st-12-xx (1027740), страница 2
Текст из файла (страница 2)
Общие положения5.1. Целью настоящей методики является стандартизация подходов и способовоценки, используемых для определения уровня соответствия ИБ организации БС РФ(далее – организации) требованиям СТО БР ИББС-1.0 по направлениям оценки:— текущий уровень ИБ организации;— менеджмент ИБ организации;— уровень осознания ИБ организации.5.2.
Задачами настоящей методики являются:— определение состава показателей ИБ и способов их оценивания;— определение способа оценивания текущего уровня ИБ организации с помощьюустановления степени выполнения требований, определенных в разделе 7 СТО БРИББС-1.0;— определение способа оценивания менеджмента ИБ организации и уровня осознанияИБ организации с помощью установления степени выполнения требований,определенных в разделе 8 СТО БР ИББС-1.0;— определения итогового уровня соответствия ИБ организации требованиям СТО БРИББС-1.0.Ошибка! Закладка не определена. Показатели информационнойбезопасности.
Способы оценивания показателей1 Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС–1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБобразуют структуру направлений оценки, детализируя оценки текущего уровня ИБорганизации, менеджмента и уровня осознания ИБ. Оценки групповых показателей ( EVMi )используются для получения оценки по направлениям (EV1, EV2 и EV3). Частныепоказатели ИБ входят в состав групповых показателей и представлены в виде вопросов,ответы на которые дают возможность определить оценки ( EVMi. j ), которые затемформируют оценки EVMi групповых показателей.Приложение А содержит формы, предназначенные для заполнения припроведении оценки.
Каждая из форм содержит групповой показатель ИБ, входящие в негочастные показатели ИБ, метрику (шкалу) для оценивания частных показателей икоэффициенты значимости частных показателей ИБ, используемые при вычислениигруппового показателя.6.2. Частные показатели разделены на две категории. Первую категориюсоставляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнениекоторых обязательно в организации. Вторую категорию составляют частные показатели,отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется впроект 11.05.20108СТО БР ИББС-1.2-20ххорганизации. Информация о принадлежности частных показателей к указаннымкатегориям определена в формах Приложения А.6.3.
Способ оценивания частного показателя зависит от его принадлежности кодной из категорий, определенных в п.6.2. настоящей методики.6.4. Оценка EVMi. j частного показателя формируется на основании выявленнойаудиторской группой степени выполнения требований посредством экспертногооценивания.Оценивание частного показателя должно сопровождаться внесением символа,например –«X», в соответствующую графу представленных в приложении А форм.6.5. Для частных показателей, выполнение которых обязательно, устанавливаетсяследующая шкала степени их выполнения:– «нет» – оценке присваивается значение, равное нулю;– «частично» – оценке присваивается значение 0,25, 0,5 или 0,75;– «да» – оценке присваивается значение, равное единице.Если частный показатель предназначен для оценки требований, которые неотносятся к деятельности организации или на момент оценки не являются актуальнымидля организации, что документально зафиксировано во внутренних документахорганизации, то данный частный показатель определяется как неоцениваемый (должнабыть заполнена графа «н/о» – нет оценки) и не учитывается в формировании дальнейшихрезультатов оценки.
При этом необходимо выполнить процедуру нормировкикоэффициентов значимости оставшихся частных показателей ИБ в рамках групповогопоказателя.6.6.Длячастныхпоказателей,выполнениекоторыхрекомендуется,устанавливается следующая шкала степени их выполнения:– «да» – оценке присваивается значение, равное единице;– «нет» - частный показатель определяется как неоцениваемый (должна бытьзаполнена графа «н/о» – нет оценки) и не учитывается в формировании дальнейшихрезультатов оценки.
При этомнеобходимо выполнить процедуру нормировкикоэффициентов значимости оставшихся частных показателей ИБ в рамках групповогопоказателя.6.7. При проведении оценки частных показателей, для которых оценивается какстепень документированности, так и степень выполнения, рекомендуется использоватьследующий общий подход:Т аб ли ц а 1 – Рекомендуемые критерии выставления оценок частных показателей ИБ, в которыхоценивается как степень документированности, так и степень выполнения требований ИБОценка частногопоказателя ИБ000,250,250,25Критерий выставления оценкичастного показателя ИБТребования частного показателя ИБ не установлены во внутренних нормативныхдокументах проверяемой организации и не выполняются.Требования частного показателя ИБ частично установлены в нормативныхдокументах проверяемой организации, но не выполняются.Требования частного показателя ИБ полностью установлены в нормативныхдокументах проверяемой организации, но не выполняются.Требования частного показателя ИБ не установлены во внутренних нормативныхдокументах проверяемой организации и выполняются в неполном объеме.Требования частного показателя ИБ частично установлены во внутреннихнормативных документах проверяемой организации и выполняются в неполномобъеме.проект 11.05.2010СТО БР ИББС-1.2-20хх0,50,50,7519Требования частного показателя ИБ полностью установлены во внутреннихнормативных документах проверяемой организации и выполняются в неполномобъеме.Требования частного показателя ИБ не установлены во внутренних нормативныхдокументах проверяемой организации, но выполняются в полном объеме.Требования частного показателя ИБ частично установлены во внутреннихнормативных документах проверяемой организации, но выполняются в полномобъеме.Требования частного показателя ИБ полностью установлены во внутреннихнормативных документах проверяемой организации и выполняются в полномобъеме.6.8.
При проведении оценки частных показателей, для которых оценивается толькостепень документированности, рекомендуется использовать следующий общий подход:Т аб ли ц а 2 – Рекомендуемые критерии выставления оценок частных показателей ИБ, в которыхоценивается только степень документированности требований ИБОценка частногопоказателя ИБ00,51Критерий выставления оценкичастного показателя ИБТребования частного показателя ИБ не установлены во внутренних нормативныхдокументах проверяемой организации.Требования частного показателя ИБ частично установлены в нормативныхдокументах проверяемой организации.Требования частного показателя ИБ полностью установлены в нормативныхдокументах проверяемой организации.6.9.
При проведении оценки частных показателей, для которых оценивается толькостепень выполнения, рекомендуется использовать следующий общий подход:Т аб ли ц а 3– Рекомендуемые критерии выставления оценок частных показателей ИБ, в которыхоценивается только степень выполнения требований ИБОценка частногопоказателя ИБ00,51Критерий выставления оценкичастного показателя ИБТребования частного показателя ИБ не выполняются.Требования частного показателя ИБ выполняются в неполном объеме.Требования частного показателя ИБ выполняются в полном объеме.6.10. В случаях, если при проведении оценки частного показателя используетсяограниченный набор объектов, входящих в область аудита ИБ (например, ограниченнаявыборка автоматизированных банковских систем), и по результатам оценивания частногопоказателя получены результаты, указывающие на полное выполнение или полноеневыполнение/полную документированность илиотсутствие документированностисоответствующих требований ИБ, рекомендуется расширить набор указанных объектов(выборку) для подтверждения или коррекции полученных результатов.6.11.
Оценка частного показателя ИБ должна основываться на свидетельствахаудита, в качестве основных источников которых рекомендуется использовать:— внутренние нормативные документы проверяемой организации и при необходимостидокументы третьих лиц, относящиеся к обеспечению ИБ организации;— устные высказывания сотрудников проверяемой организации в процессепроводимых опросов;— результаты наблюдений членов аудиторской группы за деятельностью сотрудниковпроверяемой организации в области ИБ.проект 11.05.201010СТО БР ИББС-1.2-20ххВ процессе проведения устного опроса сотрудников проверяемой организации инаблюдений за деятельностью указанных сотрудников члены аудиторской группы должнысделать вывод о степени соответствия оцениваемой деятельности требованиямвнутренних нормативных документов проверяемой организации.Полученные свидетельства аудита ИБ и источники их получения должны бытьзадокументированы путем составления листов для сбора свидетельств аудита ИБ,пример которых приведен в Приложении Б.
При заполнении листов для сборасвидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренниенормативные документы проверяемой организации, результаты опроса сотрудниковпроверяемой организации, а также результаты наблюдений членов аудиторской группы.Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемогосотрудника организации и члена аудиторской группы соответственно.6.12.
Оценка группового показателя (EVMi), за исключением группового показателяМ9 «Общие требования по обработке персональных данных в организации БС РФ»,вычисляется из оценок входящих в него частных показателей (EVMi.j) с учетомкоэффициентов значимости αi.j определяющих важность частного показателя дляоценивания группового показателя:EVMi = ∑ α i. j ⋅ EVMi. j .jПри формировании коэффициентов значимости учитывалось следующее условиенормировки:k∑αj =1ij=1,где k — число частных показателей в i-ом групповом показателе.Коэффициенты значимости αi.j для каждого частного показателя, за исключениемчастных показателей группового показателя М9 «Общие требования по обработкеперсональных данных в организации БС РФ», приведены в приложении А.6.13. Оценка группового показателя (EVMi) для группового показателя М9 «Общиетребования по обработке персональных данных в организации БС РФ» определяется понаименьшему значению оценок входящих в него частных показателей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
