st12 (1027743), страница 2
Текст из файла (страница 2)
Оценка частного показателя ИБ должна основываться на свидетельствах аудита, вкачестве основных источников которых рекомендуется использовать:— внутренние нормативные документы проверяемой организации и при необходимостидокументы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;— устные высказывания сотрудников проверяемой организации в процессе проводимыхопросов;— результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделатьвывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации БС РФ.Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б.
При заполнении листов для сбора свидетельств аудита ИБ необходимо8СТО БР ИББС1.22007указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена аудиторской группысоответственно.6.5. Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частныхпоказателей (EVMi.j) с учетом коэффициентов значимости αi.j, определяющих важность частногопоказателя для оценивания группового показателя:αi.j • EVMi.j .EVMi =jПри формировании коэффициентов значимости учитывалось следующее условие нормировки:kαij = 1,j =1где k — число частных показателей в iом групповом показателе.Коэффициенты значимости αi.j для каждого частного показателя приведены в приложении А.7.
Îöåíêà òåêóùåãî óðîâíÿ èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè7.1. Текущий уровень ИБ организации БС РФ определяется с помощью групповых и частныхпоказателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС1.0для следующих областей:— назначение и распределение ролей, обеспечение доверия к персоналу;— стадии жизненного цикла автоматизированных банковских систем;— управление доступом и регистрация;— антивирусная защита;— использование ресурсов сети Интернет;— использование средств криптографической защиты информации;— банковские платежные технологические процессы;— банковские информационные технологические процессы.7.2.
Групповые показатели текущего уровня ИБ отражают совокупность требований ИБ кобластям, определенным в разделе 8 СТО БР ИББС1.0. Таблица 2 отражает соответствие между структурными элементами СТО БР ИББС1.0, содержащими требования ИБ, и групповымипоказателями ИБ, предназначенными для проверки реализации данных требований.Таблица 2. Соответствие групповых показателей ИБ совокупности требований ИБк областям, определенным в разделе 8 СТО БР ИББС1.0ОбозначениегрупповогоНаименование группового показателя ИБпоказателя ИБМ1Обеспечение ИБ при назначении и распределении ролей и обеспечении доверияк персоналуМ2Обеспечение ИБ автоматизированных банковских систем на стадиях жизненного циклаМ3Обеспечение ИБ при управлении доступом и регистрацииМ4Обеспечение ИБ средствами антивирусной защитыМ5Обеспечение ИБ при использовании ресурсов сети ИнтернетМ6Обеспечение ИБ при использовании средств криптографической защиты информацииМ7Выполнение правил обеспечения ИБ банковских платежных технологических процессовМ8Выполнение правил обеспечения ИБ банковских информационныхтехнологических процессовСтруктурныйэлементСТО БР ИББС1.0п.
8.2.2п. 8.2.3п. 8.2.4п. 8.2.5п. 8.2.6п. 8.2.7п. 8.2.8п. 8.2.9СТО БР ИББС1.2200797.3. Частные показатели текущего уровня ИБ отражают отдельные требования ИБ СТО БРИББС1.0, предъявляемые по каждой из областей. Частные показатели текущего уровня ИБ (показатели М1 ÷ М8) и метрики приведены в приложении А.7.4. Оценка частного показателя ИБ (EVMi.j) определяется посредством экспертного оценивания.
Для принятия решения следует проводить анализ нормативных, распорядительных,программных и других документов организации БС РФ, имеющих отношение к проверяемымобластям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ, то оценке EVMi.j присваивается значение,равное нулю.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ, то оценка EVMi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степенивыполнения требований ИБ).Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ, то оценке EVMi.j присваивается значение, равное единице.7.5.
Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частныхпоказателей (EVMi.j) с учетом коэффициентов значимости αi.j:αi.j • EVMi.j ,EVMi =jj = 1 ÷ Ni ;Ni — количество частных показателей ИБ, входящих в групповой показатель Mi;i = 1 ÷ 8.Коэффициенты значимости αi.j для каждого частного показателя приведены в приложении А.7.6. Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БРИББС1.0 применительно к организации БС РФ в целом, включая банковский платежный технологический процесс и банковский информационный технологический процесс.7.7.
Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ1÷М8, вносятся в соответствующие графы представленных в приложении А форм.7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ организации БС РФ, определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.7.9. Оценка уровня ИБ банковского платежного технологического процесса вычисляетсяпо формуле:гдеEVMi + EVM7EVБПТП =i7, i = 1÷6.Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:EVMi + EVM8EVБИТП =i7, i = 1÷6.7.10.
Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М1÷М8,отображаются на круговой диаграмме (см. раздел 10) в секторах с 1го по 8й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.7.11. Оценка EV1 отображается на круговой диаграмме (см.
раздел 10) в секторах с 1гопо 8й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.10СТО БР ИББС1.220078. Îöåíêà ïðîöåññîâ ñèñòåìû ìåíåäæìåíòàèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèèáàíêîâñêîé ñèñòåìû Ðîññèéñêîé Ôåäåðàöèè8.1.
Групповые показатели по направлению оценки “менеджмент ИБ организации” оцениваются по стадиям циклической модели менеджмента ИБ. Групповые показатели М9÷М13предназначены для оценки процессов планирования системы менеджмента ИБ (СМИБ). Групповые показатели М14÷М18 предназначены для оценки процессов реализации СМИБ. Групповые показатели М19÷М23 предназначены для оценки процессов проверки СМИБ.
Групповыепоказатели М24÷М27 предназначены для оценки процессов совершенствования СМИБ.8.2. Таблица 3 отражает соответствие между структурными элементами СТО БР ИББС1.0и групповыми показателями ИБ, предназначенными для оценивания процессов менеджментаИБ. Наименования групповых показателей соответствуют наименованиям процессов СМИБ организации БС РФ, установленных в СТО БР ИББС1.0.Таблица 3. Соответствие групповых показателей ИБ процессам СМИБ,представленным в СТО БР ИББС1.0ОбозначениегрупповогопоказателяИБМ9М10М11М12М13М14М15М16М17М18М19М20М21М22М23М24М25М26М27Наименование группового показателя ИБСтруктурный элемент СТО БР ИББС1.0Планирование СМИБОпределение/уточнение области действия СМИБэлемент перечисления а) раздела 9.1и выбор подхода к оценке рисков ИБАнализ и оценка рисков ИБ, варианты обработки рисков ИБэлемент перечисления б) раздела 9.1Определение/уточнение политики ИБ организации БС РФэлемент перечисления в) раздела 9.1Выбор/уточнение целей ИБ и защитных мерэлемент перечисления г) раздела 9.1элемент перечисления д) раздела 9.1, раздел 9.7Принятие руководством организации БС РФостаточных рисков и решения о реализациии эксплуатации/совершенствовании СМИБРеализация и эксплуатация СМИБРазработка плана обработки рисков ИБэлемент перечисления а) раздела 9.2Реализация плана обработки рисков ИБ и реализацияэлемент перечисления б) раздела 9.2защитных мер, управление работами и ресурсами,связанными с реализацией СМИБРеализация программ по обучению и осведомлению ИБэлемент перечисления в) раздела 9.2Обнаружение и реагирование на инциденты безопасностиэлемент перечисления г) раздела 9.2Обеспечение непрерывности бизнеса и восстановленияэлемент перечисления д) раздела 9.2, раздел 9.6после прерыванийПроверка (мониторинг и анализ) СМИБМониторинг и контроль защитных мер, включаяэлемент перечисления а) раздела 9.3, раздел.
10.9регистрацию действий и событий, связанных со СМИБАнализ эффективности СМИБ, включая анализ уровнейэлемент перечисления б) раздела 9.3остаточного и приемлемого рисков ИБВнутренний аудит СМИБэлемент перечисления в) раздела 9.3, раздел 10Анализ СМИБ со стороны высшего руководстваэлемент перечисления г) раздела 9.3Внешний аудит СМИБэлемент перечисления д) раздела 9.3, раздел 10Совершенствование СМИБРеализация тактических улучшений в СМИБэлемент перечисления а) раздела 9.4Реализация стратегических улучшений СМИБ.элемент перечисления б) раздела 9.4Использование опытаИнформирование об изменениях и их согласованиеэлемент перечисления в) раздела 9.4с заинтересованными сторонамиОценка достижения поставленных целейэлемент перечисления г) раздела 9.4СТО БР ИББС1.22007118.3.
Частные показатели по направлению оценки “менеджмент ИБ организации” (показатели М9÷М27) и метрики приведены в приложении А.8.4. Оценка частного показателя ИБ (EVMi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативных, распорядительных,программных и других документов организации БС РФ, имеющих отношение к проверяемымобластям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ (отсутствии процессов менеджмента), тооценке EVMi.j присваивается значение, равное нулю.Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ (частичной реализации процессов менеджмента), то оценка EVMi.j по решению аудиторской группы может быть установленаравной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ или реализации процессов менеджмента).Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ (реализации процессов менеджмента), то оценке EVMi.j присваивается значение, равное единице.8.5.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
