Недействующий

     

СТАНДАРТ БАНКА РОССИИ  

     

СТО БР ИББС-1.2-2009

     
Обеспечение информационной безопасности организаций банковской системы Российской Федерации

     
Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008     

____________________________________________________________________
Утратило силу на основании
распоряжения Банка России от 21 июня 2010 года N Р-705
____________________________________________________________________

     

Дата введения: 2009-06-01

     

Предисловие

     
1. Принят и введен в действие
Распоряжением Банка России
от 7 мая 2009 года N Р-496.

2. Взамен СТО БР ИББС-1.2-2007.



Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение


Стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.

Настоящий стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008), а также итогового уровня соответствия ИБ требованиям стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008) при проведении внутренней и (или) внешней оценки и самооценки ИБ.

СТАНДАРТ БАНКА РОССИИ

Обеспечение информационной безопасности организаций банковской системы Российской Федерации

Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008

     
Дата введения: 2009-06-01

     

1. Область применения


Настоящая методика распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008, далее - СТО БР ИББС-1.0).

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок ИБ.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.

2. Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на СТО БР ИББС-1.0.

3. Термины и определения


В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" (СТО БР ИББС-1.1-2007), а также следующие термины с соответствующими определениями.

3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.

3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0.

3.3. Проверяемая организация: Организация БС РФ, информационная безопасность которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.

4. Обозначения и сокращения


АБС - автоматизированная банковская система;

БС - банковская система;

ЖЦ - жизненный цикл;

ИБ - информационная безопасность;

НСД - несанкционированный доступ;

НРД - нерегламентированные действия в рамках предоставленных полномочий;

РФ - Российская Федерация;

СКЗИ - средство криптографической защиты информации;

СМИБ - система менеджмента информационной безопасности;

СИБ - система информационной безопасности;

СОИБ - система обеспечения информационной безопасности;

ЭВМ - электронная вычислительная машина;

ЭЦП - электронная цифровая подпись;

- коэффициент значимости частного показателя;

EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";

EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";

EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";

EV - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

EV - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

EV - оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;

EV - оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;

i - номер группового показателя;

j - номер частного показателя;

Mi.j  - обозначение частного показателя;

R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

5. Общие положения

5.1. Целью настоящей методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ (далее - организации) требованиям СТО БР ИББС-1.0 по направлениям оценки:

- текущий уровень ИБ организации;

- менеджмент ИБ организации;

- уровень осознания ИБ организации.

5.2. Задачами настоящей методики являются:

- определение состава показателей ИБ и способов их оценивания;

- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;

- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;

- определение итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.

6. Показатели информационной безопасности. Способы оценивания показателей

6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей (EV) используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (EV), которые затем формируют оценки EV групповых показателей.

Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.

6.2. Частные показатели разделены на две категории. Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах приложения А.

6.3. Способ оценивания частного показателя зависит от его принадлежности к одной из категорий, определенных в п.6.2 настоящей методики.

6.4. Оценка EV частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.

Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм.

6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.

6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:

- "да" - оценке присваивается значение, равное единице;

- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.

6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход:

Таблица 1 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ

Оценка частного показателя ИБ

Критерий выставления оценки частного показателя ИБ

0

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и не выполняются

0

Требования частного показателя ИБ частично установлены в нормативных документах проверяемой организации, но не выполняются

0,25

Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой организации, но не выполняются

0,25

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,25

Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5

Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5

Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

0,75

Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

1

Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в полном объеме

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»