st12_09 (1027744), страница 2
Текст из файла (страница 2)
При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий общий подход:Таблица 2 — Рекомендуемые критерии выставления оценок частных показателей ИБ,в которых оценивается только степень документированности требований ИБОценка частногоKритерий выставления оценки частного показателя ИБпоказателя ИБ0Требования частного показателя ИБ не установлены во внутренних нормативных документахпроверяемой организации0,5Требования частного показателя ИБ частично установлены в нормативных документахпроверяемой организации1Требования частного показателя ИБ полностью установлены в нормативных документахпроверяемой организации6.9.
При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий общий подход:Таблица 3 — Рекомендуемые критерии выставления оценок частных показателей ИБ,в которых оценивается только степень выполнения требований ИБОценка частногоKритерий выставления оценки частного показателя ИБпоказателя ИБ0Требования частного показателя ИБ не выполняются0,5Требования частного показателя ИБ выполняются в неполном объеме1Требования частного показателя ИБ выполняются в полном объеме6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.6.11.
Оценка частного показателя ИБ должна основываться на свидетельствах аудита, вкачестве основных источников которых рекомендуется использовать:— внутренние нормативные документы проверяемой организации и при необходимостидокументы третьих лиц, относящиеся к обеспечению ИБ организации;— устные высказывания сотрудников проверяемой организации в процессе проводимыхопросов;— результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделатьвывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б.
При заполнении листов для сбора свидетельств аудита ИБ необходимоуказать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.6.12.
Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частных показателей (EVMi.j) с учетом коэффициентов значимости αi.j, определяющих важность частного показателя для оценивания группового показателя:αi.j • EVMi.j .EVMi =jПри формировании коэффициентов значимости учитывалось следующее условие нормировки:СТО БР ИББС1.220099kαij = 1,j =1где k — число частных показателей в iм групповом показателе.Коэффициенты значимости αi.j для каждого частного показателя приведены в Приложении А.6.13.
Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случаегрупповой показатель не учитывается в формулах расчета для EVБИТП, EVБПТП, EV2 или EV3 (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемыхгрупповых показателей. Оценки для таких групповых показателей не отображаются на круговойдиаграмме (см. раздел 10).7. Îöåíêà òåêóùåãî óðîâíÿ èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БРИББС1.0 для следующих областей:— обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;— обеспечение ИБ на стадиях жизненного цикла АБС;— обеспечение ИБ при управлении доступом и регистрацией;— обеспечение ИБ средствами антивирусной защиты;— обеспечение ИБ при использовании ресурсов сети Интернет;— обеспечение ИБ при использовании средств криптографической защиты информации;— обеспечение ИБ банковских платежных технологических процессов;— обеспечение ИБ банковских информационных технологических процессов.7.2.
Групповые показатели по направлению оценки “текущий уровень ИБ организации” отражают совокупность требований ИБ к областям, определенным в разделе 7 СТО БР ИББС1.0.Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.Таблица 4 — Соответствие групповых показателей ИБ совокупности требований ИБк областям, определенным в разделе 7 СТО БР ИББС1.0ОбозначениегрупповогоНаименование группового показателя ИБпоказателя ИБМ1Обеспечение ИБ при назначении и распределении ролей и обеспечении доверияк персоналуМ2Обеспечение ИБ на стадиях жизненного цикла АБСМ3Обеспечение ИБ при управлении доступом и регистрацииМ4Обеспечение ИБ средствами антивирусной защитыМ5Обеспечение ИБ при использовании ресурсов сети ИнтернетМ6Обеспечение ИБ при использовании средств криптографической защиты информацииМ7Обеспечение ИБ банковских платежных технологических процессовМ8Обеспечение ИБ банковских информационных технологических процессовСтруктурныйэлементСТО БР ИББС1.0п.
7.2п. 7.3п. 7.4п. 7.5п. 7.6п. 7.7п. 7.8п. 7.97.3. Частные показатели по направлению оценки “текущий уровень ИБ организации” отражают отдельные требования ИБ СТО БР ИББС1.0, предъявляемые по каждой из областей.Частные показатели по направлению оценки “текущий уровень ИБ организации” (показателиМ1÷М8), метрики, а также коэффициенты значимости αi.j для каждого частного показателя приведены в Приложении А.10СТО БР ИББС1.220097.4.
Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БРИББС1.0 применительно к организации в целом, включая банковский платежный технологический процесс (М7) и банковский информационный технологический процесс (М8).7.5.
Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ1÷М8, вносятся в соответствующие графы представленных в Приложении А форм.7.6. Итоговая оценка EV1, отражающая степень выполнения требований СТО БР ИББС1.0по направлению “текущий уровень ИБ организации”, определяется по наименьшему значениюиз оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.7.7. Оценка уровня ИБ банковского платежного технологического процесса вычисляетсяпо формуле:EVMi + EVM7EVБПТП =i7, i = 1÷6.Оценка уровня ИБ банковского информационного технологического процесса вычисляетсяпо формуле:EVMi + EVM8EVБИТП =i7, i = 1÷6.7.8.
Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М1÷М8,отображаются на круговой диаграмме (см. раздел 10) в секторах с 1го по 8й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел 10) в секторах с 1го по8й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значениюEV1.8. Îöåíêà ìåíåäæìåíòà èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè8.1.
Оценка менеджмента ИБ организации определяется с помощью групповых и частныхпоказателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС1.0для следующих областей:— организация и функционирование службы ИБ организации;— определение/коррекция области действия СОИБ;— выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисковнарушения ИБ;— разработка планов обработки рисков нарушения ИБ;— разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;— принятие руководством организации решений о реализации и эксплуатации СОИБ;— организация реализации планов обработки рисков нарушения ИБ;— разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;— организация обнаружения и реагирования на инциденты безопасности;— организация обеспечения непрерывности бизнеса и его восстановления после прерываний;— мониторинг и контроль защитных мер;— проведение самооценки ИБ;— проведение внешнего аудита ИБ;— анализ функционирования СОИБ;— анализ СОИБ со стороны руководства организации;— принятие решений по тактическим улучшениям СОИБ;— принятие решений по стратегическим улучшениям СОИБ.СТО БР ИББС1.22009118.2.
Групповые показатели по направлению оценки “менеджмент ИБ организации” отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС1.0.Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.Таблица 5 — Соответствие групповых показателей ИБ требованиям к СМИБ,представленным в разделе 8 СТО БР ИББС1.0ОбозначениегрупповогоНаименование группового показателя ИБпоказателя ИБМ9Организация и функционирование службы ИБ организацииМ10Определение/коррекция области действия СОИБМ11Выбор/коррекция подхода к оценке рисков нарушения ИБи проведение оценки рисков нарушения ИБМ12Разработка планов обработки рисков нарушения ИБМ13Разработка/коррекция внутренних документов, регламентирующих деятельностьв области обеспечения ИБМ14Принятие руководством организации решений о реализации и эксплуатации СОИБМ15Организация реализации планов внедрения СОИБМ16Разработка и организация реализации программ по обучениюи повышению осведомленности в области ИБМ17Организация обнаружения и реагирования на инциденты безопасностиМ18Организация обеспечения непрерывности бизнеса и его восстановленияпосле прерыванийМ19Мониторинг и контроль защитных мерМ20Проведение самооценки ИБМ21Проведение аудита ИБМ22Анализ функционирования СОИБМ23Анализ СОИБ со стороны руководства организацииМ24Принятие решений по тактическим улучшениям СОИБМ25Принятие решений по стратегическим улучшениям СОИБСтруктурныйэлементСТО БР ИББС1.0п.
8.2п. 8.3п. 8.4п. 8.5п. 8.6п. 8.7п. 8.8п. 8.9п. 8.10п. 8.11п. 8.12п. 8.13п. 8.14п. 8.15п. 8.16п. 8.17п. 8.188.3. Частные показатели по направлению оценки “менеджмент ИБ организации” отражают отдельные требования ИБ СТО БР ИББС1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки “менеджмент ИБ организации” (показатели М9÷М25),метрики, а также коэффициенты значимости αi.j для каждого частного показателя приведены вПриложении А.8.4. Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБМ9÷М25, вносятся в соответствующие графы представленных в Приложении А форм.8.5.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
