СТО БР ИББС-1.2-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

6. Показатели информационной безопасности. Способы оценивания показателей

6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей () используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (), которые затем формируют оценки групповых показателей.

Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.

6.2. Частные показатели разделены на две категории. Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах приложения А.

6.3. Способ оценивания частного показателя зависит от его принадлежности к одной из категорий, определенных в п.6.2 настоящей методики.

6.4. Оценка частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.

Оценивание частного показателя должно сопровождаться внесением символа, например, "X", в соответствующую графу представленных в приложении А форм.

6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.

6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:

- "да" - оценке присваивается значение, равное единице;

- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.

6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход: