st-12-xx (1027740), страница 3
Текст из файла (страница 3)
При этом, длягруппового показателя М9 «Общие требования по обработке персональных данных ворганизации БС РФ» коэффициенты значимости не определены.6.14. Если в рамках группового показателя все входящие в него частные показателиопределены как неоцениваемые, указанный групповой показатель также определяетсякак неоцениваемый и не учитывается в формировании дальнейших результатов оценки.В этом случае групповой показатель не учитывается в формулах расчета для EVБИТП,EVБПТП, , EVООПД , EV1ОЗПД , EV2ОЗПД , EV2 или EV3 (см. раздел 7, 8, 9) с соответствующейкорректировкой в формулах расчета количества оцениваемых групповых показателей.Оценки для таких групповых показателей не отображаются на круговой диаграмме (см.раздел 11).проект 11.05.2010СТО БР ИББС-1.2-20хх11Ошибка! Закладка не определена.
Оценка текущего уровняинформационной безопасности организации банковской системыРоссийской Федерации7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых ичастных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТОБР ИББС-1.0 для следующих областей:– обеспечение ИБ при назначении и распределении ролей и обеспечении доверияк персоналу;– обеспечения ИБ на стадиях жизненного цикла АБС;– обеспечение ИБ при управлении доступом и регистрацией;– обеспечение ИБ средствами антивирусной защиты;– обеспечение ИБ при использовании ресурсов сети Интернет;– обеспечение ИБ при использовании средств криптографической защитыинформации;– обеспечение ИБ банковских платежных технологических процессов;– обеспечение ИБ банковских информационных технологических процессов;– обработка персональных данных в организации БС РФ;– обеспечение ИБ банковских технологических процессов, в рамках которыхобрабатываются персональные данные.7.2.
Групповые показатели по направлению оценки «текущий уровень ИБорганизации» отражают совокупность требований ИБ к областям, определенным вразделе 7 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурнымиэлементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповымипоказателями ИБ, предназначенными для проверки реализации данных требований.Т аб ли ц а 4 – Соответствие групповых показателей ИБ совокупности требований ИБ к областям,определенным в разделе 7 СТО БР ИББС–1.0ОбозначениеНаименование группового показателя ИБ Структурный элемент СТО БР ИББС–1.0групповогопоказателя ИБМ1Обеспечение ИБ при назначении ип. 7.2распределении ролей и обеспечениидоверия к персоналуМ2Обеспечение ИБ на стадиях жизненногоп.
7.3цикла АБСМ3Обеспечение ИБ при управлении доступомп. 7.4и регистрацииМ4Обеспечение ИБ средствами антивируснойп. 7.5защитыМ5ОбеспечениеИБприиспользованиип. 7.6ресурсов сети ИнтернетМ6ОбеспечениеИБприиспользованиип. 7.7средствкриптографическойзащитыинформацииМ7Обеспечения ИБ банковских платежныхп. 7.8технологических процессовМ8ОбеспечениеИБбанковскихп.
7.9информационныхтехнологическихпроцессовМ9Общие требования по обработкеп. 7.10персональных данных в организации БС РФпроект 11.05.201012СТО БР ИББС-1.2-20ххОбозначениегрупповогопоказателя ИБМ10Наименование группового показателя ИБСтруктурный элемент СТО БР ИББС–1.0Общие требования по обеспечениюинформационной безопасности банковскихтехнологических процессов, в рамкахкоторых обрабатываются персональныеданныеп. 7.117.3.
Частные показатели по направлению оценки «текущий уровень ИБорганизации» отражают отдельные требования ИБ СТО БР ИББС–1.0, предъявляемые покаждой из областей. Частные показатели по направлению оценки «текущий уровень ИБорганизации» (показатели М1 ÷ М10), метрики, а также коэффициенты значимости α i. jприведены в приложении А.7.4. Оценивание частных показателей в рамках групповых показателей М1÷М6необходимо осуществлять раздельно по результатам анализавыполнениясоответствующих требований СТО БР ИББС-1.0 по следующим направлениям:− банковский платежный технологический процесс (М7);− банковский информационный технологический процесс (М8);− банковский технологический процесс, в рамках которого обрабатываютсяперсональные данные (М10).7.5.
Оценки EVMi. j и EVMi , полученные в результате оценивания групповыхпоказателей ИБ М1÷М10, вносятся в соответствующие графы представленных вприложении А форм.7.6. Итоговая оценка EV1, отражающая степень выполнения требований СТО БРИББС-1.0 по направлению “текущий уровень ИБ организации”, определяется понаименьшему значению из следующих оценок:EVБИТП —степень выполнения требований СТО БР ИББС-1.0, регламентирующихбанковский информационный технологический процесс;EVБПТП —степень выполнения требований СТО БР ИББС-1.0, регламентирующихбанковский платежный технологический процесс;EV2ОЗПД —степень выполнения требований СТО БР ИББС-1.0, регламентирующихзащиту персональных данных в информационных системах персональных данных, сучетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечениюинформационной безопасности при использовании средств криптографической защитыинформации;EVООПД — степень выполнения требований СТО БР ИББС-1.0, регламентирующихобработку персональных данных;7.7.
Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующихбанковский платежный технологический процесс, вычисляется по формуле, в которойоценки групповых показателей М1÷М6 выбираются по результатам их оценивания,применительно к банковскому платежному технологическому процессу:EVБПТП =∑ EVМi+ EVМ 7i7, i = 1÷6.Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующихбанковский информационный технологический процесс, вычисляется по формуле, впроект 11.05.2010СТО БР ИББС-1.2-200913которой оценки групповых показателей М1÷М6 выбираются по результатам ихоценивания, применительно к банковскому информационному технологическомупроцессу:EVБИТП =∑ EVМi+ EVМ 8i7, i = 1÷6.Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующихзащиту персональных данных в информационных системах персональных данных(ИСПДн), без учета оценки степени выполнения требований СТО БР ИББС-1.0 пообеспечению ИБ при использовании средств криптографической защиты информации(СКЗИ) вычисляется по формуле, в которой оценки групповых показателей М1÷М5выбираются по результатам их оценивания, применительно к банковскомутехнологическому процессу, в рамках которого обрабатываются персональные данные вИСПДн:EV1ОЗПД=∑ EVMi+ EVМ 8 + EVМ 10i7, i = 1÷5.Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующихзащиту персональных данных в ИСПДн, с учетом оценки степени выполнения требованийСТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется поформуле, в которой оценки групповых показателей М1÷М6 выбираются по результатам ихоценивания, применительно к банковскому технологическому процессу, в рамках которогообрабатываются персональные данные в ИСПДн:EV2ОЗПД=∑ EVMi+ EVМ 8 + EVМ 10i8, i = 1÷6.Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующихобработку персональных данных, вычисляется по формуле:EVООПД = EVM 9 .7.8.
Оценки EVMi , полученные в результате оценивания групповых показателей ИБМ1÷М10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1 по 10дугами, отстающими от центра круговой диаграммы на величину, соответствующуюзначению этих оценок.7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел 11) в секторах с1 по 10 дугой, отстающей от центра круговой диаграммы на величину, соответствующуюзначению EV1.проект 11.05.201014СТО БР ИББС-1.2-20ххОшибка! Закладка не определена. Оценка менеджментаинформационной безопасности организации банковской системыРоссийской ФедерацииОценка менеджмента ИБ организации определяется с помощью групповых ичастных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТОБР ИББС-1.0 для следующих областей:– организация и функционирование службы ИБ организации;– определение/коррекция области действия СОИБ;– выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценкирисков нарушения ИБ;– разработка планов обработки рисков нарушения ИБ;– разработка/коррекция внутренних документов, регламентирующих деятельностьв области обеспечения ИБ;– принятие руководством организации решений о реализации и эксплуатацииСОИБ;– организация реализации планов обработки рисков нарушения ИБ;– разработка и организация реализации программ по обучению и повышениюосведомленности в области ИБ;– организация обнаружения и реагирования на инциденты безопасности;– организация обеспечения непрерывности бизнеса и его восстановления послепрерываний;– мониторинг и контроль защитных мер;– проведение самооценки ИБ;– проведение внешнего аудита ИБ;– анализ функционирования СОИБ;– анализ СОИБ со стороны руководства организации;– принятие решений по тактическим улучшениям СОИБ;– принятие решений по стратегическим улучшениям СОИБ.3.
Групповые показатели по направлению оценки «менеджмент ИБ организации»отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БРИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БРИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ,предназначенными для проверки реализации данных требований.2.Т аб ли ц а 5– Соответствие групповых показателей ИБ требованиям к СМИБ, представленным вразделе 8 СТО БР ИББС–1.0ОбозначениегрупповогопоказателяИБМ11М12М13М14Наименование группового показателя ИБОрганизация и функционирование службы ИБорганизацииОпределение/коррекция области действия СОИБВыбор/коррекция подхода к оценке рисков нарушенияИБ и проведение оценки рисков нарушения ИБРазработка планов обработки рисков нарушения ИБСтруктурный элементСТО БР ИББС–1.0п.
8.2п. 8.3п. 8.4п. 8.5проект 11.05.2010СТО БР ИББС-1.2-2009ОбозначениегрупповогопоказателяИБМ15М16М17М18М19М20М21М22М23М24М25М26М27Наименование группового показателя ИБРазработка/коррекция внутренних документов,регламентирующих деятельность в областиобеспечения ИБПринятие руководством организации решений ореализации и эксплуатации СОИБОрганизация реализации планов внедрения СОИБРазработка и организация реализации программ пообучению и повышению осведомленности в областиИБОрганизация обнаружения и реагирования наинциденты безопасностиОрганизация обеспечения непрерывности бизнеса иего восстановления после прерыванийМониторинг и контроль защитных мерПроведение самооценки ИБПроведение аудита ИБАнализ функционирования СОИБАнализ СОИБ со стороны руководства организацииПринятие решений по тактическим улучшениям СОИБПринятие решений по стратегическим улучшениямСОИБ15Структурный элементСТО БР ИББС–1.0п.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
