Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
8. Оценка менеджмента информационной безопасности
организации банковской системы Российской Федерации
8.1. Оценка менеджмента ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- организация и функционирование службы ИБ организации;
- определение / коррекция области действия СОИБ;
- выбор / коррекция подхода к оценке рисков нарушения ИБ и
проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка / коррекция внутренних документов, регламентирующих
деятельность в области обеспечения ИБ;
- принятие руководством организации решений о реализации и
эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и
повышению осведомленности в области ИБ;
- организация обнаружения и реагирования на инциденты
безопасности;
- организация обеспечения непрерывности бизнеса и его
восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение самооценки ИБ;
- проведение внешнего аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства организации;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
8.2. Групповые показатели по направлению оценки "менеджмент ИБ
организации" отражают совокупность требований ИБ к областям,
определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 5 - Соответствие групповых показателей ИБ требованиям к
СМИБ, представленным в разделе 8 СТО БР ИББС-1.0
----------------------------------------------------------------------------
| Обозначение| Наименование группового показателя ИБ | Структурный |
| группового | | элемент |
| показателя | | СТО БР |
| ИБ | | ИББС-1.0 |
|------------|-----------------------------------------------|-------------|
| М9 | Организация и функционирование службы ИБ | п. 8.2 |
| | организации | |
|------------|-----------------------------------------------|-------------|
| М10 | Определение/коррекция области действия СОИБ | п. 8.3 |
|------------|-----------------------------------------------|-------------|
| М11 | Выбор/коррекция подхода к оценке рисков | п. 8.4 |
| | нарушения ИБ и проведение оценки рисков | |
| | нарушения ИБ | |
|------------|-----------------------------------------------|-------------|
| М12 | Разработка планов обработки рисков нарушения | п. 8.5 |
| | ИБ | |
|------------|-----------------------------------------------|-------------|
| М13 | Разработка/коррекция внутренних документов, | п. 8.6 |
| | регламентирующих деятельность в области | |
| | обеспечения ИБ | |
|------------|-----------------------------------------------|-------------|
| М14 | Принятие руководством организации решений о | п. 8.7 |
| | реализации и эксплуатации СОИБ | |
|------------|-----------------------------------------------|-------------|
| М15 | Организация реализации планов внедрения СОИБ | п. 8.8 |
|------------|-----------------------------------------------|-------------|
| М16 | Разработка и организация реализации программ | п. 8.9 |
| | по обучению и повышению осведомленности в | |
| | области ИБ | |
|------------|-----------------------------------------------|-------------|
| М17 | Организация обнаружения и реагирования на | п. 8.10 |
| | инциденты безопасности | |
|------------|-----------------------------------------------|-------------|
| М18 | Организация обеспечения непрерывности бизнеса | п. 8.11 |
| | и его восстановления после прерываний | |
|------------|-----------------------------------------------|-------------|
| М19 | Мониторинг и контроль защитных мер | п. 8.12 |
|------------|-----------------------------------------------|-------------|
| М20 | Проведение самооценки ИБ | п. 8.13 |
|------------|-----------------------------------------------|-------------|
| М21 | Проведение аудита ИБ | п. 8.14 |
|------------|-----------------------------------------------|-------------|
| М22 | Анализ функционирования СОИБ | п. 8.15 |
|------------|-----------------------------------------------|-------------|
| М23 | Анализ СОИБ со стороны руководства | п. 8.16 |
| | организации | |
|------------|-----------------------------------------------|-------------|
| М24 | Принятие решений по тактическим улучшениям | п. 8.17 |
| | СОИБ | |
|------------|-----------------------------------------------|-------------|
| М25 | Принятие решений по стратегическим улучшениям | п. 8.18 |
| | СОИБ | |
----------------------------------------------------------------------------
8.3. Частные показатели по направлению оценки "менеджмент ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
.
оценки "менеджмент ИБ организации" (показатели М9 - М25), метрики, а
.
также коэффициенты значимости альфа для каждого частного показателя
i.j
приведены в Приложении А.
8.4. Оценки EV и EV , полученные в результате оценивания
Mi.j Mi
.
групповых показателей ИБ М9 - М25, вносятся в соответствующие графы
.
представленных в Приложении А форм.
8.5. Итоговая оценка EV2, отражающая степени выполнения
требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации",
вычисляется по формуле:
25
SUM EV
i=9 Mi
EV2 = --------.
17
8.6. Оценки EV , полученные в результате оценивания групповых
Mi
.
показателей ИБ М9 - М25, отображаются на круговой диаграмме (см.раздел
.
10) в секторах с 9-го по 25-й дугами, отстающими от центра круговой
диаграммы на величину, соответствующую значению этих оценок.
8.7. Оценка EV2 отображается на круговой диаграмме (см. раздел
10) в секторах с 9-го по 25-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV2.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".