Глава 3. Рекомендации по расчету значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения")
3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении требований, указанных в приложении 2 к настоящим Методическим рекомендациям (далее для целей настоящей главы - требования).
3.2. По направлению "Безопасность программного обеспечения" осуществляется расчет значений следующих показателей:
EПОП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;
EПОР - оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;
EПОК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;
EПОС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;
EПО - обобщающий показатель уровня оценки соответствия по направлению "Безопасность программного обеспечения".
3.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EПОП), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.
В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Определена ли область применения меры защиты информации?";
"Определен ли порядок применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
3.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EПОР), рекомендуется рассчитывать по формуле:
гдеi - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("постоянно", "всегда", "в полном объеме");
0,75 - "в основном да" ("почти постоянно", "почти всегда", "почти в полном объеме");
0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");
0,25 - "в основном нет" ("непостоянно", "почти никогда");
0 - "нет" ("никогда", "ни в каких случаях").
3.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля реализации мер защиты информации (EПОК), рекомендуется рассчитывать по формуле:
где:i - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников некредитной финансовой организации в части применения меры защиты информации.
В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Обеспечен ли контроль области применения меры защиты информации?";
"Обеспечен ли контроль надлежащего применения меры защиты информации?";
"Обеспечен ли контроль знаний работников некредитной финансовой организации в части применения меры защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("контроль обеспечен");
0 - "нет" ("контроль не обеспечен").
3.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EПОС), рекомендуется рассчитывать по формуле:
где:i - порядковый номер оцениваемых требований;
N - общее количество требований;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;
- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.
В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";
"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".
Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:
1 - "да" ("анализ совершенствования осуществляется");
0 - "нет" ("анализ совершенствования не осуществляется").
3.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Безопасность программного обеспечения" (EПО) рекомендуется рассчитывать по формуле:
EПО = 0,2EПОП + 0,4EПОР + 0,25EПОК + 0,15EПОС, где:
EПОП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.3 настоящей главы;
EПОР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 3.4 настоящей главы;
EПОК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 3.5 настоящей главы;
EПОС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.6 настоящей главы.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей