Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
6. Показатели информационной безопасности. Способы
оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям
СТО БР ИББС-1.0 используются групповые и частные показатели ИБ.
Групповые показатели ИБ образуют структуру направлений оценки,
детализируя оценки текущего уровня ИБ организации, менеджмента и
уровня осознания ИБ. Оценки групповых показателей (EV ) используются
Mi
для получения оценки по направлениям (EV1, EV2 и EV3). Частные
показатели ИБ входят в состав групповых показателей и представлены в
виде вопросов, ответы на которые дают возможность определить оценки
(EV ), которые затем формируют оценки EV групповых показателей.
Mi.j Mi
Приложение А содержит формы, предназначенные для заполнения при
проведении оценки. Каждая из форм содержит групповой показатель ИБ,
входящие в него частные показатели ИБ, метрику (шкалу) для оценивания
частных показателей и коэффициенты значимости частных показателей ИБ,
используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую
категорию составляют частные показатели, отражающие требования СТО БР
ИББС-1.0, выполнение которых обязательно в организации. Вторую
категорию составляют частные показатели, отражающие положения СТО БР
ИББС-1.0, выполнение которых рекомендуется в организации. Информация о
принадлежности частных показателей к указанным категориям определена в
формах Приложения А.
6.3. Способ оценивания частного показателя зависит от его
принадлежности к одной из категорий, определенных в п. 6.2 настоящей
методики.
6.4. Оценка EV частного показателя формируется на основании
Mi.j
выявленной аудиторской группой степени выполнения требований
посредством
экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением
символа, например "X", в соответствующую графу представленных в
Приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно,
устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований,
которые не относятся к деятельности организации или на момент оценки
не являются актуальными для организации, что документально
зафиксировано во внутренних документах организации, то данный частный
показатель определяется как неоцениваемый (должна быть заполнена графа
"н/о" - нет оценки) и не учитывается в формировании дальнейших
результатов оценки. При этом необходимо выполнить процедуру нормировки
коэффициентов значимости оставшихся частных показателей ИБ в рамках
группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется,
устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый
(должна быть заполнена графа "н/о" - нет оценки) и не учитывается в
формировании дальнейших результатов оценки. При этом необходимо
выполнить процедуру нормировки коэффициентов значимости оставшихся
частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых
оценивается как степень документированности, так и степень выполнения,
рекомендуется использовать следующий общий подход:
Таблица 1 - Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается как степень документированности,
так и степень выполнения требований ИБ
----------------------------------------------------------------------------
| Оценка | Критерий выставления оценки частного показателя ИБ |
| частного | |
|показателя ИБ| |
|-------------|------------------------------------------------------------|
| 0 | Требования частного показателя ИБ не установлены во |
| | внутренних нормативных документах проверяемой организации и|
| | не выполняются |
|-------------|------------------------------------------------------------|
| 0 | Требования частного показателя ИБ частично установлены в |
| | нормативных документах проверяемой организации, но не |
| | выполняются |
|-------------|------------------------------------------------------------|
| 0,25 | Требования частного показателя ИБ полностью установлены в |
| | нормативных документах проверяемой организации, но не |
| | выполняются |
|-------------|------------------------------------------------------------|
| 0,25 | Требования частного показателя ИБ не установлены во |
| | внутренних нормативных документах проверяемой организации и|
| | выполняются в неполном объеме |
|-------------|------------------------------------------------------------|
| 0,25 | Требования частного показателя ИБ частично установлены во |
| | внутренних нормативных документах проверяемой организации и|
| | выполняются в неполном объеме |
|-------------|------------------------------------------------------------|
| 0,5 | Требования частного показателя ИБ полностью установлены во |
| | внутренних нормативных документах проверяемой организации и|
| | выполняются в неполном объеме |
|-------------|------------------------------------------------------------|
| 0,5 | Требования частного показателя ИБ не установлены во |
| | внутренних нормативных документах проверяемой организации, |
| | но выполняются в полном объеме |
|-------------|------------------------------------------------------------|
| 0,75 | Требования частного показателя ИБ частично установлены во |
| | внутренних нормативных документах проверяемой организации, |
| | но выполняются в полном объеме |
|-------------|------------------------------------------------------------|
| 1 | Требования частного показателя ИБ полностью установлены во |
| | внутренних нормативных документах проверяемой организации и|
| | выполняются в полном объеме |
----------------------------------------------------------------------------
6.8. При проведении оценки частных показателей, для которых
оценивается только степень документированности, рекомендуется
использовать следующий общий подход:
Таблица 2 - Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень
документированности требований ИБ
----------------------------------------------------------------------------
| Оценка | Критерий выставления оценки частного показателя ИБ |
| частного | |
|показателя ИБ| |
|-------------|------------------------------------------------------------|
| 0 | Требования частного показателя ИБ не установлены во |
| | внутренних нормативных документах проверяемой организации |
|-------------|------------------------------------------------------------|
| 0,5 | Требования частного показателя ИБ частично установлены в |
| | нормативных документах проверяемой организации |
|-------------|------------------------------------------------------------|
| 1 | Требования частного показателя ИБ полностью установлены в |
| | нормативных документах проверяемой организации |
----------------------------------------------------------------------------
6.9. При проведении оценки частных показателей, для которых
оценивается только степень выполнения, рекомендуется использовать
следующий общий подход:
Таблица 3 - Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень выполнения
требований ИБ
----------------------------------------------------------------------------
| Оценка | Критерий выставления оценки частного показателя ИБ |
| частного | |
|показателя ИБ| |
|-------------|------------------------------------------------------------|
| 0 | Требования частного показателя ИБ не выполняются |
|-------------|------------------------------------------------------------|
| 0,5 | Требования частного показателя ИБ выполняются в неполном |
| | объеме |
|-------------|------------------------------------------------------------|
| 1 | Требования частного показателя ИБ выполняются в полном |
| | объеме |
----------------------------------------------------------------------------
6.10. В случаях, если при проведении оценки частного показателя
используется ограниченный набор объектов, входящих в область аудита ИБ
(например, ограниченная выборка автоматизированных банковских систем),
и по результатам оценивания частного показателя получены результаты,
указывающие на полное выполнение или полное невыполнение/полную
документированность или отсутствие документированности соответствующих
требований ИБ, рекомендуется расширить набор указанных объектов
(выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на
свидетельствах аудита, в качестве основных источников которых
рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при
необходимости документы третьих лиц, относящиеся к обеспечению ИБ
организации;
- устные высказывания сотрудников проверяемой организации в
процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за
деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой
организации и наблюдений за деятельностью указанных сотрудников члены
аудиторской группы должны сделать вывод о степени соответствия
оцениваемой деятельности требованиям внутренних нормативных документов
проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения
должны быть задокументированы путем составления листов для сбора
свидетельств аудита ИБ, пример которых приведен в Приложении Б. При
заполнении листов для сбора свидетельств аудита ИБ необходимо указать
ссылки на соответствующие внутренние нормативные документы проверяемой
организации, результаты опроса сотрудников проверяемой организации, а
также результаты наблюдений членов аудиторской группы. Результаты
опроса и наблюдений должны быть подтверждены подписью опрашиваемого
сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (EV ) вычисляется из оценок
Mi
входящих в него частных показателей (EV ) с учетом коэффициентов
Mi.j
значимости альфа , определяющих важность частного показателя для
i.j
оценивания группового показателя:
EV = SUM альфа x EV .
Mi j i.j Mi.j
При формировании коэффициентов значимости учитывалось следующее
условие нормировки:
k
SUM альфа = 1,
j=1 i.j
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости альфа для каждого частного показателя
i.j
приведены в Приложении А.
6.13. Если в рамках группового показателя все входящие в него
частные показатели определены как неоцениваемые, указанный групповой
показатель также определяется как неоцениваемый и не учитывается в
формировании дальнейших результатов оценки. В этом случае групповой
показатель не учитывается в формулах расчета для EV , EV , EV2
БИТП БПТП
или EV3 (см. разделы 7, 8, 9) с соответствующей корректировкой в
формулах расчета количества оцениваемых групповых показателей. Оценки
для таких групповых показателей не отображаются на круговой диаграмме
(см. раздел 10).
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".