СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.2-2010
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх
____________________________________________________________________
Утратил силу в связи с отменой с 1 июня 2014 года
распоряжения Банка России от 21 июня 2010 года N Р-705 на основании
распоряжения Банка России от 17 мая 2014 года N Р-399
____________________________________________________________________
Дата введения: 2010-06-21
Предисловие
1. ПРИНЯТ и ВВЕДЕН в действие распоряжением Банка России от 21 июня 2010 года N Р-705.
2. ВЗАМЕН СТО БР ИББС-1.2-2009.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России СТО БР ИББС-1.0-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", а также итогового уровня соответствия ИБ требованиям Стандарта Банка России СТО БР ИББС-1.0-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" при проведении внутренней и (или) внешней оценки и самооценки ИБ.
1. Область применения
Настоящая методика распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями Стандарта Банка России СТО БР ИББС-1.0-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0).
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок ИБ.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности", а также следующие термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ, информационная безопасность которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ИСПДн - информационные системы персональных данных;
НСД - несанкционированный доступ;
НРД - нерегламентированные действия в рамках предоставленных полномочий;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
СИБ - система информационной безопасности;
СОИБ - система обеспечения информационной безопасности;
ЭВМ - электронная вычислительная машина;
ЭЦП - электронная цифровая подпись;
- коэффициент значимости частного показателя;
EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";
EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";
- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;
- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;
- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;
- оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;
- оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;
i - номер группового показателя;
j - номер частного показателя;
Mij - обозначение частного показателя;
R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
5. Общие положения
5.1. Целью настоящей методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ (далее - организации) требованиям СТО БР ИББС-1.0 по направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности. Способы оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей (
) используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (
), которые затем формируют оценки 
групповых показателей.
Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах приложения А.
6.3. Способ оценивания частного показателя зависит от его принадлежности к одной из категорий, определенных в п.6.2 настоящей методики.
6.4. Оценка 
частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением символа, например, "X", в соответствующую графу представленных в приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход:
Таблица 1 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ
Оценка | Критерий выставления оценки частного показателя ИБ |
0 | Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и не выполняются |
0 | Требования частного показателя ИБ частично установлены в нормативных документах проверяемой организации, но не выполняются |
0,25 | Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой организации, но не выполняются |
0,25 | Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме |
0,25 | Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме |
0,5 | Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме |
0,5 | Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме |
0,75 | Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме |
1 | Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в полном объеме |
