Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
6. Показатели информационной безопасности. Способы
оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям
СТО БР ИББС-1.0 используются групповые и частные показатели ИБ.
Групповые показатели ИБ образуют структуру направлений оценки,
детализируя оценки текущего уровня ИБ организации, менеджмента и
уровня осознания ИБ. Оценки групповых показателей (EVMi) используются
для получения оценки по направлениям (EV1, EV2 и EV3). Частные
показатели ИБ входят в состав групповых показателей и представлены в
виде вопросов, ответы на которые дают возможность определить оценки
(EVMi), которые затем формируют оценки EVMi групповых показателей.
Приложение А содержит формы, предназначенные для заполнения при
проведении оценки. Каждая из форм содержит групповой показатель ИБ,
входящие в него частные показатели ИБ, метрику (шкалу) для оценивания
частных показателей и коэффициенты значимости частных показателей ИБ,
используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую
категорию составляют частные показатели, отражающие требования СТО БР
ИББС-1.0, выполнение которых обязательно в организации. Вторую
категорию составляют частные показатели, отражающие положения СТО БР
ИББС-1.0, выполнение которых рекомендуется в организации. Информация о
принадлежности частных показателей к указанным категориям определена в
формах Приложения А.
6.3. Способ оценивания частного показателя зависит от его
принадлежности к одной из категорий, определенных в п. 6.2 настоящей
методики.
6.4. Оценка EVMi частного показателя формируется на основании
выявленной аудиторской группой степени выполнения требований
посредством экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением
символа, например, "X", в соответствующую графу представленных в
Приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно,
устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований,
которые не относятся к деятельности организации или на момент оценки
не являются актуальными для организации, что документально
зафиксировано во внутренних документах организации, то данный частный
показатель определяется как неоцениваемый (должна быть заполнена графа
"н/о" - нет оценки) и не учитывается в формировании дальнейших
результатов оценки. При этом необходимо выполнить процедуру нормировки
коэффициентов значимости оставшихся частных показателей ИБ в рамках
группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется,
устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый
(должна быть заполнена графа "н/о" - нет оценки) и не учитывается в
формировании дальнейших результатов оценки. При этом необходимо
выполнить процедуру нормировки коэффициентов значимости оставшихся
частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых
оценивается как степень документированности, так и степень выполнения,
рекомендуется использовать следующий общий подход:
Таблица 1. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается как степень документированности,
так и степень выполнения требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены в нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены в нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних ¦
¦ ¦ нормативных документах проверяемой организации, но ¦
¦ ¦ выполняются в полном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,75 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в полном объеме ¦
L------------+--------------------------------------------------------
6.8. При проведении оценки частных показателей, для которых
оценивается только степень документированности, рекомендуется
использовать следующий общий подход:
Таблица 2. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень
документированности требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах ¦
¦ ¦ проверяемой организации ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены в нормативных документах ¦
¦ ¦ проверяемой организации ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены в нормативных документах ¦
¦ ¦ проверяемой организации ¦
L------------+--------------------------------------------------------
6.9. При проведении оценки частных показателей, для которых
оценивается только степень выполнения, рекомендуется использовать
следующий общий подход:
Таблица 3. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень выполнения
требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ выполняются в ¦
¦ ¦ неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ выполняются в ¦
¦ ¦ полном объеме ¦
L------------+--------------------------------------------------------
6.10. В случаях, если при проведении оценки частного показателя
используется ограниченный набор объектов, входящих в область аудита ИБ
(например, ограниченная выборка автоматизированных банковских систем),
и по результатам оценивания частного показателя получены результаты,
указывающие на полное выполнение или полное невыполнение/полную
документированность или отсутствие документированности соответствующих
требований ИБ, рекомендуется расширить набор указанных объектов
(выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на
свидетельствах аудита, в качестве основных источников которых
рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при
необходимости документы третьих лиц, относящиеся к обеспечению ИБ
организации;
- устные высказывания сотрудников проверяемой организации в
процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за
деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой
организации и наблюдений за деятельностью указанных сотрудников члены
аудиторской группы должны сделать вывод о степени соответствия
оцениваемой деятельности требованиям внутренних нормативных документов
проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения
должны быть задокументированы путем составления листов для сбора
свидетельств аудита ИБ, пример которых приведен в Приложении Б. При
заполнении листов для сбора свидетельств аудита ИБ необходимо указать
ссылки на соответствующие внутренние нормативные документы проверяемой
организации, результаты опроса сотрудников проверяемой организации, а
также результаты наблюдений членов аудиторской группы. Результаты
опроса и наблюдений должны быть подтверждены подписью опрашиваемого
сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (EVMi), за исключением
группового показателя M9 "Общие требования по обработке персональных
данных в организации БС РФ", вычисляется из оценок входящих в него
частных показателей (EVMij) с учетом коэффициентов значимости aij,
определяющих важность частного показателя для оценивания группового
показателя:
EV = E a x EV
Mi ij Mij
При формировании коэффициентов значимости учитывалось следующее
условие нормировки:
k
E a = 1
j=1 ij
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости aij для каждого частного показателя, за
исключением частных показателей группового показателя M9 "Общие
требования по обработке персональных данных в организации БС РФ",
приведены в Приложении А.
6.13. Оценка группового показателя (EVMi) для группового
показателя M9 "Общие требования по обработке персональных данных в
организации БС РФ" определяется по наименьшему значению оценок
входящих в него частных показателей. При этом для группового
показателя M9 "Общие требования по обработке персональных данных в
организации БС РФ" коэффициенты значимости не определены.
6.14. Если в рамках группового показателя все входящие в него
частные показатели определены как неоцениваемые, указанный групповой
показатель также определяется как неоцениваемый и не учитывается в
формировании дальнейших результатов оценки. В этом случае групповой
показатель не учитывается в формулах расчета для EVБИТП, EVБПТП,
EVООПД, EV1ОЗПД , EV2ОЗПД , EV2 или EV3 (см. разделы 7, 8, 9) с
соответствующей корректировкой в формулах расчета количества
оцениваемых групповых показателей. Оценки для таких групповых
показателей не отображаются на круговой диаграмме (см. раздел 11).
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".