Некоторые требования к оценке соответствия защиты информации финансовых организаций:

• Оценка проводится независимой организацией с необходимым уровнем компетенции и лицензией на деятельность по технической защите конфиденциальной информации. 14
• Область оценки включает совокупность объектов информатизации, включая автоматизированные системы и приложения, используемые финансовыми организациями для выполнения бизнес-процессов и технологических процессов, связанных с предоставлением финансовых и банковских услуг. 24
• Оценку следует основывать на свидетельствах. 1 В качестве основных источников рекомендуется использовать документы проверяемой организации и, при необходимости, документы третьих лиц, относящиеся к обеспечению защиты информации. 1 Также учитываются устные высказывания сотрудников, результаты наблюдений за процессами системы защиты информации и деятельностью сотрудников проверяемой организации, параметры конфигураций и настроек технических объектов информатизации и средств защиты информации. 1
• По итогам проверки разрабатывается отчёт. 3 В нём должны быть оценки, характеризующие выбор организационных и технических мер защиты информации, применение организационных и технических мер на этапах жизненного цикла автоматизированных систем и полноту реализации организационных и технических мер. 3
• Проверяемая организация должна хранить отчёт не менее пяти лет. 3