st12_09 (1027744)
Текст из файла
ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÑÒÎ ÁÐ ÈÁÁÑ-1.2-2009ÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÑÎÎÒÂÅÒÑÒÂÈßÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÒÐÅÁÎÂÀÍÈßÌ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2008Дата введения: 20090601Ìîñêâà20092СТО БР ИББС1.22009Ïðåäèñëîâèå1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 7 мая 2009 года № Р496.2. ВЗАМЕН СТО БР ИББС1.22007.Настоящий стандарт не может быть полностью или частично воспроизведен, тиражировани распространен в качестве официального издания без разрешения Банка России.СТО БР ИББС1.220093ÑîäåðæàíèåВведение .................................................................................................... 41.
Область применения .................................................................................... 52. Нормативные ссылки ................................................................................... 53. Термины и определения ............................................................................... 54. Обозначения и сокращения ........................................................................... 55. Общие положения ....................................................................................... 66.
Показатели информационной безопасности. Способы оценивания показателей ...... 67. Оценка текущего уровня информационной безопасности организациибанковской системы Российской Федерации ................................................... 98. Оценка менеджмента информационной безопасности организациибанковской системы Российской Федерации ................................................. 109. Оценка уровня осознания информационной безопасности организациибанковской системы Российской Федерации ................................................. 1210. Определение уровня соответствия информационной безопасности организациибанковской системы Российской Федерации требованиямСТО БР ИББС'1.0'2008.
Отображение оценок .............................................. 13Приложение А (обязательное). Показатели информационной безопасности ............ 15Приложение Б (обязательное). Форма листов для сбора свидетельств аудита ИБ ..... 564СТО БР ИББС1.22009ÂâåäåíèåСтандартом Банка России “Обеспечение информационной безопасности организацийбанковской системы Российской Федерации. Общие положения” (СТО БР ИББС1.02008) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.Настоящий стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Общие положения” (СТО БР ИББС1.02008), а такжеитогового уровня соответствия ИБ требованиям стандарта Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общиеположения” (СТО БР ИББС1.02008) при проведении внутренней и(или) внешней оценки исамооценки ИБ.СТО БР ИББС1.220095ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÑÎÎÒÂÅÒÑÒÂÈßÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ ÎÐÃÀÍÈÇÀÖÈÉÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÒÐÅÁÎÂÀÍÈßÌ ÑÒÎ ÁÐ ÈÁÁÑ-1.0-2008Дата введения: 200906011. Îáëàñòü ïðèìåíåíèÿНастоящая методика распространяется на организации БС РФ, а также на организации,проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями Стандарта Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Общие положения” (СТО БР ИББС1.02008, далее —СТО БР ИББС1.0).Настоящий стандарт рекомендован для применения путем включения ссылок на негои(или) прямого использования устанавливаемых в нем положений во внутренних документахорганизации БС РФ, а также в договорных документах, устанавливающих отношения сторон припроведении внешних оценок ИБ.Положения настоящего стандарта применяются на добровольной основе, если только вотношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.2. Íîðìàòèâíûå ññûëêèВ настоящем стандарте использованы нормативные ссылки на СТО БР ИББС1.0.3. Òåðìèíû è îïðåäåëåíèÿВ настоящем документе применены термины в соответствии с СТО БР ИББС1.0, стандартом Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Аудит информационной безопасности” (СТО БР ИББС1.12007), атакже следующие термины с соответствующими определениями.3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС1.0.3.3. Проверяемая организация: Организация БС РФ, информационная безопасностькоторой подвергается оценке на соответствие требованиям СТО БР ИББС1.0.4.
Îáîçíà÷åíèÿ è ñîêðàùåíèÿАБС — автоматизированная банковская система;БС — банковская система;ЖЦ — жизненный цикл;ИБ — информационная безопасность;НСД — несанкционированный доступ;6СТО БР ИББС1.22009НРД — нерегламентированные действия в рамках предоставленных полномочий;РФ — Российская Федерация;СКЗИ — средство криптографической защиты информации;СМИБ — система менеджмента информационной безопасности;СИБ — система информационной безопасности;СОИБ — система обеспечения информационной безопасности;ЭВМ — электронная вычислительная машина;ЭЦП — электронная цифровая подпись;αi.j — коэффициент значимости частного показателя;EV1 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “текущий уровень ИБ организации”;EV2 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “менеджмент ИБ организации”;EV3 — оценка степени выполнения требований СТО БР ИББС1.0 по направлению “уровень осознания ИБ организации”;EVБИТП — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихбанковский информационный технологический процесс;EVБПТП — оценка степени выполнения требований СТО БР ИББС1.0, регламентирующихбанковский платежный технологический процесс;EVMi — оценка степени выполнения требований СТО БР ИББС1.0 для группового показателя;EVMi.j — оценка степени выполнения требований СТО БР ИББС1.0 для частного показателя;i — номер группового показателя;j — номер частного показателя;Mi.j — обозначение частного показателя;R — итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС1.0.5.
Îáùèå ïîëîæåíèÿ5.1. Целью настоящей методики является стандартизация подходов и способов оценки,используемых для определения уровня соответствия ИБ организации БС РФ (далее — организации) требованиям СТО БР ИББС1.0 по направлениям оценки:— текущий уровень ИБ организации;— менеджмент ИБ организации;— уровень осознания ИБ организации.5.2. Задачами настоящей методики являются:— определение состава показателей ИБ и способов их оценивания;— определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС1.0;— определение способа оценивания менеджмента ИБ организации и уровня осознания ИБорганизации с помощью установления степени выполнения требований, определенных вразделе 8 СТО БР ИББС1.0;— определение итогового уровня соответствия ИБ организации требованиям СТО БР ИББС1.0.6.
Ïîêàçàòåëè èíôîðìàöèîííîé áåçîïàñíîñòè.Ñïîñîáû îöåíèâàíèÿ ïîêàçàòåëåé6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС1.0используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджментаи уровня осознания ИБ. Оценки групповых показателей (EVMi) используются для получения оценкипо направлениям (EV1, EV2 и EV3).
Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки(EVMi.j), которые затем формируют оценки EVMi групповых показателей.Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показателиИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.СТО БР ИББС1.2200976.2. Частные показатели разделены на две категории.
Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положенияСТО БР ИББС1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах Приложения А.6.3.
Способ оценивания частного показателя зависит от его принадлежности к одной изкатегорий, определенных в п. 6.2 настоящей методики.6.4. Оценка EVMi.j частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.Оценивание частного показателя должно сопровождаться внесением символа, например“X”, в соответствующую графу представленных в Приложении А форм.6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:— “нет” — оценке присваивается значение, равное нулю;— “частично” — оценке присваивается значение 0,25; 0,5 или 0,75;— “да” — оценке присваивается значение, равное единице.Если частный показатель предназначен для оценки требований, которые не относятся кдеятельности организации или на момент оценки не являются актуальными для организации,что документально зафиксировано во внутренних документах организации, то данный частныйпоказатель определяется как неоцениваемый (должна быть заполнена графа “н/о” — нет оценки) и не учитывается в формировании дальнейших результатов оценки.
При этом необходимовыполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:— “да” — оценке присваивается значение, равное единице;— “нет” — частный показатель определяется как неоцениваемый (должна быть заполненаграфа “н/о” — нет оценки) и не учитывается в формировании дальнейших результатовоценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.6.7. При проведении оценки частных показателей, для которых оценивается как степеньдокументированности, так и степень выполнения, рекомендуется использовать следующий общий подход:Таблица 1 — Рекомендуемые критерии выставления оценок частных показателей ИБ,в которых оценивается как степень документированности, так и степень выполнениятребований ИБОценка частногоKритерий выставления оценки частного показателя ИБпоказателя ИБ0Требования частного показателя ИБ не установлены во внутренних нормативных документахпроверяемой организации и не выполняются0Требования частного показателя ИБ частично установлены в нормативных документахпроверяемой организации, но не выполняются0,25Требования частного показателя ИБ полностью установлены в нормативных документахпроверяемой организации, но не выполняются0,25Требования частного показателя ИБ не установлены во внутренних нормативных документахпроверяемой организации и выполняются в неполном объеме0,25Требования частного показателя ИБ частично установлены во внутренних нормативных документахпроверяемой организации и выполняются в неполном объеме0,5Требования частного показателя ИБ полностью установлены во внутренних нормативных документахпроверяемой организации и выполняются в неполном объеме0,5Требования частного показателя ИБ не установлены во внутренних нормативных документахпроверяемой организации, но выполняются в полном объеме0,75Требования частного показателя ИБ частично установлены во внутренних нормативных документахпроверяемой организации, но выполняются в полном объеме1Требования частного показателя ИБ полностью установлены во внутренних нормативных документахпроверяемой организации и выполняются в полном объеме8СТО БР ИББС1.220096.8.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
