СТО БР ИББС-1.2-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006 (утратил силу с 01.06.2009)
Таблица 2. Соответствие групповых показателей ИБ совокупности требований ИБ
к областям, определенным в разделе 8 СТО БР ИББС-1.0
Обозначение группового показателя ИБ | Наименование группового показателя ИБ | Структурный элемент СТО БР ИББС-1.0 |
М1 | Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу | п.8.2.2 |
М2 | Обеспечение ИБ автоматизированных банковских систем на стадиях жизненного цикла | п.8.2.3 |
М3 | Обеспечение ИБ при управлении доступом и регистрации | п.8.2.4 |
М4 | Обеспечение ИБ средствами антивирусной защиты | п.8.2.5 |
М5 | Обеспечение ИБ при использовании ресурсов сети Интернет | п.8.2.6 |
М6 | Обеспечение ИБ при использовании средств криптографической защиты информации | п.8.2.7 |
М7 | Выполнение правил обеспечения ИБ банковских платежных технологических процессов | п.8.2.8 |
М8 | Выполнение правил обеспечения ИБ банковских информационных технологических процессов | п.8.2.9 |
7.3. Частные показатели текущего уровня ИБ отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели текущего уровня ИБ (показатели М1М8) и метрики приведены в приложении А.
7.4. Оценка частного показателя ИБ (EV) определяется посредством экспертного оценивания. Для принятия решения следует проводить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.
Если в результате оценивания частного показателя M аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ, то оценке EV
присваивается значение, равное нулю.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ, то оценка EVпо решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ).
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ, то оценке EVприсваивается значение, равное единице.
7.5. Оценка группового показателя (EV) вычисляется из оценок входящих в него частных показателей (EV
) с учетом коэффициентов значимости
:
где j = 1N
;
N - количество частных показателей ИБ, входящих в групповой показатель M
;
i = 18.
Коэффициенты значимости для каждого частного показателя приведены в приложении А.
7.6. Оценивание частных показателей в рамках групповых показателей М1М6 необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 применительно к организации БС РФ в целом, включая банковский платежный технологический процесс и банковский информационный технологический процесс
.
7.7. Оценки EVи EV
, полученные в результате оценивания групповых показателей ИБ М1
М8, вносятся в соответствующие графы представленных в приложении А форм.
7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ организации БС РФ, определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.
7.9. Оценка уровня ИБ банковского платежного технологического процесса вычисляется по формуле:
Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:
