Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
11. Определение уровня соответствия
информационной безопасности организации банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0.
Отображение оценок
11.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до
0,25, то данному направлению оценки присваивается нулевой уровень
соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то
данному направлению оценки присваивается первый уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то
данному направлению оценки присваивается второй уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то
данному направлению оценки присваивается третий уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95,
то данному направлению оценки присваивается четвертый уровень
соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1
включительно, то данному направлению оценки присваивается пятый
уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
11.2. Значение R определяется по наименьшему значению из трех
оценок по направлениям оценки:
- оценки уровня осознания ИБ организации (EV3);
- оценки менеджмента ИБ организации (EV2);
- оценки текущего уровня ИБ организации (EV1).
11.3. Полученное в результате оценки соответствия ИБ организации
требованиям СТО БР ИББС-1.0 значение R является основой для
формирования аудиторского заключения по результатам аудита ИБ.
11.4. Значения R, соответствующие четвертому и пятому уровням,
являются рекомендуемыми Банком России.
Значения R, соответствующие уровням с нулевого по третий, не
являются рекомендуемыми Банком России.
11.5. Рисунок 1 представляет собой круговую диаграмму для
отображения результатов оценивания.
Секторы с 1-го по 10-й используются для отображения оценки
текущего уровня ИБ организации.
Секторы с 11-го по 27-й используются для отображения оценки
процессов менеджмента ИБ организации.
Секторы с 28-го по 34-й используются для отображения оценки
уровня осознания ИБ организации.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до
окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо
до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до
окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до
окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до
окружности радиусом 0,5.
Нулевому уровню соответствует круг до окружности радиусом 0,25.
11.6. По результатам проведения оценки соответствия формируется
документ - "Подтверждение соответствия организации БС РФ стандарту
Банка России СТО БР ИББС-1.0-20xx".
"Подтверждение соответствия организации БС РФ стандарту Банка
России СТО БР ИББС-1.0-20xx" формируется на основе:
- аудиторского заключения в случае проведения оценки соответствия
внешней организацией;
- отчета самооценки в случае проведения оценки соответствия
силами организации БС РФ.
В "Подтверждение соответствия организации БС РФ стандарту Банка
России СТО БР ИББС-1.0-20xx" как минимум следует включать следующие
оценки:
EVООПД - оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных;
EV1 ОЗПД - оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных, без учета оценки степени выполнения требований
СТО БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
EVМ6 - оценка группового показателя M6 "Обеспечение
информационной безопасности при использовании средств
криптографической защиты информации" применительно к банковскому
технологическому процессу, в рамках которого обрабатываются
персональные данные (оценка степени выполнения требований СТО БР
ИББС-1.0, регламентирующих защиту персональных данных в информационных
системах персональных данных при использовании средств
криптографической защиты информации);
R - итоговый уровень соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0.
С целью направления "Подтверждения соответствия организации БС РФ
стандарту Банка России СТО БР ИББС-1.0-20xx" регуляторам,
осуществляющим надзор за выполнением законодательства в области
персональных данных, данный документ следует составлять в пяти
экземплярах, один из которых предназначен для использования в
организации БС РФ.
Рисунок 1. Круговая диаграмма для отображения
результатов оценивания
(не приводится)
Приложение А
(обязательное)
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".