Оценка соответствия требованиям Положения 382-П

Оценка уровня соответствия ЗИ в платежной системе Банка требованиям Положения 382-П проводится с целью получения количественных показателей уровня текущего состояния ЗИ в платежной системе и выявления несоответствий.

При проведении оценки соответствия используются три обобщающих показателя:

  • обобщающий показатель EV1ПС – характеризует выполнение группы требований к обеспечению ЗИ при осуществлении переводов денежных средств, определенных в пунктах 2.4 – 2.10 Положения 382-П;
  • обобщающий показатель EV2ПС – характеризует выполнение группы требований к обеспечению ЗИ при осуществлении переводов денежных средств, определенных в пунктах 2.11 – 2.17 Положения 382-П;
  • итоговый показатель RПС – характеризует выполнение всех требований к обеспечению ЗИ при осуществлении переводов денежных средств.

Частные показатели ИБ входят в состав обобщающих показателей ИБ, детализируя их.

Оценки частных показателей формируется на основании степени выполнения требований, на основании собранных свидетельств с использованием шкалы степени их выполнения, определенной документами Банка России. Для оценки соответствия используется следующая система оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств:

  • требование к обеспечению защиты информации при осуществлении переводов денежных средств полностью не выполняется — оценке присваивается числовое значение 0;
  • требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется частично — оценке присваивается числовое значение 0.25, 0.5 или 0.75;
  • требование к обеспечению защиты информации при осуществлении переводов денежных средств выполняется полностью — оценке присваивается числовое значение 1;
  • выполнение требования к обеспечению защиты информации при осуществлении переводов денежных средств не является обязанностью субъекта платежной системы — оценке присваивается символьное значение «н/о» (нет оценки).

Все частные показатели разбиты на 3 основные категории:

Категория 1 – показатели, оценка которых формируется по результатам оценки степени документированности и выполнения требований;

Оценка показателей, отнесенных к Категории 1

Меры по защите информации не применяются

 Меры по защите информации применяются не в полном объеме

Меры по защите информации применяются почти в полном объеме

Меры по защите информации применяются в полном объеме

Порядок применения не определен во внутренних нормативных документах

0

0

0

0

Порядок применения определен во внутренних нормативных документах

0,25

0,5

0,75

1

Категория 2 – показатели, оценка которых формируется по результатам оценки степени документированности требований

Оценка показателей, отнесенных к Категории 2

Документ отсутствует

Документ имеется в наличии

0

1

Категория 3 – показатели, оценка которых формируется по результатам оценки степени выполнения требований

Оценка показателей, отнесенных к Категории 3

Деятельность не выполняется

Деятельность выполняется частично

Деятельность выполняется в полном объеме

0

0,5

1