Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
8. Оценка менеджмента информационной безопасности
организации банковской системы Российской Федерации
8.1. Оценка менеджмента ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- организация и функционирование службы ИБ организации;
- определение/коррекция области действия СОИБ;
- выбор/коррекция подхода к оценке рисков нарушения ИБ и
проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка/коррекция внутренних документов, регламентирующих
деятельность в области обеспечения ИБ;
- принятие руководством организации решений о реализации и
эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и
повышению осведомленности в области ИБ;
- организация обнаружения и реагирования на инциденты
безопасности;
- организация обеспечения непрерывности бизнеса и его
восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение самооценки ИБ;
- проведение внешнего аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства организации;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
8.2. Групповые показатели по направлению оценки "менеджмент ИБ
организации" отражают совокупность требований ИБ к областям,
определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 5. Соответствие групповых показателей ИБ требованиям к
СМИБ, представленным в разделе 8 СТО БР ИББС-1.0
-----------------T--------------------------------------------------T------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент ¦
¦ показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+----------------+--------------------------------------------------+------------------+
¦ M11 ¦ Организация и функционирование службы ИБ ¦ п. 8.2 ¦
¦ ¦ организации ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M12 ¦ Определение/коррекция области действия СОИБ ¦ п. 8.3 ¦
+----------------+--------------------------------------------------+------------------+
¦ M13 ¦ Выбор/коррекция подхода к оценке рисков ¦ п. 8.4 ¦
¦ ¦ нарушения ИБ и проведение оценки рисков ¦ ¦
¦ ¦ нарушения ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M14 ¦ Разработка планов обработки рисков нарушения ¦ п. 8.5 ¦
¦ ¦ ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M15 ¦ Разработка/коррекция внутренних документов, ¦ п. 8.6 ¦
¦ ¦ регламентирующих деятельность в области ¦ ¦
¦ ¦ обеспечения ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M16 ¦ Принятие руководством организации решений о ¦ п. 8.7 ¦
¦ ¦ реализации и эксплуатации СОИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M17 ¦ Организация реализации планов внедрения СОИБ ¦ п. 8.8 ¦
+----------------+--------------------------------------------------+------------------+
¦ M18 ¦ Разработка и организация реализации программ ¦ п. 8.9 ¦
¦ ¦ по обучению и повышению осведомленности в ¦ ¦
¦ ¦ области ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M19 ¦ Организация обнаружения и реагирования на ¦ п. 8.10 ¦
¦ ¦ инциденты безопасности ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M20 ¦ Организация обеспечения непрерывности бизнеса ¦ п. 8.11 ¦
¦ ¦ и его восстановления после прерываний ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M21 ¦ Мониторинг и контроль защитных мер ¦ п. 8.12 ¦
+----------------+--------------------------------------------------+------------------+
¦ M22 ¦ Проведение самооценки ИБ ¦ п. 8.13 ¦
+----------------+--------------------------------------------------+------------------+
¦ M23 ¦ Проведение аудита ИБ ¦ п. 8.14 ¦
+----------------+--------------------------------------------------+------------------+
¦ M24 ¦ Анализ функционирования СОИБ ¦ п. 8.15 ¦
+----------------+--------------------------------------------------+------------------+
¦ M25 ¦ Анализ СОИБ со стороны руководства организации ¦ п. 8.16 ¦
+----------------+--------------------------------------------------+------------------+
¦ M26 ¦ Принятие решений по тактическим улучшениям ¦ п. 8.17 ¦
¦ ¦ СОИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M27 ¦ Принятие решений по стратегическим улучшениям ¦ п. 8.18 ¦
¦ ¦ СОИБ ¦ ¦
L----------------+--------------------------------------------------+-------------------
8.3. Частные показатели по направлению оценки "менеджмент ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
оценки "менеджмент ИБ организации" (показатели M11 M27), метрики, а
также коэффициенты значимости aij для каждого частного показателя
приведены в Приложении А.
8.4. Оценки EVMij и EVMi, полученные в результате оценивания
групповых показателей ИБ M11 M27, вносятся в соответствующие графы
представленных в Приложении А форм.
8.5. Итоговая оценка EV2, отражающая степени выполнения
требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации",
вычисляется по формуле:
27
E EV
i=11 Mi
EV2 = --------
17
8.6. Оценки EVMi, полученные в результате оценивания групповых
показателей ИБ M11 M27, отображаются на круговой диаграмме (см.
раздел 11) в секторах с 11-го по 27-й дугами, отстающими от центра
круговой диаграммы на величину, соответствующую значению этих оценок.
8.7. Оценка EV2 отображается на круговой диаграмме (см. раздел
11) в секторах с 11-го по 27-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV2.
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".