников проверяемой организации в процессе
проводимых опросов в области оценки соответствия
-
результаты наблюдений членов проверяющей группы за процессами системы защиты
информации и деятельностью сотрудников организации в области действия оценки
соответствия
-
параметры конфигураций и настроек технических объектов информатизации и
средств защиты информации
-
технические и программные средства сбора свидетельств полноты реализации мер
защиты информации (анализ электронных журналов регистрации, анализ
фактических настроек, анализ уязвимостей, проведение тестирования на
проникновение и т.п.)
Выбор конкретных источников свидетельств при проведении оценки соответствия
защиты информации осуществляет проверяющая группа в составе специалистов ООО
«Лаборатория безопасности» с учетом предложений Финансовой организации и
обеспечения максимальной достоверности оценки соответствия защиты информации.
В результате Финансовой организации будет присвоен один из уровней
соответствия ГОСТ 57580-1 2017:
а) Нулевой уровень соответствия: организационные и
технические меры процесса системы защиты информации не реализуются или
реализуются в единичных случаях. Общие подходы (способы) реализации
организационных и технических мер процесса системы ЗИ не установлены. Контроль
и совершенствование реализации организационных и технических мер процесса
системы ЗИ не осуществляются
б) Первый уровень соответствия: организационные и технические
меры процесса системы ЗИ реализуются в незначительном количестве, бессистемно
и/или эпизодически. Общие подходы (способы) реализации организационных и
технических мер процесса системы ЗИ не установлены. Контроль и
совершенствование реализации организационных и технических мер процесса
системы ЗИ не осуществляются
в) Второй уровень соответствия: организационные и технические
меры процесса системы ЗИ реализуются в значительном количестве на постоянной
основе. Общие подходы (способы) реализации организационных и технических мер
процесса системы ЗИ установлены в единичных случаях. Реализация
организационных и технических мер процесса системы ЗИ осуществляется на
усмотрение исполнителя. Контроль и совершенствование реализации
организационных и технических мер процесса системы ЗИ практически не
осуществляются
г) Третий уровень соответствия: организационные и технические
меры процесса системы ЗИ реализуются в значительном количестве на постоянной
основе в соответствии с общими подходами (способами), установленными в
финансовой организации. Контроль и совершенствование реализации
организационных и технических мер процесса системы ЗИ осуществляются
бессистемно и/или эпизодически
д) Четвертый уровень соответствия: организационные и
технические меры процесса системы ЗИ реализуются в полном объеме на постоянной
основе в соответствии с общими подходами (способами), установленными в
финансовой организации. В финансовой организации в основном реализованы
контроль и совершенствование реализации организационных и технических мер
процесса системы ЗИ
е) Пятый уровень соответствия: организационные и технические
меры процесса системы ЗИ реализуются в полном объеме на постоянной основе в
соответствии с общими подходами (способами), установленными в финансовой
организации. В финансовой организации реализованы постоянный контроль и
необходимое своевременное совершенствование реализации организационных и
технических мер процесса системы ЗИ.
Результаты проведенной проверки фиксируются проверяющей группы ООО
«Лаборатория безопасности» в отчете по результатам оценки соответствия защиты
информации Финансовой организации ГОСТ Р.57580-1 2017.
Пн-Пт с 9:00 до 18:00
