Действующий

СТО БР ИББС-1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности

8. Проведение самооценки информационной безопасности

8.1. Хорошей практикой проверки уровня ИБ и подготовки к аудиту ИБ организации БС РФ является самооценка ИБ. Самооценка ИБ проводится на основе принятых в организации БС РФ документов и методик.

С помощью самооценки ИБ организации БС РФ могут самостоятельно оценить соответствие ИБ критериям аудита и провести анализ недостатков системы обеспечения ИБ организации БС РФ.

Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации БС РФ.

8.2. Самооценка ИБ может проводиться в рамках программы аудита ИБ, разработанной в организации БС РФ.

8.3. Результаты самооценки ИБ не могут служить декларацией о соответствии критериям аудита ИБ.

8.4. Работы по проведению самооценки ИБ организаций БС РФ должны включать следующие этапы:

- формирование группы по организации самооценки ИБ, по сбору и анализу данных самооценки ИБ;

- проведение самооценки ИБ;

- формирование результатов самооценки ИБ и информирование руководства организации БС РФ о результатах проведенной самооценки ИБ.

8.5. Самооценка ИБ должна проводиться сотрудниками организации БС РФ, принимающими непосредственное участие в деятельности по обеспечению ИБ. Как правило, это должны быть сотрудники службы ИБ.

8.6. Результаты самооценки должны быть проанализированы руководством организации БС РФ для понимания существующих в организации БС РФ проблем ИБ и определения мер по их решению.