Глава 2. Рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры")
2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению "Технологические меры" рекомендуется осуществлять в отношении требований, указанных в приложении 1 к настоящим Методическим рекомендациям (далее для целей настоящей главы - требования).
2.2. По направлению "Технологические меры" осуществляется расчет значений следующих показателей:
EТМП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;
EТМР - оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;
EТМК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;
EТМС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;
EТМ - обобщающий показатель уровня оценки соответствия по направлению "Технологические меры".
2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EТМП), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.
В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Определена ли область применения меры защиты информации?";
"Определен ли порядок применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EТМР), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("постоянно", "всегда", "в полном объеме");
0,75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");
0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");
0,25 - "в основном нет" ("непостоянно", "почти никогда");
0 - "нет" ("никогда", "ни в каких случаях").
2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (EТМК), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников некредитной финансовой организации в части применения меры защиты информации.
В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Обеспечен ли контроль области применения меры защиты информации?";
"Обеспечен ли контроль надлежащего применения меры защиты информации?";
"Обеспечен ли контроль знаний работников некредитной финансовой организации в части применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("контроль обеспечен");
0 - "нет" ("контроль не обеспечен").
2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EТМС), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.
В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("анализ совершенствования осуществляется");
0 - "нет" ("анализ совершенствования не осуществляется").
2.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" (EТМ) рекомендуется рассчитывать по формуле:
EТМ = 0,2EТМП + 0,4EТМР + 0,25EТМК + 0,15EТМС, где
EТМП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;
EТМР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;
EТМК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;
EТМС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей