Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
10. Особенности оценки степени выполнения требований
СТО БР ИББС-1.0, регламентирующих защиту персональных
данных в информационных системах персональных данных
10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в ИСПДн, без учета оценки
степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при
использовании СКЗИ и формирования оценки EV1ОЗПД следует использовать
уточняющие вопросы, которые детализируют и конкретизируют частные
показатели ИБ.
Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Требования по обеспечению безопасности
персональных данных в информационных системах персональных данных
организаций банковской системы Российской Федерации".
Перечень указанных уточняющих вопросов, а также их связь с
частными показателями содержится в Приложении В (таблица 1 и таблица 2
соответственно).
Если в конкретной организации БС РФ отдельные требования РС БР
ИББС-2.3 заменены иными требованиями, обеспечивающими эквивалентный
(аналогичный) уровень безопасности персональных данных, то
соответствующие изменения должны быть внесены в перечень уточняющих
вопросов в Приложении В.
10.2. Для проведения оценки соответствия ИБ в части
информационных систем персональных данных необходимо провести
оценивание частных показателей настоящего стандарта, попадающих в
область оценки, используя все соответствующие частным показателям
детализирующие и конкретизирующие вопросы Приложения В. Для этого
необходимо:
- на основании ссылок на частный показатель, приведенных в
Приложении В, и в соответствии с классом информационной системы
персональных данных составить перечень вопросов, соответствующих
оцениваемому частному показателю (или воспользоваться таблицей
соответствия частных показателей и вопросов, приведенной в Приложении
В);
- провести оценивание вопросов Приложения В из перечня вопросов,
соответствующих оцениваемому частному показателю;
- провести оценивание частного показателя настоящего стандарта,
используя в том числе оценки для вопросов Приложения В.
10.3. Оценка вопросов Приложения В формируется на основании
выявленной степени выполнения проверяемого требования посредством
экспертного оценивания. Устанавливается следующая шкала степени
выполнения проверяемых требований:
- "Выполняется в полном объеме";
- "Выполняется не в полном объеме";
- "Не выполняется".
Оценка вопросов Приложения В должна основываться на
свидетельствах аудита ИБ, приведенных в п. 6.11 настоящего стандарта.
10.4. Оценивание частных показателей следует проводить в
соответствии с рекомендуемыми критериями выставления оценок частных
показателей информационной безопасности, определенными в п. 6.7
настоящего стандарта.
Оценивание всех вопросов из составленного перечня вопросов
Приложения В является необходимым для оценивания частного показателя.
При проведении оценивания частных показателей следует
использовать следующий общий подход:
Таблица 7. Рекомендуемые критерии выставления оценок частных
показателей ИБ на основе оценки вопросов Приложения В
--------------------T----------------------------------------------------------¬
¦ Максимальная ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ оценка ¦ ¦
¦ частного ¦ ¦
¦ показателя ИБ ¦ ¦
+-------------------+----------------------------------------------------------+
¦ 0 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,5 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,5 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,75 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 1 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в полном объеме ¦
L-------------------+-----------------------------------------------------------
В ряде случаев оценивание всех вопросов из составленного перечня
Приложения В может оказаться недостаточным для оценивания частного
показателя. В этом случае оценка частного показателя должна
проводиться в соответствии с требованиями раздела 6 настоящего
стандарта.
Результаты оценивания вопросов Приложения В должны быть
документально оформлены путем составления соответствующих листов для
сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б.
При заполнении листов для сбора свидетельств аудита ИБ необходимо
указать ссылки на соответствующие вопросы Приложения В и документы,
содержащие свидетельства выполнения оцениваемой деятельности, привести
результаты опроса сотрудников проверяемой организации, а также
результаты наблюдений членов аудиторской группы. Результаты опроса и
наблюдений должны быть подтверждены подписью опрашиваемого сотрудника
или члена аудиторской группы соответственно.
10.5. Все вопросы Приложения В должны быть оценены. Однако перед
оцениванием этих вопросов следует провести анализ актуальности
соответствующих им требований для деятельности проверяемой
организации. Неактуальным вопрос может быть признан только в том
случае, если соответствующее ему требование не относится к
деятельности организации или на момент оценки не является актуальным
для организации, что документально зафиксировано во внутренних
документах организации. В этом случае вопрос определяется как не
оцениваемый (выставляется оценка "1") и не учитывается в дальнейшем
формировании оценок частных показателей. Решение о признании вопроса
Приложения В как не оцениваемого должно приниматься ответственным за
процесс оценки из числа представителей проверяемой организации и
оформляться документально.
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".