РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
РС БР ИББС-2.1-2007
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0
Дата введения: 2007-05-01
Предисловие
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 28 апреля 2007 года N Р-347.
2. ВВЕДЕНЫ ВПЕРВЫЕ.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной самооценки ИБ.
Самооценка соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 должна проводиться в соответствии со стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006".
1. Область применения
Настоящее руководство распространяется на организации БС РФ, проводящие самооценку соответствия информационной безопасности (ИБ) требованиям СТО БР ИББС-1.0 и устанавливает подходы к проведению указанной самооценки.
Настоящее руководство рекомендовано для применения путем прямого использования устанавливаемых в нем положений при проведении самооценки ИБ в организациях БС РФ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.
Положения настоящего руководства применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договора.
2. Нормативные ссылки
В настоящем руководстве использованы нормативные ссылки на следующие стандарты:
3. Термины и определения
В настоящем руководстве применены термины в соответствии со стандартами СТО БР ИББС-1.0, СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006" (далее - Методика).
4. Самооценка соответствия информационной безопасности организаций банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0
4.1. Самооценка соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0 проводится согласно Методике по направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
4.2. При проведении самооценки соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 необходимо:
- ознакомиться с Методикой, в частности, с набором частных и групповых показателей ИБ, направлениями оценки, способом вычисления групповых показателей ИБ, способами вычисления оценок в рамках направлений и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0;
- провести определение набора частных показателей ИБ, попадающих в область самооценки;
- провести оценивание необходимых частных показателей ИБ;
- провести вычисление значений оценок групповых показателей ИБ, значений оценок в рамках направлений и итогового уровня соответствия ИБ.
4.3. Все частные показатели ИБ Методики должны быть оценены. Однако перед оцениванием частных показателей ИБ необходимо провести анализ актуальности требований ИБ, проверяемых частными показателями ИБ Методики, для основной или вспомогательной деятельности организации БС РФ. Неактуальным требование ИБ может быть признано только в том случае, если организация не занимается деятельностью, к которой данное требование ИБ имеет отношение. В этом случае соответствующие частные показатели определяются как неоцениваемые и не учитываются в формировании дальнейших результатов по самооценке.
4.4. Определение частного показателя как неоцениваемого может быть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этом необходимо выполнить процедуру пересчета коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя ИБ с сохранением степени их значимости на вычисляемое значение группового показателя ИБ.
При определении частного показателя ИБ как неоцениваемого должно быть подготовлено документально оформленное обоснование неактуальности указанного частного показателя ИБ для деятельности организации БС РФ.
4.5. Оценка частного показателя ИБ формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Методика устанавливает следующую шкалу степени выполнения проверяемых требований:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
4.6. Оценка частного показателя ИБ должна основываться на свидетельствах самооценки, в качестве основных источников которых рекомендуется использовать:
- нормативные документы проверяемой организации БС РФ и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;
- устные высказывания сотрудников проверяемой организации БС РФ в процессе проводимых опросов;
- результаты наблюдений проверяющих за деятельностью сотрудников организации БС РФ в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации БС РФ и наблюдений за деятельностью указанных сотрудников члены проверяющей группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям нормативных документов проверяемой организации БС РФ.
Полученные свидетельства самооценки ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств самооценки ИБ, пример которых приведен в приложении А. При заполнении листов для сбора свидетельств самооценки ИБ необходимо указать ссылки на соответствующие нормативные документы проверяемой организации БС РФ, результаты опроса сотрудников организации БС РФ, а также результаты наблюдений проверяющей группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена проверяющей группы соответственно.
4.7. Для выявления степени выполнения требований ИБ при проведении оценки частных показателей рекомендуется использовать следующий общий подход:
Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ
Оценка частного показателя ИБ | Критерий выставления оценки частного показателя ИБ |
0 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и не выполняются |
0 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены в нормативных документах проверяемой организации БС РФ, но не выполняются |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены в нормативных документах проверяемой организации БС РФ, но не выполняются |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,5 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,5 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме |
0,75 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме |
1 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в полном объеме |
4.8. В случае исключения всех частных показателей ИБ в пределах отдельного группового показателя ИБ необходимо исключить указанный групповой показатель ИБ из числа показателей, формирующих оценку в рамках направления, что отражается в корректировке формулы вычисления оценки в рамках направления Методики.
4.9. Для выполнения самооценки соответствия ИБ рекомендуется использовать Систему автоматизации процессов самооценки соответствия ИБ положениям и требованиям СТО БР ИББС-1.0, для чего необходимо ознакомиться с рекомендуемыми Банком России документами, содержащими общее описание и руководство пользователя указанной Системы.
4.10. По результатам проведения самооценки должен быть подготовлен отчет, содержащий:
- заполненные анкеты оценивания групповых показателей ИБ;
- документы, обосновывающие исключение частных показателей из области самооценки;
- заполненные листы для сбора свидетельств самооценки, подтверждающие выставленные оценки частных показателей ИБ;
- документы, содержащие результаты самооценки соответствия ИБ по направлениям оценки и итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0, а также круговою диаграмму оценивания групповых показателей ИБ, определенную и описанную в Методике.
4.11. Полученное по результатам самооценки значение итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0, соответствующее интервалу от 0,85 до 1 включительно, является рекомендуемым Банком России.
5. Порядок проведения самооценки информационной безопасности организаций
банковской системы Российской Федерации
В состав работ по проведению самооценки ИБ в организации БС РФ рекомендуется включать следующие этапы:
- подготовку к проведению самооценки ИБ;
- анализ документов;
- проведение самооценки ИБ на месте;
- подготовку и рассылку отчета с результатами самооценки ИБ.
5.1. Подготовка к проведению самооценки информационной безопасности
5.1.1. В рамках подготовки к проведению самооценки ИБ рекомендуется выполнить:
- формирование группы для проведения самооценки из числа сотрудников подразделения ИБ организации БС РФ;
- определение руководителя проверяющей группы;
- формирование плана проведения самооценки ИБ;
- установление ролей и обязанностей для выполнения и использования результатов самооценки ИБ;
- определение формы отчета с результатами самооценки ИБ.
5.1.2. При определении размера и состава группы для проведения самооценки ИБ (проверяющей группы) должна учитываться компетентность проверяющей группы, в основе которой лежит уровень квалификации ее участников. Если участники проверяющей группы не обладают необходимыми знаниями и опытом по специальным вопросам, то в группу включают технических экспертов. Технические эксперты должны работать под руководством участников проверяющей группы.
5.1.3. Если при рассмотрении результатов работы технического эксперта проверяющей группой выявляются существенные несоответствия между заключением эксперта и информацией (документами) проверяемого подразделения либо проверяющая группа считает, что выводы эксперта необоснованны, то проверяющей группе рекомендуется провести дополнительные процедуры, обеспечивающие проверку обоснованности заключения эксперта, или назначить другого эксперта.
5.1.4. Заключение технического эксперта рекомендуется включать в рабочие документы проверяющей группы. Если в исключительном случае технический эксперт дает устные разъяснения, то такие разъяснения должны быть отражены проверяющей группой в ее рабочих документах.
5.1.5. Использование работы технического эксперта при проведении самооценок ИБ не снимает ответственности за заключение с членов проверяющей группы.
5.1.6. В план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:
