st-12-xx (1027740), страница 4
Текст из файла (страница 4)
8.6п. 8.7п. 8.8п. 8.9п. 8.10п. 8.11п. 8.12п. 8.13п. 8.14п. 8.15п. 8.16п. 8.17п. 8.184. Частные показатели по направлению оценки «менеджмент ИБ организации»отражают отдельные требования ИБ СТО БР ИББС–1.0, предъявляемые по каждой изобластей. Частные показатели по направлению оценки «менеджмент ИБ организации»(показатели М11÷М27), метрики, а также коэффициенты значимости α i. j для каждогочастного показателя приведены в приложении А.5 Оценки EVMi. j и EVMi , полученные в результате оценивания групповыхпоказателей ИБ М11÷М27, вносятся в соответствующие графы представленных вприложении А форм.6 Итоговая оценка EV2, отражающая степени выполнения требований СТО БРИББС-1.0 по направлению “менеджмент ИБ организации”, вычисляется по формуле:27EV 2 =∑ EVi =11Mi177 Оценки EVMi , полученные в результате оценивания групповых показателей ИБМ11÷М27, отображаются на круговой диаграмме (см.
раздел 11) в секторах с 11 по 27дугами, отстающими от центра круговой диаграммы на величину, соответствующуюзначению этих оценок.8 Оценка EV2 отображается на круговой диаграмме (см. раздел 11) в секторах с11 по 27 дугой, отстающей от центра круговой диаграммы на величину, соответствующуюзначению EV2.проект 11.05.201016СТО БР ИББС -1.2-2009Ошибка! Закладка не определена. Оценка уровня осознанияинформационной безопасности организации банковской системыРоссийской Федерации9 Оценка уровня осознания ИБ организации определяется с помощью групповых ичастных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТОБР ИББС-1.0 для следующих областей:– деятельность руководства организации по поддержкефункционированияслужбы ИБ организации;– деятельность руководства организации по принятию решений о реализации иэксплуатации СОИБ;– деятельность руководства организации по поддержке планирования СОИБ;– деятельность руководства организации по поддержке реализации СОИБ;– деятельность руководства организации по поддержке проверки СОИБ;– деятельность руководства организации по анализу СОИБ;– деятельность руководства организации по поддержке совершенствованияСОИБ;10 Групповые показатели по направлению оценки «уровень осознания ИБорганизации» отражают совокупность требований ИБ к областям, определенным вразделе 8 СТО БР ИББС-1.0.
Таблица 6 отражает соответствие между структурнымиэлементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповымипоказателями ИБ, предназначенными для проверки реализации данных требований.Т аб ли ц а 6 – Соответствие групповых показателей ИБ требованиям, представленным в разделе 8СТО БР ИББС–1.0ОбозначениегрупповогопоказателяИБМ28М29М30М31М32М33М34Наименование группового показателя ИБОценка деятельности руководстваорганизации по поддержкефункционирования службы ИБ организацииОценка деятельности руководстваорганизации по принятию решений ореализации и эксплуатации СОИБОценка деятельности руководстваорганизации по поддержке планированияСОИБОценка деятельности руководстваорганизации по поддержке реализацииСОИБОценка деятельности руководстваорганизации по поддержке проверки СОИБОценка деятельность руководстваорганизации по анализу СОИБОценка деятельности руководстваорганизации по поддержкесовершенствования СОИБСтруктурный элемент СТО БР ИББС–1.0п.
8.2п. 8.7п. 8.3, 8.4, 8.5, 8.6, 8.8п. 8.9, 8.10, 8.11п.8.12, 8.13, 8.14, 8.15п.8.16п.8.17, 8.1811. Частные показатели по направлению оценки «уровень осознания ИБорганизации» отражают отдельные требования СТО БР ИББС–1.0 к СМИБ организации,относящиеся к деятельности руководства организации. Частные показатели попроект 11.05.2010СТО БР ИББС-1.2-20хх17направлению оценки «уровень осознания ИБ организации» (показатели М28÷М34),метрики, а также коэффициенты значимости α i.
j для каждого частного показателяприведены в приложении А.12 Оценки EVMi. j и EVMi , полученные в результате оценивания групповыхпоказателей ИБ М28÷М34, вносятся в соответствующие графы представленных вприложении А форм.13 Итоговая оценка EV3, отражающая степень выполнения требований СТО БРИББС-1.0 по направлению “уровень осознания ИБ организации», вычисляется поформуле:34EV 3 =∑ EVi = 28Mi.714 Оценки EVMi , полученные в результате оценивания групповых показателей ИБМ28÷М34, отображаются на круговой диаграмме (см.
раздел 11) в секторах с 28 по 34дугами, отстающими от центра круговой диаграммы на величину, соответствующуюзначению этих оценок.15 Оценка EV3 отображается на круговой диаграмме (см. раздел 11) в секторах с28 по 34 дугой, отстающей от центра круговой диаграммы на величину, соответствующуюзначению EV3.Ошибка! Закладка не определена.
Особенности оценки степенивыполнения требований СТО БР ИББС-1.0, регламентирующихзащиту персональных данных в информационных системахперсональных данных10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0,регламентирующих защиту персональных данных в ИСПДн, без учета оценки степенивыполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИи формирования оценки EV1ОЗПД следует использовать уточняющие вопросы, которыедетализируют и конкретизируют частные показатели ИБ.Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3“Обеспечение информационной безопасности организаций банковской системыРоссийской Федерации. Требования по обеспечению безопасностиперсональныхданных в информационных системах персональных данных организаций банковскойсистемы Российской Федерации”.Перечень указанных уточняющих вопросов, а также их связь с частнымипоказателями содержится в Приложении В (таблица 1 и таблица 2 соответственно).Если в конкретной организации БС РФ отдельные требования РС БР ИББС-2.3заменены иными требованиями, обеспечивающими эквивалентный (аналогичный)уровень безопасности персональных данных, то соответствующие изменения должныбыть внесены в перечень уточняющих вопросов в Приложении В.10.2.
Для проведения оценки соответствия ИБ в части информационных системперсональных данных, необходимо провести оценивание частных показателейнастоящего стандарта, попадающих в область оценки, используя все соответствующиечастным показателям детализирующие и конкретизирующие вопросы Приложения В. Дляэтого необходимо:проект 11.05.201018СТО БР ИББС-1.2-20хх- на основании ссылок на частный показатель, приведенных в Приложении В, и всоответствии с классом информационной системы персональных данных составитьперечень вопросов, соответствующих оцениваемому частному показателю (иливоспользоваться таблицей соответствия частных показателей и вопросов, приведенной вПриложении В);- провести оценивание вопросовПриложения В из перечня, вопросов,соответствующих оцениваемому частному показателю;- провести оценивание частного показателя настоящего стандарта, используя, втом числе, оценки для вопросов Приложения В.10.3.
Оценка вопросов Приложения В формируется на основании выявленнойстепени выполнения проверяемого требования посредством экспертного оценивания.Устанавливается следующая шкала степени выполнения проверяемых требований:– «Выполняется в полном объеме»;– «Выполняется не в полном объеме»;– «Не выполняется».Оценка вопросов Приложения В должна основываться на свидетельствах аудитаИБ, приведенных в п. 6.11 настоящего стандарта.10.4. Оценивание частных показателей следует проводить в соответствии срекомендуемыми критериями выставления оценок частных показателей информационнойбезопасности, определенными в п. 6.7 настоящего стандарта.Оценивание всех вопросов из составленного перечня вопросов Приложения Вявляется необходимым для оценивания частного показателя.При проведении оценивания частных показателей следует использоватьследующий общий подход:Т аб ли ц а 7 – Рекомендуемые критерии выставления оценок частных показателей ИБ на основеоценки вопросов Приложения ВМаксимальнаяоценка частногопоказателя ИБ000,250,250,250,50,5Критерий выставления оценкичастного показателя ИБТребования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, не установлены во внутренних нормативных документах проверяемойорганизации и не выполняются.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, частично установлены во внутренних нормативных документахпроверяемой организации, но не выполняются.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, полностью установлены во внутренних нормативных документахпроверяемой организации, но не выполняются.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, не установлены во внутренних нормативных документах проверяемойорганизации и выполняются в неполном объеме.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, частично установлены во внутренних нормативных документахпроверяемой организации и выполняются в неполном объеме.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, полностью установлены во внутренних нормативных документахпроверяемой организации и выполняются в неполном объеме.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, не установлены во внутренних нормативных документах проверяемойорганизации, но выполняются в полном объеме.проект 11.05.2010СТО БР ИББС-1.2-20хх0,75119Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, частично установлены во внутренних нормативных документахпроверяемой организации, но выполняются в полном объеме.Требования всех вопросов Приложения В, соответствующих оцениваемому частномупоказателю, полностью установлены во внутренних нормативных документахпроверяемой организации и выполняются в полном объеме.В ряде случаев, оценивание всех вопросов из составленного перечня ПриложенияВ может оказаться недостаточным для оценивания частного показателя.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
