st12 (1027743)
Текст из файла
ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÑÒÎ ÁÐ ÈÁÁÑ-1.2-2007ÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÑÎÎÒÂÅÒÑÒÂÈßÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÒÐÅÁÎÂÀÍÈßÌ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2006Дата введения: 20070501Ìîñêâà20072СТО БР ИББС1.22007Ïðåäèñëîâèå1.
ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 28 апреля 2007 года№ Р346.2. ВВЕДЕН ВПЕРВЫЕ.Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.СТО БР ИББС1.220073ÑîäåðæàíèåВведение .................................................................................................... 41. Область применения .................................................................................... 52. Нормативные ссылки ...................................................................................
53. Термины и определения ............................................................................... 54. Обозначения и сокращения ........................................................................... 55. Общие положения ....................................................................................... 66. Показатели информационной безопасности. Способы оценивания показателей....... 67. Оценка текущего уровня информационной безопасности организациибанковской системы Российской Федерации ................................................... 88. Оценка процессов системы менеджмента информационной безопасностиорганизации банковской системы Российской Федерации ...............................
109. Оценка уровня осознания информационной безопасности организациибанковской системы Российской Федерации ................................................. 1210. Определение уровня соответствия информационной безопасности организациибанковской системы Российской Федерации требованиям СТО БР ИББС'1.0.Отображение оценок ................................................................................. 13Приложение А (обязательное). Показатели информационной безопасности ............
15Приложение Б (обязательное). Форма листов для сбора свидетельств аудита ИБ ..... 404СТО БР ИББС1.22007ÂâåäåíèåСтандартом Банка России СТО БР ИББС1.02006 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — СТО БР ИББС1.0) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ)определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.Настоящий стандарт устанавливает способы определения степени выполнения требований СТО БР ИББС1.0, а также итогового уровня соответствия ИБ требованиям СТО БР ИББС1.0при проведении внутренней и(или) внешней оценки и самооценки ИБ.СТО БР ИББС1.220075ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÑÎÎÒÂÅÒÑÒÂÈßÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÒÐÅÁÎÂÀÍÈßÌ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2006Дата введения: 200705011.
Îáëàñòü ïðèìåíåíèÿНастоящая методика распространяется на организации БС РФ, а также на организации,проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями СТО БР ИББС1.0.Настоящий стандарт рекомендован для применения путем включения ссылок на негои(или) прямого использования устанавливаемых в нем положений во внутренних документахорганизации БС РФ.Положения настоящего стандарта применяются на добровольной основе, если только вотношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.2.
Íîðìàòèâíûå ññûëêèВ настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС1.0.3. Òåðìèíû è îïðåäåëåíèÿВ настоящем документе применены термины в соответствии с СТО БР ИББС1.0, стандартом Банка России СТО БР ИББС1.12007 “Обеспечение информационной безопасностиорганизаций банковской системы Российской Федерации. Аудит информационной безопасности”, а также следующие термины с соответствующими определениями.3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.3.2.
Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС1.0.3.3. Проверяемая организация: Организация БС РФ, информационная безопасностькоторой подвергается оценке на соответствие требованиям СТО БР ИББС1.0.4. Îáîçíà÷åíèÿ è ñîêðàùåíèÿАБС — автоматизированная банковская система;БС — банковская система;ЖЦ — жизненный цикл;ИБ — информационная безопасность;ЛВС — локальная вычислительная сеть;НСД — несанкционированный доступ;РФ — Российская Федерация;6СТО БР ИББС1.22007СКЗИ — средство криптографической защиты информации;СМИБ — система менеджмента информационной безопасности;ЭВМ — электронная вычислительная машина;αi.j — коэффициент значимости частного показателя;EV1 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “текущий уровень ИБ организации”;EV2 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “менеджмент ИБ организации”;EV2ПЛ — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихпроцессы планирования СМИБ;EV2ПР — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихпроцессы проверки СМИБ;EV2Р — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихпроцессы реализации и эксплуатации СМИБ;EV2С — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихпроцессы совершенствования СМИБ;EV3 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “уровень осознания ИБ организации”;EVБИТП — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихбанковский информационный технологический процесс;EVБПТП — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихбанковский платежный технологический процесс;EVMi — оценка степени выполнения требований СТО БР ИББС1.0 для группового показателя;EVMi.j — оценка степени выполнения требований СТО БР ИББС1.0 для частного показателя;i — номер группового показателя;j — номер частного показателя;Mi.j — обозначение частного показателя;R — итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС1.0.5.
Îáùèå ïîëîæåíèÿ5.1. Целью настоящей методики является стандартизация подходов и способов оценки,используемых для определения уровня соответствия ИБ организации БС РФ требованиямСТО БР ИББС1.0 по направлениям оценки:— текущий уровень ИБ организации;— менеджмент ИБ организации;— уровень осознания ИБ организации.5.2. Задачами настоящей методики являются:— определение состава показателей ИБ и способов их оценивания;— определение способа оценивания текущего уровня ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС1.0;— определение способа оценивания менеджмента ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 9 СТО БР ИББС1.0;— определение способа оценивания уровня осознания ИБ организации БС РФ с помощьюустановления степени выполнения принципов, определенных в разделе 6 СТО БР ИББС1.0;— определения итогового уровня соответствия ИБ организации БС РФ требованиямСТО БР ИББС1.0.6.
Ïîêàçàòåëè èíôîðìàöèîííîé áåçîïàñíîñòè.Ñïîñîáû îöåíèâàíèÿ ïîêàçàòåëåé6.1. Для оценки степени соответствия ИБ организации БС РФ требованиям СТО БРИББС1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ, менеджмента иуровня осознания ИБ.
Оценки групповых показателей (EVMi) используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (EVMi.j), которые затем формируют оценки EVMi групповых показателей.СТО БР ИББС1.220077Приложение А содержит формы, предназначенные для заполнения при проведении оценки.
Каждая из форм содержит групповой показатель ИБ, входящие в него частные показателиИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частныхпоказателей ИБ, используемые при вычислении группового показателя.6.2.
Все частные показатели должны быть оценены. Оценка EVMi.j частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания. Устанавливается следующая шкала степени выполнениятребований:— “нет” — оценке присваивается значение, равное нулю;— “частично” — оценке присваивается значение 0,25; 0,5 или 0,75;— “да” — оценке присваивается значение, равное единице.Оценивание частного показателя должно сопровождаться внесением символа, например“X”, в соответствующую графу представленных в приложении А форм. Если частный показательпредназначен для оценки требований, которые не относятся к деятельности организации БСРФ, что документально зафиксировано, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа “н/о” — нет оценки) и не учитывается в формированиидальнейших результатов оценки. Определение частного показателя как неоцениваемого можетбыть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этомнеобходимо выполнить процедуру перенормировки коэффициентов значимости оставшихсячастных показателей ИБ в рамках группового показателя.6.3.
Для выявления степени выполнения требований ИБ при проведении оценки частныхпоказателей рекомендуется использовать следующий общий подход:Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБОценка частногоKритерий выставления оценкипоказателя ИБчастного показателя ИБ0Требования, степень выполнения которых оценивается в частном показателе ИБ, не установленыво внутренних нормативных документах проверяемой организации БС РФ и не выполняются0Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установленыв нормативных документах проверяемой организации БС РФ, но не выполняются0,25Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установленыв нормативных документах проверяемой организации БС РФ, но не выполняются0,25Требования, степень выполнения которых оценивается в частном показателе ИБ, не установленыво внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме0,25Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установленыво внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме0,5Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установленыво внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме0,5Требования, степень выполнения которых оценивается в частном показателе ИБ, не установленыво внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме0,75Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установленыво внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме1Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установленыво внутренних нормативных документах проверяемой организации БС РФ и выполняются в полном объеме6.4.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
