СТО БР ИББС-1.2-2010
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
РАСПОРЯЖЕНИЕ
ЦЕНТРАЛЬНЫЙ БАНК РФ
21 июня 2010 года
N Р-705
(Д)
МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ТРЕБОВАНИЯМ СТО БР ИББС-1.0-20xx
Дата введения: 2010-06-21
Предисловие
1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 21
июня 2010 года N Р-705.
2. ВЗАМЕН СТО БР ИББС-1.2-2009.
Настоящий стандарт не может быть полностью или частично
воспроизведен, тиражирован и распространен в качестве официального
издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-20xx "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Общие положения" с целью проверки уровня информационной
безопасности (ИБ) как самого Банка России, так и организаций
банковской системы (БС) Российской Федерации (РФ) определено
требование проведения регулярной внешней и внутренней оценки ИБ, а
также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени
выполнения требований Стандарта Банка России СТО БР ИББС-1.0-20xx
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения", а также итогового
уровня соответствия ИБ требованиям Стандарта Банка России СТО БР
ИББС-1.0-20xx "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Общие положения" при
проведении внутренней и (или) внешней оценки и самооценки ИБ.
1. Область применения
Настоящая методика распространяется на организации БС РФ, а также
на организации, проводящие оценку уровня обеспечения ИБ организации БС
РФ в соответствии с требованиями Стандарта Банка России СТО БР
ИББС-1.0-20xx "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Общие положения" (далее - СТО
БР ИББС-1.0).
Настоящий стандарт рекомендован для применения путем включения
ссылок на него и (или) прямого использования устанавливаемых в нем
положений во внутренних документах организации БС РФ, а также в
договорных документах, устанавливающих отношения сторон при проведении
внешних оценок ИБ.
Положения настоящего стандарта применяются на добровольной
основе, если только в отношении конкретных положений обязательность не
установлена действующим законодательством Российской Федерации,
нормативными актами Банка России или условиями договоров.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на стандарт
СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР
ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Аудит информационной безопасности", а также следующие
термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или
характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку
соответствия информационной безопасности организации БС РФ требованиям
СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ, информационная
безопасность которой подвергается оценке на соответствие требованиям
СТО БР ИББС-1.0.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ИСПДн - информационные системы персональных данных;
НСД - несанкционированный доступ;
НРД - нерегламентированные действия в рамках предоставленных
полномочий;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
СИБ - система информационной безопасности;
СОИБ - система обеспечения информационной безопасности;
ЭВМ - электронная вычислительная машина;
ЭЦП - электронная цифровая подпись;
a - коэффициент значимости частного показателя;
ij
EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "текущий уровень ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "менеджмент ИБ организации";
EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "уровень осознания ИБ организации";
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
ООПД
регламентирующих обработку персональных данных;
1
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
ОЗПД
регламентирующих защиту персональных данных в информационных системах
персональных данных, без учета оценки степени выполнения требований
СТО БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
2
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
ОЗПД
регламентирующих защиту персональных данных в информационных системах
персональных данных, с учетом оценки степени выполнения требований СТО
БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
БИПТ
регламентирующих банковский информационный технологический процесс;
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
БПТП
регламентирующих банковский платежный технологический процесс;
EV - оценка степени выполнения требований СТО БР ИББС-1.0 для
Mi
группового показателя;
EV - оценка степени выполнения требований СТО БР ИББС-1.0 для
Mij
частного показателя;
i - номер группового показателя;
j - номер частного показателя;
Mij - обозначение частного показателя;
R - итоговый уровень соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0.
5. Общие положения
5.1. Целью настоящей методики является стандартизация подходов и
способов оценки, используемых для определения уровня соответствия ИБ
организации БС РФ (далее - организации) требованиям СТО БР ИББС-1.0 по
направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ организации с
помощью установления степени выполнения требований, определенных в
разделе 7 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации и
уровня осознания ИБ организации с помощью установления степени
выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение итогового уровня соответствия ИБ организации
требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности. Способы
оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям
СТО БР ИББС-1.0 используются групповые и частные показатели ИБ.
Групповые показатели ИБ образуют структуру направлений оценки,
детализируя оценки текущего уровня ИБ организации, менеджмента и
уровня осознания ИБ. Оценки групповых показателей (EVMi) используются
для получения оценки по направлениям (EV1, EV2 и EV3). Частные
показатели ИБ входят в состав групповых показателей и представлены в
виде вопросов, ответы на которые дают возможность определить оценки
(EVMi), которые затем формируют оценки EVMi групповых показателей.
Приложение А содержит формы, предназначенные для заполнения при
проведении оценки. Каждая из форм содержит групповой показатель ИБ,
входящие в него частные показатели ИБ, метрику (шкалу) для оценивания
частных показателей и коэффициенты значимости частных показателей ИБ,
используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую
категорию составляют частные показатели, отражающие требования СТО БР
ИББС-1.0, выполнение которых обязательно в организации. Вторую
категорию составляют частные показатели, отражающие положения СТО БР
ИББС-1.0, выполнение которых рекомендуется в организации. Информация о
принадлежности частных показателей к указанным категориям определена в
формах Приложения А.
6.3. Способ оценивания частного показателя зависит от его
принадлежности к одной из категорий, определенных в п. 6.2 настоящей
методики.
6.4. Оценка EVMi частного показателя формируется на основании
выявленной аудиторской группой степени выполнения требований
посредством экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением
символа, например, "X", в соответствующую графу представленных в
Приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно,
устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований,
которые не относятся к деятельности организации или на момент оценки
не являются актуальными для организации, что документально
зафиксировано во внутренних документах организации, то данный частный
показатель определяется как неоцениваемый (должна быть заполнена графа
"н/о" - нет оценки) и не учитывается в формировании дальнейших
результатов оценки. При этом необходимо выполнить процедуру нормировки
коэффициентов значимости оставшихся частных показателей ИБ в рамках
группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется,
устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый
(должна быть заполнена графа "н/о" - нет оценки) и не учитывается в
формировании дальнейших результатов оценки. При этом необходимо
выполнить процедуру нормировки коэффициентов значимости оставшихся
частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых
оценивается как степень документированности, так и степень выполнения,
рекомендуется использовать следующий общий подход:
Таблица 1. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается как степень документированности,
так и степень выполнения требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены в нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены в нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,25 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних ¦
¦ ¦ нормативных документах проверяемой организации, но ¦
¦ ¦ выполняются в полном объеме ¦
+------------+-------------------------------------------------------+
¦ 0,75 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в полном объеме ¦
L------------+--------------------------------------------------------
6.8. При проведении оценки частных показателей, для которых
оценивается только степень документированности, рекомендуется
использовать следующий общий подход:
Таблица 2. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень
документированности требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не установлены во ¦
¦ ¦ внутренних нормативных документах ¦
¦ ¦ проверяемой организации ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ частично ¦
¦ ¦ установлены в нормативных документах ¦
¦ ¦ проверяемой организации ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ полностью ¦
¦ ¦ установлены в нормативных документах ¦
¦ ¦ проверяемой организации ¦
L------------+--------------------------------------------------------
6.9. При проведении оценки частных показателей, для которых
оценивается только степень выполнения, рекомендуется использовать
следующий общий подход:
Таблица 3. Рекомендуемые критерии выставления оценок частных
показателей ИБ, в которых оценивается только степень выполнения
требований ИБ
-------------T-------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+-------------------------------------------------------+
¦ 0 ¦ Требования частного показателя ИБ не выполняются ¦
+------------+-------------------------------------------------------+
¦ 0,5 ¦ Требования частного показателя ИБ выполняются в ¦
¦ ¦ неполном объеме ¦
+------------+-------------------------------------------------------+
¦ 1 ¦ Требования частного показателя ИБ выполняются в ¦
¦ ¦ полном объеме ¦
L------------+--------------------------------------------------------
6.10. В случаях, если при проведении оценки частного показателя
используется ограниченный набор объектов, входящих в область аудита ИБ
(например, ограниченная выборка автоматизированных банковских систем),
и по результатам оценивания частного показателя получены результаты,
указывающие на полное выполнение или полное невыполнение/полную
документированность или отсутствие документированности соответствующих
требований ИБ, рекомендуется расширить набор указанных объектов
(выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на
свидетельствах аудита, в качестве основных источников которых
рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при
необходимости документы третьих лиц, относящиеся к обеспечению ИБ
организации;
- устные высказывания сотрудников проверяемой организации в
процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за
деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой
организации и наблюдений за деятельностью указанных сотрудников члены
аудиторской группы должны сделать вывод о степени соответствия
оцениваемой деятельности требованиям внутренних нормативных документов
проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения
должны быть задокументированы путем составления листов для сбора
свидетельств аудита ИБ, пример которых приведен в Приложении Б. При
заполнении листов для сбора свидетельств аудита ИБ необходимо указать
ссылки на соответствующие внутренние нормативные документы проверяемой
организации, результаты опроса сотрудников проверяемой организации, а
также результаты наблюдений членов аудиторской группы. Результаты
опроса и наблюдений должны быть подтверждены подписью опрашиваемого
сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (EVMi), за исключением
группового показателя M9 "Общие требования по обработке персональных
данных в организации БС РФ", вычисляется из оценок входящих в него
частных показателей (EVMij) с учетом коэффициентов значимости aij,
определяющих важность частного показателя для оценивания группового
показателя:
EV = E a x EV
Mi ij Mij
При формировании коэффициентов значимости учитывалось следующее
условие нормировки:
k
E a = 1
j=1 ij
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости aij для каждого частного показателя, за
исключением частных показателей группового показателя M9 "Общие
требования по обработке персональных данных в организации БС РФ",
приведены в Приложении А.
6.13. Оценка группового показателя (EVMi) для группового
показателя M9 "Общие требования по обработке персональных данных в
организации БС РФ" определяется по наименьшему значению оценок
входящих в него частных показателей. При этом для группового
показателя M9 "Общие требования по обработке персональных данных в
организации БС РФ" коэффициенты значимости не определены.
6.14. Если в рамках группового показателя все входящие в него
частные показатели определены как неоцениваемые, указанный групповой
показатель также определяется как неоцениваемый и не учитывается в
формировании дальнейших результатов оценки. В этом случае групповой
показатель не учитывается в формулах расчета для EVБИТП, EVБПТП,
EVООПД, EV1ОЗПД , EV2ОЗПД , EV2 или EV3 (см. разделы 7, 8, 9) с
соответствующей корректировкой в формулах расчета количества
оцениваемых групповых показателей. Оценки для таких групповых
показателей не отображаются на круговой диаграмме (см. раздел 11).
7. Оценка текущего уровня информационной безопасности
организации банковской системы Российской Федерации
7.1. Оценка текущего уровня ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и
обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической
защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических
процессов;
- обработка персональных данных в организации БС РФ;
- обеспечение ИБ банковских технологических процессов, в рамках
которых обрабатываются персональные данные.
7.2. Групповые показатели по направлению оценки "текущий уровень
ИБ организации" отражают совокупность требований ИБ к областям,
определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 4. Соответствие групповых показателей ИБ совокупности
требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0
--------------------T----------------------------------------------T----------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент ¦
¦ показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+-------------------+----------------------------------------------+----------------------+
¦ M1 ¦ Обеспечение ИБ при назначении и распределении¦ п. 7.2 ¦
¦ ¦ ролей и обеспечении доверия к персоналу ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M2 ¦ Обеспечение ИБ на стадиях жизненного цикла ¦ п. 7.3 ¦
¦ ¦ АБС ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M3 ¦ Обеспечение ИБ при управлении доступом и ¦ п. 7.4 ¦
¦ ¦ регистрации ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M4 ¦ Обеспечение ИБ средствами антивирусной ¦ п. 7.5 ¦
¦ ¦ защиты ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M5 ¦ Обеспечение ИБ при использовании ресурсов ¦ п. 7.6 ¦
¦ ¦ сети Интернет ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M6 ¦ Обеспечение ИБ при использовании средств ¦ п. 7.7 ¦
¦ ¦ криптографической защиты информации ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M7 ¦ Обеспечение ИБ банковских платежных ¦ п. 7.8 ¦
¦ ¦ технологических процессов ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M8 ¦ Обеспечение ИБ банковских информационных ¦ п. 7.9 ¦
¦ ¦ технологических процессов ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M9 ¦ Общие требования по обработке персональных ¦ п. 7.10 ¦
¦ ¦ данных в организации БС РФ ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M10 ¦ Общие требования по обеспечению ¦ п. 7.11 ¦
¦ ¦ информационной ¦ ¦
¦ ¦ безопасности банковских технологических ¦ ¦
¦ ¦ процессов, в рамках которых обрабатываются ¦ ¦
¦ ¦ персональные данные ¦ ¦
L-------------------+----------------------------------------------+-----------------------
7.3. Частные показатели по направлению оценки "текущий уровень ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
оценки "текущий уровень ИБ организации" (показатели M1 M10), метрики,
а также коэффициенты значимости aij приведены в Приложении А.
7.4. Оценивание частных показателей в рамках групповых
показателей M1 M6 необходимо осуществлять раздельно по результатам
анализа выполнения соответствующих требований СТО БР ИББС-1.0 по
следующим направлениям:
- банковский платежный технологический процесс (M7);
- банковский информационный технологический процесс (M8);
- банковский технологический процесс, в рамках которого
обрабатываются персональные данные (M10).
7.5. Оценки EVMij и EVMi, полученные в результате оценивания
групповых показателей ИБ M1 M10, вносятся в соответствующие графы
представленных в Приложении А форм.
7.6. Итоговая оценка EV1, отражающая степень выполнения
требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ
организации", определяется по наименьшему значению из следующих
оценок:
EVБИТП- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский информационный технологический процесс;
EVБПТП- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский платежный технологический процесс;
EV2ОЗПД - степень выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных, с учетом оценки степени выполнения требований СТО
БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
EVООПД- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных.
7.7. Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский платежный технологический процесс,
вычисляется по формуле, в которой оценки групповых показателей M1 M6
выбираются по результатам их оценивания, применительно к банковскому
платежному технологическому процессу:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский информационный технологический процесс,
вычисляется по формуле, в которой оценки групповых показателей M1 M6
выбираются по результатам их оценивания, применительно к банковскому
информационному технологическому процессу:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных (ИСПДн), без учета оценки степени выполнения
требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств
криптографической защиты информации (СКЗИ) вычисляется по формуле, в
которой оценки групповых показателей M1 M5 выбираются по результатам
их оценивания, применительно к банковскому технологическому процессу,
в рамках которого обрабатываются персональные данные в ИСПДн:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в ИСПДн, с учетом оценки
степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при
использовании СКЗИ вычисляется по формуле, в которой оценки групповых
показателей M1 M6 выбираются по результатам их оценивания,
применительно к банковскому технологическому процессу, в рамках
которого обрабатываются персональные данные в ИСПДн:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных, вычисляется по
формуле:
EV = EV
ООПД M9
7.8. Оценки EVMi, полученные в результате оценивания групповых
показателей ИБ M1 M10, отображаются на круговой диаграмме (см. раздел
11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой
диаграммы на величину, соответствующую значению этих оценок.
7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел
11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV1.
8. Оценка менеджмента информационной безопасности
организации банковской системы Российской Федерации
8.1. Оценка менеджмента ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- организация и функционирование службы ИБ организации;
- определение/коррекция области действия СОИБ;
- выбор/коррекция подхода к оценке рисков нарушения ИБ и
проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка/коррекция внутренних документов, регламентирующих
деятельность в области обеспечения ИБ;
- принятие руководством организации решений о реализации и
эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и
повышению осведомленности в области ИБ;
- организация обнаружения и реагирования на инциденты
безопасности;
- организация обеспечения непрерывности бизнеса и его
восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение самооценки ИБ;
- проведение внешнего аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства организации;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
8.2. Групповые показатели по направлению оценки "менеджмент ИБ
организации" отражают совокупность требований ИБ к областям,
определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 5. Соответствие групповых показателей ИБ требованиям к
СМИБ, представленным в разделе 8 СТО БР ИББС-1.0
-----------------T--------------------------------------------------T------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент ¦
¦ показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+----------------+--------------------------------------------------+------------------+
¦ M11 ¦ Организация и функционирование службы ИБ ¦ п. 8.2 ¦
¦ ¦ организации ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M12 ¦ Определение/коррекция области действия СОИБ ¦ п. 8.3 ¦
+----------------+--------------------------------------------------+------------------+
¦ M13 ¦ Выбор/коррекция подхода к оценке рисков ¦ п. 8.4 ¦
¦ ¦ нарушения ИБ и проведение оценки рисков ¦ ¦
¦ ¦ нарушения ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M14 ¦ Разработка планов обработки рисков нарушения ¦ п. 8.5 ¦
¦ ¦ ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M15 ¦ Разработка/коррекция внутренних документов, ¦ п. 8.6 ¦
¦ ¦ регламентирующих деятельность в области ¦ ¦
¦ ¦ обеспечения ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M16 ¦ Принятие руководством организации решений о ¦ п. 8.7 ¦
¦ ¦ реализации и эксплуатации СОИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M17 ¦ Организация реализации планов внедрения СОИБ ¦ п. 8.8 ¦
+----------------+--------------------------------------------------+------------------+
¦ M18 ¦ Разработка и организация реализации программ ¦ п. 8.9 ¦
¦ ¦ по обучению и повышению осведомленности в ¦ ¦
¦ ¦ области ИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M19 ¦ Организация обнаружения и реагирования на ¦ п. 8.10 ¦
¦ ¦ инциденты безопасности ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M20 ¦ Организация обеспечения непрерывности бизнеса ¦ п. 8.11 ¦
¦ ¦ и его восстановления после прерываний ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M21 ¦ Мониторинг и контроль защитных мер ¦ п. 8.12 ¦
+----------------+--------------------------------------------------+------------------+
¦ M22 ¦ Проведение самооценки ИБ ¦ п. 8.13 ¦
+----------------+--------------------------------------------------+------------------+
¦ M23 ¦ Проведение аудита ИБ ¦ п. 8.14 ¦
+----------------+--------------------------------------------------+------------------+
¦ M24 ¦ Анализ функционирования СОИБ ¦ п. 8.15 ¦
+----------------+--------------------------------------------------+------------------+
¦ M25 ¦ Анализ СОИБ со стороны руководства организации ¦ п. 8.16 ¦
+----------------+--------------------------------------------------+------------------+
¦ M26 ¦ Принятие решений по тактическим улучшениям ¦ п. 8.17 ¦
¦ ¦ СОИБ ¦ ¦
+----------------+--------------------------------------------------+------------------+
¦ M27 ¦ Принятие решений по стратегическим улучшениям ¦ п. 8.18 ¦
¦ ¦ СОИБ ¦ ¦
L----------------+--------------------------------------------------+-------------------
8.3. Частные показатели по направлению оценки "менеджмент ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
оценки "менеджмент ИБ организации" (показатели M11 M27), метрики, а
также коэффициенты значимости aij для каждого частного показателя
приведены в Приложении А.
8.4. Оценки EVMij и EVMi, полученные в результате оценивания
групповых показателей ИБ M11 M27, вносятся в соответствующие графы
представленных в Приложении А форм.
8.5. Итоговая оценка EV2, отражающая степени выполнения
требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации",
вычисляется по формуле:
27
E EV
i=11 Mi
EV2 = --------
17
8.6. Оценки EVMi, полученные в результате оценивания групповых
показателей ИБ M11 M27, отображаются на круговой диаграмме (см.
раздел 11) в секторах с 11-го по 27-й дугами, отстающими от центра
круговой диаграммы на величину, соответствующую значению этих оценок.
8.7. Оценка EV2 отображается на круговой диаграмме (см. раздел
11) в секторах с 11-го по 27-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV2.
9. Оценка уровня осознания информационной безопасности
организации банковской системы Российской Федерации
9.1. Оценка уровня осознания ИБ организации определяется с
помощью групповых и частных показателей ИБ, позволяющих оценить
степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих
областей:
- деятельность руководства организации по поддержке
функционирования службы ИБ организации;
- деятельность руководства организации по принятию решений о
реализации и эксплуатации СОИБ;
- деятельность руководства организации по поддержке планирования
СОИБ;
- деятельность руководства организации по поддержке реализации
СОИБ;
- деятельность руководства организации по поддержке проверки
СОИБ;
- деятельность руководства организации по анализу СОИБ;
- деятельность руководства организации по поддержке
совершенствования СОИБ.
9.2. Групповые показатели по направлению оценки "уровень
осознания ИБ организации" отражают совокупность требований ИБ к
областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 6 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 6. Соответствие групповых показателей ИБ требованиям,
представленным в разделе 8 СТО БР ИББС-1.0
------------------T-----------------------------------------------T-------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент СТО БР ¦
¦ показателя ¦ ¦ ИББС-1.0 ¦
¦ ИБ ¦ ¦ ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M28 ¦ Оценка деятельности руководства организации ¦ п. 8.2 ¦
¦ ¦ по поддержке функционирования службы ИБ ¦ ¦
¦ ¦ организации ¦ ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M29 ¦ Оценка деятельности руководства организации ¦ п. 8.7 ¦
¦ ¦ по принятию решений о реализации и ¦ ¦
¦ ¦ эксплуатации ¦ ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M30 ¦ Оценка деятельности руководства организации ¦ пп. 8.3, 8.4, ¦
¦ ¦ по поддержке планирования СОИБ ¦ 8.5, 8.6, 8.8 ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M31 ¦ Оценка деятельности руководства организации ¦ пп. 8.9, 8.10, ¦
¦ ¦ по поддержке реализации СОИБ ¦ 8.11 ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M32 ¦ Оценка деятельности руководства организации ¦ пп. 8.12, ¦
¦ ¦ по поддержке проверки СОИБ ¦ 8.13, 8.14, ¦
¦ ¦ ¦ 8.15 ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M33 ¦ Оценка деятельности руководства организации ¦ п. 8.16 ¦
¦ ¦ по анализу СОИБ ¦ ¦
+-----------------+-----------------------------------------------+-------------------+
¦ M34 ¦ Оценка деятельности руководства организации ¦ пп. 8.17, 8.18 ¦
¦ ¦ по поддержке совершенствования СОИБ ¦ ¦
L-----------------+-----------------------------------------------+--------------------
9.3. Частные показатели по направлению оценки "уровень осознания
ИБ организации" отражают отдельные требования СТО БР ИББС-1.0 к СМИБ
организации, относящиеся к деятельности руководства организации.
Частные показатели по направлению оценки "уровень осознания ИБ
организации" (показатели M28 M34), метрики, а также коэффициенты
значимости aij для каждого частного показателя приведены в Приложении
А.
9.4. Оценки EVMij и EVMi , полученные в результате оценивания
групповых показателей ИБ M28 M34, вносятся в соответствующие графы
представленных в Приложении А форм.
9.5. Итоговая оценка EV3, отражающая степень выполнения
требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ
организации", вычисляется по формуле:
34
E EV
i=28 Mi
EV3 = ------------
7
9.6. Оценки EVMi, полученные в результате оценивания групповых
показателей ИБ M28 M34, отображаются на круговой диаграмме (см.
раздел 11) в секторах с 28-го по 34-й дугами, отстающими от центра
круговой диаграммы на величину, соответствующую значению этих оценок.
9.7. Оценка EV3 отображается на круговой диаграмме (см. раздел
11) в секторах с 28-го по 34-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV3.
10. Особенности оценки степени выполнения требований
СТО БР ИББС-1.0, регламентирующих защиту персональных
данных в информационных системах персональных данных
10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в ИСПДн, без учета оценки
степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при
использовании СКЗИ и формирования оценки EV1ОЗПД следует использовать
уточняющие вопросы, которые детализируют и конкретизируют частные
показатели ИБ.
Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Требования по обеспечению безопасности
персональных данных в информационных системах персональных данных
организаций банковской системы Российской Федерации".
Перечень указанных уточняющих вопросов, а также их связь с
частными показателями содержится в Приложении В (таблица 1 и таблица 2
соответственно).
Если в конкретной организации БС РФ отдельные требования РС БР
ИББС-2.3 заменены иными требованиями, обеспечивающими эквивалентный
(аналогичный) уровень безопасности персональных данных, то
соответствующие изменения должны быть внесены в перечень уточняющих
вопросов в Приложении В.
10.2. Для проведения оценки соответствия ИБ в части
информационных систем персональных данных необходимо провести
оценивание частных показателей настоящего стандарта, попадающих в
область оценки, используя все соответствующие частным показателям
детализирующие и конкретизирующие вопросы Приложения В. Для этого
необходимо:
- на основании ссылок на частный показатель, приведенных в
Приложении В, и в соответствии с классом информационной системы
персональных данных составить перечень вопросов, соответствующих
оцениваемому частному показателю (или воспользоваться таблицей
соответствия частных показателей и вопросов, приведенной в Приложении
В);
- провести оценивание вопросов Приложения В из перечня вопросов,
соответствующих оцениваемому частному показателю;
- провести оценивание частного показателя настоящего стандарта,
используя в том числе оценки для вопросов Приложения В.
10.3. Оценка вопросов Приложения В формируется на основании
выявленной степени выполнения проверяемого требования посредством
экспертного оценивания. Устанавливается следующая шкала степени
выполнения проверяемых требований:
- "Выполняется в полном объеме";
- "Выполняется не в полном объеме";
- "Не выполняется".
Оценка вопросов Приложения В должна основываться на
свидетельствах аудита ИБ, приведенных в п. 6.11 настоящего стандарта.
10.4. Оценивание частных показателей следует проводить в
соответствии с рекомендуемыми критериями выставления оценок частных
показателей информационной безопасности, определенными в п. 6.7
настоящего стандарта.
Оценивание всех вопросов из составленного перечня вопросов
Приложения В является необходимым для оценивания частного показателя.
При проведении оценивания частных показателей следует
использовать следующий общий подход:
Таблица 7. Рекомендуемые критерии выставления оценок частных
показателей ИБ на основе оценки вопросов Приложения В
--------------------T----------------------------------------------------------¬
¦ Максимальная ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ оценка ¦ ¦
¦ частного ¦ ¦
¦ показателя ИБ ¦ ¦
+-------------------+----------------------------------------------------------+
¦ 0 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но не выполняются ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,25 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,5 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в неполном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,5 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, не установлены во ¦
¦ ¦ внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 0,75 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, частично установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации, но выполняются в полном объеме ¦
+-------------------+----------------------------------------------------------+
¦ 1 ¦ Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦ оцениваемому частному показателю, полностью установлены ¦
¦ ¦ во внутренних нормативных документах проверяемой ¦
¦ ¦ организации и выполняются в полном объеме ¦
L-------------------+-----------------------------------------------------------
В ряде случаев оценивание всех вопросов из составленного перечня
Приложения В может оказаться недостаточным для оценивания частного
показателя. В этом случае оценка частного показателя должна
проводиться в соответствии с требованиями раздела 6 настоящего
стандарта.
Результаты оценивания вопросов Приложения В должны быть
документально оформлены путем составления соответствующих листов для
сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б.
При заполнении листов для сбора свидетельств аудита ИБ необходимо
указать ссылки на соответствующие вопросы Приложения В и документы,
содержащие свидетельства выполнения оцениваемой деятельности, привести
результаты опроса сотрудников проверяемой организации, а также
результаты наблюдений членов аудиторской группы. Результаты опроса и
наблюдений должны быть подтверждены подписью опрашиваемого сотрудника
или члена аудиторской группы соответственно.
10.5. Все вопросы Приложения В должны быть оценены. Однако перед
оцениванием этих вопросов следует провести анализ актуальности
соответствующих им требований для деятельности проверяемой
организации. Неактуальным вопрос может быть признан только в том
случае, если соответствующее ему требование не относится к
деятельности организации или на момент оценки не является актуальным
для организации, что документально зафиксировано во внутренних
документах организации. В этом случае вопрос определяется как не
оцениваемый (выставляется оценка "1") и не учитывается в дальнейшем
формировании оценок частных показателей. Решение о признании вопроса
Приложения В как не оцениваемого должно приниматься ответственным за
процесс оценки из числа представителей проверяемой организации и
оформляться документально.
11. Определение уровня соответствия
информационной безопасности организации банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0.
Отображение оценок
11.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до
0,25, то данному направлению оценки присваивается нулевой уровень
соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то
данному направлению оценки присваивается первый уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то
данному направлению оценки присваивается второй уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то
данному направлению оценки присваивается третий уровень соответствия
ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95,
то данному направлению оценки присваивается четвертый уровень
соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1
включительно, то данному направлению оценки присваивается пятый
уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
11.2. Значение R определяется по наименьшему значению из трех
оценок по направлениям оценки:
- оценки уровня осознания ИБ организации (EV3);
- оценки менеджмента ИБ организации (EV2);
- оценки текущего уровня ИБ организации (EV1).
11.3. Полученное в результате оценки соответствия ИБ организации
требованиям СТО БР ИББС-1.0 значение R является основой для
формирования аудиторского заключения по результатам аудита ИБ.
11.4. Значения R, соответствующие четвертому и пятому уровням,
являются рекомендуемыми Банком России.
Значения R, соответствующие уровням с нулевого по третий, не
являются рекомендуемыми Банком России.
11.5. Рисунок 1 представляет собой круговую диаграмму для
отображения результатов оценивания.
Секторы с 1-го по 10-й используются для отображения оценки
текущего уровня ИБ организации.
Секторы с 11-го по 27-й используются для отображения оценки
процессов менеджмента ИБ организации.
Секторы с 28-го по 34-й используются для отображения оценки
уровня осознания ИБ организации.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до
окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо
до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до
окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до
окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до
окружности радиусом 0,5.
Нулевому уровню соответствует круг до окружности радиусом 0,25.
11.6. По результатам проведения оценки соответствия формируется
документ - "Подтверждение соответствия организации БС РФ стандарту
Банка России СТО БР ИББС-1.0-20xx".
"Подтверждение соответствия организации БС РФ стандарту Банка
России СТО БР ИББС-1.0-20xx" формируется на основе:
- аудиторского заключения в случае проведения оценки соответствия
внешней организацией;
- отчета самооценки в случае проведения оценки соответствия
силами организации БС РФ.
В "Подтверждение соответствия организации БС РФ стандарту Банка
России СТО БР ИББС-1.0-20xx" как минимум следует включать следующие
оценки:
EVООПД - оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных;
EV1 ОЗПД - оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных, без учета оценки степени выполнения требований
СТО БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
EVМ6 - оценка группового показателя M6 "Обеспечение
информационной безопасности при использовании средств
криптографической защиты информации" применительно к банковскому
технологическому процессу, в рамках которого обрабатываются
персональные данные (оценка степени выполнения требований СТО БР
ИББС-1.0, регламентирующих защиту персональных данных в информационных
системах персональных данных при использовании средств
криптографической защиты информации);
R - итоговый уровень соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0.
С целью направления "Подтверждения соответствия организации БС РФ
стандарту Банка России СТО БР ИББС-1.0-20xx" регуляторам,
осуществляющим надзор за выполнением законодательства в области
персональных данных, данный документ следует составлять в пяти
экземплярах, один из которых предназначен для использования в
организации БС РФ.
Рисунок 1. Круговая диаграмма для отображения
результатов оценивания
(не приводится)
Приложение А
(обязательное)
ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Групповой показатель M1 "Обеспечение
информационной безопасности при назначении и
распределении ролей и обеспечении доверия к персоналу"
-------------------T-----------------------------------------T-------------------T-------------------------------------------T---------------T----------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T-------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.1 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦ роли ее работников? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.2 ¦ Формируются ли роли, связанные с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0291 ¦ ¦
¦ ¦ выполнением деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ, на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требований разделов 7 и 8 стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СТО БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.3 ¦ Персонифицированы ли роли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0502 ¦ ¦
¦ ¦ организации с установлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственности за их выполнение? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.4 ¦ Зафиксирована ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0461 ¦ ¦
¦ ¦ должностных инструкциях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственность за выполнение ролей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.5 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦ совмещающие функции разработки и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ сопровождения системы/ПО? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.6 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0610 ¦ ¦
¦ ¦ совмещающие функции разработки и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации системы/ПО? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.7 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦ совмещающие функции сопровождения и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.8 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦ совмещающие функции администратора ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ системы и администратора ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.9 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦ совмещающие функции по выполнению ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ операций в системе и контроля их ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.10 ¦ Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1001 ¦ ¦
¦ ¦ организации и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля деятельности работников, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обладающих совокупностью полномочий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (ролями), позволяющих получить ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроль над защищаемым информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активом организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.11 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦
¦ ¦ процедуры приема на работу, влияющую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на обеспечение ИБ, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - проверку подлинности предоставленных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, заявляемой квалификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ точности и полноты биографических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ фактов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - проверку в части профессиональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ навыков и оценку профессиональной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пригодности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.12 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0371 ¦ ¦
¦ ¦ показателе M1.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.13 ¦ Определены ли в документах организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦ процедуры регулярной проверки в части ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ профессиональных навыков и оценки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ профессиональной пригодности ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работников? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.14 ¦ Предусматривают ли указанные в частном ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦ показателе M1.13 процедуры ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.15 ¦ Определены ли в документах организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦ процедуры внеплановой проверки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работников при выявлении фактов их ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ нештатного поведения, участия в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентах ИБ или подозрений в таком ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ поведении или участии? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.16 ¦ Предусматривают ли указанные в частном ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0391 ¦ ¦
¦ ¦ показателе M1.15 процедуры ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.17 ¦ Обязаны ли все работники организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0383 ¦ ¦
¦ ¦ давать письменные обязательства о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соблюдении конфиденциальности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ приверженности правилам корпоративной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ этики, включая требования по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ недопущению конфликта интересов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.18 ¦ Регламентируются ли положениями, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0449 ¦ ¦
¦ ¦ включенными в договоры (соглашения) с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внешними организациями и клиентами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования по ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.19 ¦ Определены ли в трудовых контрактах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0582 ¦ ¦
¦ ¦ (соглашениях, договорах) и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ должностных инструкциях обязанности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персонала по выполнению требований ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.20 ¦ Приравнивается ли невыполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0462 ¦ ¦
¦ ¦ работниками организации требований ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ к невыполнению должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обязанностей и приводит ли как минимум ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ к дисциплинарной ответственности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ Итоговая оценка группового показателя M1 ¦ ¦
L--------------------------------------------------------------------------------------------------------------------------------------------+-----------------
Групповой показатель M2 "Обеспечение
информационной безопасности автоматизированных
банковских систем на стадиях жизненного цикла"
--------------------T--------------------------------------------T----------------T------------------------------------------T----------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.1 ¦ Рассматриваются ли при формировании ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0504 ¦ ¦
¦ ¦ требований ИБ следующие стадии модели ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ЖЦ АБС: ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - разработка технических заданий; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - проектирование; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - создание и тестирование; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - приемка и ввод в действие; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - эксплуатация; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - сопровождение и модернизация; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ - снятие с эксплуатации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.2 ¦ Осуществляются ли разработка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0616 ¦ ¦
¦ ¦ технических заданий и приемка АБС по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ согласованию и при участии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подразделения (лиц) в организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственного за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.3 ¦ Осуществляются ли ввод в действие, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0591 ¦ ¦
¦ ¦ эксплуатация и сопровождение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (модернизация), снятие с эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ АБС под контролем подразделений (лиц) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в организации, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.4 ¦ Имеют ли соответствующие лицензии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0563 ¦ ¦
¦ ¦ организации, которые привлекаются на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ договорной основе для разработки и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (или) производства средств и систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защиты АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.5 ¦ Снабжены ли разрабатываемые АБС и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦ (или) их компоненты документацией, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащей описание реализованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер, в том числе в отношении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз ИБ (источников угроз), описанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в модели угроз организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.6 ¦ Снабжены ли приобретаемые организацией ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦ АБС и (или) их компоненты ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документацией, содержащей описание ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных защитных мер, в том ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ числе в отношении угроз ИБ (источников ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз), описанных в модели угроз ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.7 ¦ Содержит ли документация на ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦ разрабатываемые АБС или приобретаемые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ готовые АБС и их компоненты описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализованных защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предпринятых разработчиком ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ относительно безопасности разработки и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности поставки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+----------------+------+------+-------+------+------+------+----------------+---------------+
¦ M2.8 ¦ Реализуется ли при взаимодействии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦ организации с разработчиком АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ компонентов одна из трех альтернатив: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 1) в договор (контракт) о разработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
|