Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
7. Оценка текущего уровня информационной безопасности
организации банковской системы Российской Федерации
7.1. Оценка текущего уровня ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и
обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической
защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических
процессов.
7.2. Групповые показатели по направлению оценки "текущий уровень
ИБ организации" отражают совокупность требований ИБ к областям,
определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 4 - Соответствие групповых показателей ИБ совокупности
требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0
---------------------------------------------------------------------------
| Обозначение| Наименование группового показателя ИБ | Структурный |
| группового | | элемент СТО БР |
| показателя | | ИББС-1.0 |
| ИБ | | |
|------------|-----------------------------------------|------------------|
| М1 |Обеспечение ИБ при назначении и | п. 7.2 |
| |распределении ролей и обеспечении | |
| |доверия к персоналу | |
|------------|-----------------------------------------|------------------|
| М2 |Обеспечение ИБ на стадиях жизненного | п. 7.3 |
| |цикла АБС | |
|------------|-----------------------------------------|------------------|
| М3 |Обеспечение ИБ при управлении доступом и | п. 7.4 |
| |регистрации | |
|------------|-----------------------------------------|------------------|
| М4 |Обеспечение ИБ средствами антивирусной | п. 7.5 |
| |защиты | |
|------------|-----------------------------------------|------------------|
| М5 |Обеспечение ИБ при использовании | п. 7.6 |
| |ресурсов сети Интернет | |
|------------|-----------------------------------------|------------------|
| М6 |Обеспечение ИБ при использовании средств | п. 7.7 |
| |криптографической защиты информации | |
|------------|-----------------------------------------|------------------|
| М7 |Обеспечение ИБ банковских платежных | п. 7.8 |
| |технологических процессов | |
|------------|-----------------------------------------|------------------|
| М8 |Обеспечение ИБ банковских информационных | п. 7.9 |
| |технологических процессов | |
---------------------------------------------------------------------------
7.3. Частные показатели по направлению оценки "текущий уровень ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
.
оценки "текущий уровень ИБ организации" (показатели М1 - М8), метрики,
.
а также коэффициенты значимости альфа для каждого частного
i.j
показателя приведены в Приложении А.
7.4. Оценивание частных показателей в рамках групповых
.
показателей М1 - М6 необходимо осуществлять по результатам анализа
.
выполнения соответствующих требований СТО БР ИББС-1.0 применительно к
организации в целом, включая банковский платежный технологический
процесс (М7) и банковский информационный технологический процесс (М8).
7.5. Оценки EV и EV , полученные в результате оценивания
Mi.j Mi
.
групповых показателей ИБ М1 - М8, вносятся в соответствующие графы
.
представленных в Приложении А форм.
7.6. Итоговая оценка EV1, отражающая степень выполнения
требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ
организации", определяется по наименьшему значению из оценок уровней
ИБ банковского платежного технологического процесса и банковского
информационного технологического процесса.
7.7. Оценка уровня ИБ банковского платежного технологического
процесса вычисляется по формуле:
SUM EV + EV
i Mi M7 .
EV = ----------------, i = 1 - 6.
БПТП 7 .
Оценка уровня ИБ банковского информационного технологического
процесса вычисляется по формуле:
SUM EV + EV
i Mi MВ .
EV = ----------------, i = 1 - 6.
БИТП 7 .
7.8. Оценки EV , полученные в результате оценивания групповых
Mi
.
показателей ИБ М1 - М8, отображаются на круговой диаграмме (см. раздел
.
10) в секторах с 1-го по 8-й дугами, отстающими от центра круговой
диаграммы на величину, соответствующую значению этих оценок.
7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел
10) в секторах с 1-го по 8-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV1.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".