|
Стр. 1
СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.2-2007
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006
Дата введения: 2007-05-01
Предисловие
1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 28
апреля 2007 года N Р-346.
2. ВВЕДЕН ВПЕРВЫЕ.
Настоящий стандарт не может быть полностью или частично
воспроизведен, тиражирован и распространен в качестве официального
издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-2006 "Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с
целью проверки уровня информационной безопасности (ИБ) как самого
Банка России, так и организаций банковской системы (БС) Российской
Федерации (РФ) определено требование проведения регулярной внешней
и внутренней оценки ИБ, а также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени
выполнения требований СТО БР ИББС-1.0, а также итогового уровня
соответствия ИБ требованиям СТО БР ИББС-1.0 при проведении
внутренней и (или) внешней оценки и самооценки ИБ.
1. Область применения
Настоящая методика распространяется на организации БС РФ, а
также на организации, проводящие оценку уровня обеспечения ИБ
организации БС РФ в соответствии с требованиями СТО БР ИББС-1.0.
Настоящий стандарт рекомендован для применения путем включения
ссылок на него и (или) прямого использования устанавливаемых в нем
положений во внутренних документах организации БС РФ.
Положения настоящего стандарта применяются на добровольной
основе, если только в отношении конкретных положений
обязательность не установлена действующим законодательством
Российской Федерации, нормативным правовым актом Банка России или
условиями договора.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на
стандарт СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО
БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Аудит информационной безопасности",
а также следующие термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или
характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку
соответствия информационной безопасности организации БС РФ
требованиям СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ,
информационная безопасность которой подвергается оценке на
соответствие требованиям СТО БР ИББС-1.0.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ЛВС - локальная вычислительная сеть;
НСД - несанкционированный доступ;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
ЭВМ - электронная вычислительная машина;
альфа - коэффициент значимости частного показателя;
i.j
EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "текущий уровень ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "менеджмент ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0,
ПЛ
регламентирующих процессы планирования СМИБ;
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0,
ПР
регламентирующих процессы проверки СМИБ;
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0,
Р
регламентирующих процессы реализации и эксплуатации СМИБ;
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0,
С
регламентирующих процессы совершенствования СМИБ;
EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по
направлению "уровень осознания ИБ организации";
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
БИТП
регламентирующих банковский информационный технологический
процесс;
EV - оценка степени выполнения требований СТО БР ИББС-1.0,
БПТП
регламентирующих банковский платежный технологический процесс;
EV - оценка степени выполнения требований СТО БР ИББС-1.0
Mi
для группового показателя;
EV - оценка степени выполнения требований СТО БР ИББС-1.0
Mi.j
для частного показателя;
i - номер группового показателя;
j - номер частного показателя;
Mi.j - обозначение частного показателя;
R - итоговый уровень соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0.
5. Общие положения
5.1. Целью настоящей методики является стандартизация подходов
и способов оценки, используемых для определения уровня
соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по
направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ
организации БС РФ с помощью установления степени выполнения
требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации БС
РФ с помощью установления степени выполнения требований,
определенных в разделе 9 СТО БР ИББС-1.0;
- определение способа оценивания уровня осознания ИБ
организации БС РФ с помощью установления степени выполнения
принципов, определенных в разделе 6 СТО БР ИББС-1.0;
- определения итогового уровня соответствия ИБ организации БС
РФ требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности.
Способы оценивания показателей
6.1. Для оценки степени соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0 используются групповые и частные
показатели ИБ. Групповые показатели ИБ образуют структуру
направлений оценки, детализируя оценки текущего уровня ИБ,
менеджмента и уровня осознания ИБ. Оценки групповых показателей
(EV ) используются для получения оценки по направлениям (EV1, EV2
Mi
и EV3). Частные показатели ИБ входят в состав групповых
показателей и представлены в виде вопросов, ответы на которые дают
возможность определить оценки (EV ), которые затем формируют
Mi.j
оценки EV групповых показателей.
Mi
Приложение А содержит формы, предназначенные для заполнения
при проведении оценки. Каждая из форм содержит групповой
показатель ИБ, входящие в него частные показатели ИБ, метрику
(шкалу) для оценивания частных показателей и коэффициенты
значимости частных показателей ИБ, используемые при вычислении
группового показателя.
6.2. Все частные показатели должны быть оценены. Оценка EV
Mi.j
частного показателя формируется на основании выявленной
аудиторской группой степени выполнения требований посредством
экспертного оценивания. Устанавливается следующая шкала степени
выполнения требований:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или
0,75;
- "да" - оценке присваивается значение, равное единице.
Оценивание частного показателя должно сопровождаться внесением
символа, например "X", в соответствующую графу представленных в
приложении А форм. Если частный показатель предназначен для оценки
требований, которые не относятся к деятельности организации БС РФ,
что документально зафиксировано, то данный частный показатель
определяется как неоцениваемый (должна быть заполнена графа "н/о"
- нет оценки) и не учитывается в формировании дальнейших
результатов оценки. Определение частного показателя как
неоцениваемого может быть реализовано путем исключения частного
показателя ИБ из числа оцениваемых, при этом необходимо выполнить
процедуру перенормировки коэффициентов значимости оставшихся
частных показателей ИБ в рамках группового показателя.
6.3. Для выявления степени выполнения требований ИБ при
проведении оценки частных показателей рекомендуется использовать
следующий общий подход:
Таблица 1. Рекомендуемые критерии выставления оценок частных
показателей ИБ
-------------T----------------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦ показателя ¦ ¦
¦ ИБ ¦ ¦
+------------+----------------------------------------------------------------+
¦ 0 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, не установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ и не выполняются ¦
+------------+----------------------------------------------------------------+
¦ 0 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, частично установлены в нормативных документах ¦
¦ ¦проверяемой организации БС РФ, но не выполняются ¦
+------------+----------------------------------------------------------------+
¦ 0,25 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, полностью установлены в нормативных документах ¦
¦ ¦проверяемой организации БС РФ, но не выполняются ¦
+------------+----------------------------------------------------------------+
¦ 0,25 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, не установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ и выполняются в ¦
¦ ¦неполном объеме ¦
+------------+----------------------------------------------------------------+
¦ 0,25 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, частично установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ и выполняются в ¦
¦ ¦неполном объеме ¦
+------------+----------------------------------------------------------------+
¦ 0,5 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, полностью установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ и выполняются в ¦
¦ ¦неполном объеме ¦
+------------+----------------------------------------------------------------+
¦ 0,5 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, не установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ, но выполняются в ¦
¦ ¦полном объеме ¦
+------------+----------------------------------------------------------------+
¦ 0,75 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, частично установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ, но выполняются в ¦
¦ ¦полном объеме ¦
+------------+----------------------------------------------------------------+
¦ 1 ¦Требования, степень выполнения которых оценивается в частном ¦
¦ ¦показателе ИБ, полностью установлены во внутренних нормативных ¦
¦ ¦документах проверяемой организации БС РФ и выполняются в полном ¦
¦ ¦объеме ¦
L------------+-----------------------------------------------------------------
6.4. Оценка частного показателя ИБ должна основываться на
свидетельствах аудита, в качестве основных источников которых
рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и
при необходимости документы третьих лиц, относящиеся к обеспечению
ИБ организации БС РФ;
- устные высказывания сотрудников проверяемой организации в
процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за
деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой
организации и наблюдений за деятельностью указанных сотрудников
члены аудиторской группы должны сделать вывод о степени
соответствия оцениваемой деятельности требованиям внутренних
нормативных документов проверяемой организации БС РФ.
Полученные свидетельства аудита ИБ и источники их получения
должны быть задокументированы путем составления листов для сбора
свидетельств аудита ИБ, пример которых приведен в Приложении Б.
При заполнении листов для сбора свидетельств аудита ИБ необходимо
указать ссылки на соответствующие внутренние нормативные документы
проверяемой организации, результаты опроса сотрудников проверяемой
организации, а также результаты наблюдений членов аудиторской
группы. Результаты опроса и наблюдений должны быть подтверждены
подписью опрашиваемого сотрудника организации БС РФ или члена
аудиторской группы соответственно.
6.5. Оценка группового показателя (EV ) вычисляется из оценок
Mi
входящих в него частных показателей (EV ) с учетом
Mi.j
коэффициентов значимости альфа , определяющих важность частного
i.j
показателя для оценивания группового показателя:
EV = SUMальфа x EV .
Mi j i.j Mi.j
При формировании коэффициентов значимости учитывалось
следующее условие нормировки:
k
SUMальфа = 1,
j=1 ij
где k - число частных показателей в i-ом групповом показателе.
Коэффициенты значимости альфа для каждого частного
i.j
показателя приведены в приложении А.
7. Оценка текущего уровня
информационной безопасности организации банковской
системы Российской Федерации
7.1. Текущий уровень ИБ организации БС РФ определяется с
помощью групповых и частных показателей ИБ, позволяющих оценить
степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих
областей:
- назначение и распределение ролей, обеспечение доверия к
персоналу;
- стадии жизненного цикла автоматизированных банковских систем;
- управление доступом и регистрация;
- антивирусная защита;
- использование ресурсов сети Интернет;
- использование средств криптографической защиты информации;
- банковские платежные технологические процессы;
- банковские информационные технологические процессы.
7.2. Групповые показатели текущего уровня ИБ отражают
совокупность требований ИБ к областям, определенным в разделе 8
СТО БР ИББС-1.0. Таблица 2 отражает соответствие между
структурными элементами СТО БР ИББС-1.0, содержащими требования
ИБ, и групповыми показателями ИБ, предназначенными для проверки
реализации данных требований.
Таблица 2. Соответствие групповых показателей ИБ совокупности
требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0
----------------T--------------------------------------------T----------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент СТО БР ¦
¦ показателя ИБ ¦ ¦ ИББС-1.0 ¦
+---------------+--------------------------------------------+----------------+
¦ M1 ¦Обеспечение ИБ при назначении и ¦ п. 8.2.2 ¦
¦ ¦распределении ролей и обеспечении доверия к ¦ ¦
¦ ¦персоналу ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M2 ¦Обеспечение ИБ автоматизированных ¦ п. 8.2.3 ¦
¦ ¦банковских систем на стадиях жизненного ¦ ¦
¦ ¦цикла ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M3 ¦Обеспечение ИБ при управлении доступом и ¦ п. 8.2.4 ¦
¦ ¦регистрации ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M4 ¦Обеспечение ИБ средствами антивирусной ¦ п. 8.2.5 ¦
¦ ¦защиты ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M5 ¦Обеспечение ИБ при использовании ресурсов ¦ п. 8.2.6 ¦
¦ ¦сети Интернет ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M6 ¦Обеспечение ИБ при использовании средств ¦ п. 8.2.7 ¦
¦ ¦криптографической защиты информации ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M7 ¦Выполнение правил обеспечения ИБ банковских ¦ п. 8.2.8 ¦
¦ ¦платежных технологических процессов ¦ ¦
+---------------+--------------------------------------------+----------------+
¦ M8 ¦Выполнение правил обеспечения ИБ банковских ¦ п. 8.2.9 ¦
¦ ¦информационных технологических процессов ¦ ¦
L---------------+--------------------------------------------+-----------------
7.3. Частные показатели текущего уровня ИБ отражают отдельные
требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из
областей. Частные показатели текущего уровня ИБ (показатели
.
M1 - M8) и метрики приведены в приложении А.
.
7.4. Оценка частного показателя ИБ (EV ) определяется
Mi.j
посредством экспертного оценивания. Для принятия решения следует
проводить анализ нормативных, распорядительных, программных и
других документов организации БС РФ, имеющих отношение к
проверяемым областям ИБ, и уточнять полученную информацию с
помощью опросов сотрудников организации БС РФ и наблюдения за
деятельностью.
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о невыполнении соответствующих
требований ИБ, то оценке EV присваивается значение, равное
Mi.j
нулю.
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о частичном выполнении
соответствующих требований ИБ, то оценка EV по решению
Mi.j
аудиторской группы может быть установлена равной 0,25; 0,5 или
0,75 (в зависимости от степени выполнения требований ИБ).
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о полном выполнении
соответствующих требований ИБ, то оценке EV присваивается
Mi.j
значение, равное единице.
7.5. Оценка группового показателя (EV ) вычисляется из оценок
Mi
входящих в него частных показателей (EV ) с учетом
Mi.j
коэффициентов значимости альфа :
i.j
EV = SUMальфа x EV ,
Mi j i.j Mi.j
.
где j = 1 - N ;
. i
N - количество частных показателей ИБ, входящих в групповой
i
показатель M ;
i
.
i = 1 - 8.
.
Коэффициенты значимости альфа для каждого частного
i.j
показателя приведены в приложении А.
7.6. Оценивание частных показателей в рамках групповых
.
показателей M1 - M6 необходимо осуществлять по результатам анализа
.
выполнения соответствующих требований СТО БР ИББС-1.0
применительно к организации БС РФ в целом, включая банковский
платежный технологический процесс и банковский информационный
технологический процесс.
7.7. Оценки EV и EV , полученные в результате оценивания
Mi.j Mi
.
групповых показателей ИБ M1 - M8, вносятся в соответствующие графы
.
представленных в приложении А форм.
7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ
организации БС РФ, определяется по наименьшему значению из оценок
уровней ИБ банковского платежного технологического процесса и
банковского информационного технологического процесса.
7.9. Оценка уровня ИБ банковского платежного технологического
процесса вычисляется по формуле:
SUMEV + EV
i Mi M7 .
EV = ----------------, i = 1 - 6.
БПТП 7 .
Оценка уровня ИБ банковского информационного технологического
процесса вычисляется по формуле:
SUMEV + EV
i Mi M8 .
EV = ----------------, i = 1 - 6.
БИТП 7 .
7.10. Оценки EV , полученные в результате оценивания
Mi .
групповых показателей ИБ M1 - M8, отображаются на круговой
.
диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугами,
отстающими от центра круговой диаграммы на величину,
соответствующую значению этих оценок.
7.11. Оценка EV1 отображается на круговой диаграмме (см.
раздел 10) в секторах с 1-го по 8-й дугой, отстающей от центра
круговой диаграммы на величину, соответствующую значению EV2.
8. Оценка процессов системы менеджмента информационной
безопасности организации банковской системы
Российской Федерации
8.1. Групповые показатели по направлению оценки "менеджмент ИБ
организации" оцениваются по стадиям циклической модели менеджмента
.
ИБ. Групповые показатели M9 - M13 предназначены для оценки
.
процессов планирования системы менеджмента ИБ (СМИБ). Групповые
.
показатели M14 - M18 предназначены для оценки процессов реализации
. .
СМИБ. Групповые показатели M19 - M23 предназначены для оценки
. .
процессов проверки СМИБ. Групповые показатели M24 - M27
.
предназначены для оценки процессов совершенствования СМИБ.
8.2. Таблица 3 отражает соответствие между структурными
элементами СТО БР ИББС-1.0 и групповыми показателями ИБ,
предназначенными для оценивания процессов менеджмента ИБ.
Наименования групповых показателей соответствуют наименованиям
процессов СМИБ организации БС РФ, установленных в СТО БР ИББС-1.0.
Таблица 3. Соответствие групповых показателей ИБ процессам
СМИБ, представленным в СТО БР ИББС-1.0
---------------T------------------------------------------T--------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦Структурный элемент ¦
¦ группового ¦ ¦ СТО БР ИББС-1.0 ¦
¦показателя ИБ ¦ ¦ ¦
+--------------+------------------------------------------+--------------------+
¦ Планирование СМИБ ¦
+--------------T------------------------------------------T--------------------+
¦ M9 ¦Определение/уточнение области действия ¦ элемент ¦
¦ ¦СМИБ и выбор подхода к оценке рисков ИБ ¦ перечисления а) ¦
¦ ¦ ¦ раздела 9.1 ¦
+--------------+------------------------------------------+--------------------+
¦ M10 ¦Анализ и оценка рисков ИБ, варианты ¦ элемент ¦
¦ ¦обработки рисков ИБ ¦ перечисления б) ¦
¦ ¦ ¦ раздела 9.1 ¦
+--------------+------------------------------------------+--------------------+
¦ M11 ¦Определение/уточнение политики ИБ ¦ элемент ¦
¦ ¦организации БС РФ ¦ перечисления в) ¦
¦ ¦ ¦ раздела 9.1 ¦
+--------------+------------------------------------------+--------------------+
¦ M12 ¦Выбор/уточнение целей ИБ и защитных мер ¦ элемент ¦
¦ ¦ ¦ перечисления г) ¦
¦ ¦ ¦ раздела 9.1 ¦
+--------------+------------------------------------------+--------------------+
¦ M13 ¦Принятие руководством организации БС РФ ¦ элемент ¦
¦ ¦остаточных рисков и решения о реализации ¦ перечисления д) ¦
¦ ¦и эксплуатации/совершенствовании СМИБ ¦раздела 9.1, раздел ¦
¦ ¦ ¦ 9.7 ¦
+--------------+------------------------------------------+--------------------+
¦ Реализация и эксплуатация СМИБ ¦
+--------------T------------------------------------------T--------------------+
¦ M14 ¦Разработка плана обработки рисков ИБ ¦ элемент ¦
¦ ¦ ¦ перечисления а) ¦
¦ ¦ ¦ раздела 9.2 ¦
+--------------+------------------------------------------+--------------------+
¦ M15 ¦Реализация плана обработки рисков ИБ и ¦ элемент ¦
¦ ¦реализация защитных мер, управление ¦ перечисления б) ¦
¦ ¦работами и ресурсами, связанными с ¦ раздела 9.2 ¦
¦ ¦реализацией СМИБ ¦ ¦
+--------------+------------------------------------------+--------------------+
¦ M16 ¦Реализация программ по обучению и ¦ элемент ¦
¦ ¦осведомлению ИБ ¦ перечисления в) ¦
¦ ¦ ¦ раздела 9.2 ¦
+--------------+------------------------------------------+--------------------+
¦ M17 ¦Обнаружение и реагирование на инциденты ¦ элемент ¦
¦ ¦безопасности ¦ перечисления г) ¦
¦ ¦ ¦ раздела 9.2 ¦
+--------------+------------------------------------------+--------------------+
¦ M18 ¦Обеспечение непрерывности бизнеса и ¦ элемент ¦
¦ ¦восстановления после прерываний ¦ перечисления д) ¦
¦ ¦ ¦раздела 9.2, раздел ¦
¦ ¦ ¦ 9.6 ¦
+--------------+------------------------------------------+--------------------+
¦ Проверка (мониторинг и анализ) СМИБ ¦
+--------------T------------------------------------------T--------------------+
¦ M19 ¦Мониторинг и контроль защитных мер, ¦ элемент ¦
¦ ¦включая регистрацию действий и событий, ¦ перечисления а) ¦
¦ ¦связанных со СМИБ ¦ раздела 9.3, ¦
¦ ¦ ¦ раздел 10.9 ¦
+--------------+------------------------------------------+--------------------+
¦ M20 ¦Анализ эффективности СМИБ, включая ¦ элемент ¦
¦ ¦анализ уровней остаточного и приемлемого ¦ перечисления б) ¦
¦ ¦рисков ИБ ¦ раздела 9.3 ¦
+--------------+------------------------------------------+--------------------+
¦ M21 ¦Внутренний аудит СМИБ ¦ элемент ¦
¦ ¦ ¦ перечисления в) ¦
¦ ¦ ¦раздела 9.3, раздел ¦
¦ ¦ ¦ 10 ¦
+--------------+------------------------------------------+--------------------+
¦ M22 ¦Анализ СМИБ со стороны высшего ¦ элемент ¦
¦ ¦руководства ¦ перечисления г) ¦
¦ ¦ ¦ раздела 9.3 ¦
+--------------+------------------------------------------+--------------------+
¦ M23 ¦Внешний аудит СМИБ ¦ элемент ¦
¦ ¦ ¦ перечисления д) ¦
¦ ¦ ¦раздела 9.3, раздел ¦
¦ ¦ ¦ 10 ¦
+--------------+------------------------------------------+--------------------+
¦ Совершенствование СМИБ ¦
+--------------T------------------------------------------T--------------------+
¦ M24 ¦Реализация тактических улучшений в СМИБ ¦ элемент ¦
¦ ¦ ¦ перечисления а) ¦
¦ ¦ ¦ раздела 9.4 ¦
+--------------+------------------------------------------+--------------------+
¦ M25 ¦Реализация стратегических улучшений ¦ элемент ¦
¦ ¦СМИБ. Использование опыта ¦ перечисления б) ¦
¦ ¦ ¦ раздела 9.4 ¦
+--------------+------------------------------------------+--------------------+
¦ M26 ¦Информирование об изменениях и их ¦ элемент ¦
¦ ¦согласование с заинтересованными ¦ перечисления в) ¦
¦ ¦сторонами ¦ раздела 9.4 ¦
+--------------+------------------------------------------+--------------------+
¦ M27 ¦Оценка достижения поставленных целей ¦ элемент ¦
¦ ¦ ¦ перечисления г) ¦
¦ ¦ ¦ раздела 9.4 ¦
L--------------+------------------------------------------+---------------------
8.3. Частные показатели по направлению оценки "менеджмент ИБ
.
организации" (показатели M9 - M27) и метрики приведены в
.
приложении А.
8.4. Оценка частного показателя ИБ (EV ) определяется
Mi.j
посредством экспертного оценивания. Для принятия решения следует
производить анализ нормативных, распорядительных, программных и
других документов организации БС РФ, имеющих отношение к
проверяемым областям ИБ, и уточнять полученную информацию с
помощью опросов сотрудников организации БС РФ и наблюдения за
деятельностью.
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о невыполнении соответствующих
требований ИБ (отсутствии процессов менеджмента), то оценке EV
Mi.j
присваивается значение, равное нулю.
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о частичном выполнении
соответствующих требований ИБ (частичной реализации процессов
менеджмента), то оценка EV по решению аудиторской группы может
Mi.j
быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от
степени выполнения требований ИБ или реализации процессов
менеджмента).
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о полном выполнении
соответствующих требований ИБ (реализации процессов менеджмента),
то оценке EV присваивается значение, равное единице.
Mi.j
8.5. Оценка группового показателя (EV ) вычисляется из оценок
Mi
входящих в него частных показателей (EV ) с учетом
Mi.j
коэффициентов значимости альфа :
i.j
EV = SUMальфа x EV ,
Mi j i.j Mi.j
.
где j = 1 - Ni;
.
Ni - количество частных показателей ИБ, представляющих
групповой показатель Mi;
.
i = 9 - 27.
.
Коэффициенты значимости альфа для каждого частного
i.j
показателя приведены в приложении А.
8.6. Оценки EV и EV , полученные в результате оценивания
Mi.j Mi
.
групповых показателей ИБ M9 - M27, вносятся в соответствующие
.
графы представленных в приложении А форм.
8.7. Оценка EV2 , определяющая уровень процессов планирования
ПЛ
СМИБ организации БС РФ, вычисляется по формуле:
13
SUMEV
i=9 Mi
EV2 = ---------.
ПЛ 5
8.8. Оценка EV2 , определяющая уровень процессов реализации и
Р
эксплуатации СМИБ организации БС РФ, вычисляется по формуле:
18
SUMEV
i=14 Mi
EV2 = ---------.
Р 5
8.9. Оценка EV2 , определяющая уровень процессов проверки
ПР
СМИБ организации БС РФ, вычисляется по формуле:
23
SUMEV
i=19 Mi
EV2 = ---------.
ПР 5
8.10. Оценка EV2 , определяющая уровень процессов
С
совершенствования СМИБ организации БС РФ, вычисляется по формуле:
27
SUMEV
i=24 Mi
EV2 = ---------.
С 4
8.11. Итоговая оценка EV2, отражающая уровень процессов СМИБ
организации БС РФ, определяется по наименьшему значению из оценок
EV2 , EV2 , EV2 и EV2 .
ПЛ Р ПР С
8.12. Оценки EV , полученные в результате оценивания
Mi
.
групповых показателей ИБ M9 - M27, отображаются на круговой
.
диаграмме (см. раздел 10) в секторах с 9-го по 27-й дугами,
отстающими от центра круговой диаграммы на величину,
соответствующую значению этих оценок.
8.13. Оценка EV2 отображается на круговой диаграмме (см.
раздел 10) в секторах с 9-го по 27-й дугой, отстающей от центра
круговой диаграммы на величину, соответствующую значению EV2.
9. Оценка уровня осознания
информационной безопасности организации банковской
системы Российской Федерации
9.1. Уровень осознания ИБ организации БС РФ определяется с
помощью групповых и частных показателей ИБ, позволяющих оценить
степень выполнения (соблюдения) общих и специальных принципов
обеспечения ИБ организации БС РФ, определенных в разделе 6 СТО БР
ИББС-1.0:
- своевременность обнаружения проблем;
- прогнозируемость развития проблем;
- оценка влияния проблем на бизнес-цели;
- адекватность защитных мер;
- эффективность защитных мер;
- использование опыта при принятии и реализации решений;
- непрерывность принципов безопасного функционирования;
- контролируемость защитных мер;
- определенность целей;
- знание своих клиентов и служащих;
- персонификация и адекватное разделение ролей и
ответственности;
- адекватность ролей функциям и процедурам и их сопоставимость
с критериями и системой оценки;
- доступность услуг и сервисов;
- наблюдаемость и оцениваемость обеспечения ИБ.
.
9.2. Групповые показатели M28 - M32 предназначены для оценки
.
уровня осознания ИБ. Они отражают общие принципы безопасного
функционирования и специальные принципы обеспечения ИБ организации
БС РФ, определенные в разделе 6 СТО БР ИББС-1.0. Таблица 4
отражает соответствие между структурными элементами СТО БР
ИББС-1.0, содержащими принципы ИБ, и групповыми показателями ИБ,
предназначенными для оценивания уровня осознания ИБ.
Таблица 4. Соответствие групповых показателей ИБ общим и
специальным принципам БР ИББС-1.0
----------------T------------------------------------------T-------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент СТО БР ¦
¦ показателя ИБ ¦ ¦ ИББС-1.0 ¦
+---------------+------------------------------------------+-------------------+
¦ M28 ¦Своевременность обнаружения проблем, ¦ пункты 6.1.1, ¦
¦ ¦прогноз развития проблем ИБ и оценка их ¦ 6.1.2, 6.1.3 ¦
¦ ¦влияния на бизнес-цели организации БС РФ ¦ ¦
+---------------+------------------------------------------+-------------------+
¦ M29 ¦Определенность целей, адекватность выбора ¦ пункты 6.1.4, ¦
¦ ¦защитных мер, их эффективность и ¦ 6.1.5, 6.1.8, ¦
¦ ¦контролируемость ¦ 6.2.1 ¦
+---------------+------------------------------------------+-------------------+
¦ M30 ¦Непрерывность обеспечения ИБ и ¦ пункты 6.1.6, ¦
¦ ¦использование опыта при принятии и ¦ 6.1.7 ¦
¦ ¦реализации решений ¦ ¦
+---------------+------------------------------------------+-------------------+
¦ M31 ¦Знание своих клиентов и служащих, ¦ пункты 6.2.2, ¦
¦ ¦персонификация и адекватное разделение ¦ 6.2.3, 6.2.4 ¦
¦ ¦ролей и ответственности, адекватность ¦ ¦
¦ ¦ролей функциям и процедурам ¦ ¦
+---------------+------------------------------------------+-------------------+
¦ M32 ¦Доступность услуг и сервисов, ¦ пункты 6.2.5, ¦
¦ ¦наблюдаемость и оцениваемость обеспечения ¦ 6.2.6 ¦
¦ ¦ИБ ¦ ¦
L---------------+------------------------------------------+--------------------
9.3. Частные показатели ИБ по направлению оценки "уровень
осознания ИБ организации" дают возможность определить степень
реализации общих принципов безопасного функционирования
организации БС РФ и специальных принципов обеспечения ИБ
организации БС РФ. Частные показатели по направлению оценки
.
"уровень осознания ИБ организации" (показатели M28 - M32) и
.
метрики приведены в приложении А.
9.4. Оценка частных показателей ИБ (EV ) определяется
Mi.j
посредством экспертного оценивания. Для принятия решения следует
производить анализ нормативно-распорядительных и других документов
организации БС РФ, имеющих отношение к общим принципам безопасного
функционирования и специальным принципам обеспечения ИБ,
определенным в разделе 6 СТО БР ИББС-1.0, и уточнять полученную
информацию с помощью опросов сотрудников организации БС РФ и
наблюдения за деятельностью организации БС РФ по выполнению общих
принципов безопасного функционирования и специальных принципов
обеспечения ИБ организации БС РФ.
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о невыполнении соответствующих
принципов, то оценке EV присваивается значение, равное нулю.
Mi.j
Если в результате оценивания частного показателя Mi.j
аудиторской группой сделан вывод о частичном выполнении
|
