СТО БР ИББС-1.2-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

10. Особенности оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных

10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ и формирования оценки следует использовать уточняющие вопросы, которые детализируют и конкретизируют частные показатели ИБ.

Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации".

Перечень указанных уточняющих вопросов, а также их связь с частными показателями содержится в приложении В (таблица 1 и таблица 2 соответственно).

Если в конкретной организации БС РФ отдельные требования РС БР ИББС-2.3 заменены иными требованиями, обеспечивающими эквивалентный (аналогичный) уровень безопасности персональных данных то соответствующие изменения должны быть внесены в перечень уточняющих вопросов в приложении В.

10.2. Для проведения оценки соответствия ИБ в части информационных систем персональных данных необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы приложения В. Для этого необходимо:

- на основании ссылок на частный показатель, приведенных в приложении В, и в соответствии с классом информационной системы персональных данных составить перечень вопросов, соответствующих оцениваемому частному показателю (или воспользоваться таблицей соответствия частных показателей и вопросов, приведенной в приложении В);

- провести оценивание вопросов приложения В из перечня вопросов, соответствующих оцениваемому частному показателю;

- провести оценивание частного показателя настоящего стандарта, используя в том числе оценки для вопросов приложения В.

10.3. Оценка вопросов приложения В формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Устанавливается следующая шкала степени выполнения проверяемых требований:

- "Выполняется в полном объеме";

- "Выполняется не в полном объеме";

- "Не выполняется".

Оценка вопросов приложения В должна основываться на свидетельствах аудита ИБ, приведенных в п.6.11 настоящего стандарта.

10.4. Оценивание частных показателей следует проводить в соответствии с рекомендуемыми критериями выставления оценок частных показателей информационной безопасности, определенными в п.6.7 настоящего стандарта.

Оценивание всех вопросов из составленного перечня вопросов приложения В является необходимым для оценивания частного показателя.

При проведении оценивания частных показателей следует использовать следующий общий подход: