Присоединяйтесь!
Зарегистрированных пользователей портала: 508 049. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006. СТО БР ИББС-1.2-2007" (утв. Распоряжением ЦБ РФ от 28.04.2007 N Р-346)

Дата документа28.04.2007
Статус документаНе действует
МеткиМетодика · Распоряжение

    

СТАНДАРТ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006

СТО БР ИББС-1.2-2007

Дата введения: 2007-05-01

Предисловие

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Обозначения и сокращения

5. Общие положения

6. Показатели информационной безопасности. Способы оценивания показателей

Таблица 1.

Рекомендуемые критерии выставления оценок частных показателей ИБ

Оценка частного показателя ИБ Критерий выставления оценки частного показателя ИБ
0 Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и не выполняются
0 Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены в нормативных документах проверяемой организации БС РФ, но не выполняются
0,25 Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены в нормативных документах проверяемой организации БС РФ, но не выполняются
0,25 Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,25 Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,5 Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,5 Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме
0,75 Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме
1 Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в полном объеме

 
    6.4. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:
    - внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;
    - устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
    - результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
    В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации БС РФ.
    Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена аудиторской группы соответственно.
    6.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j, определяющих важность частного показателя для оценивания группового показателя:
    

EV   = SUM
j
альфа   x EV   .
Mi i.j Mi.j
               

    
    При формировании коэффициентов значимости учитывалось следующее условие нормировки:
 

k
SUM
j=1
     
альфа   = 1,
i.j
     

 
    где k - число частных показателей в i-ом групповом показателе.
    Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
 

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации

Таблица 2.

Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0

Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС-1.0
M1 Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу п. 8.2.2
M2 Обеспечение ИБ автоматизированных банковских систем на стадиях жизненного цикла п. 8.2.3
M3 Обеспечение ИБ при управлении доступом и регистрации п. 8.2.4
M4 Обеспечение ИБ средствами антивирусной защиты п. 8.2.5
M5 Обеспечение ИБ при использовании ресурсов сети Интернет п. 8.2.6
M6 Обеспечение ИБ при использовании средств криптографической защиты информации п. 8.2.7
M7 Выполнение правил обеспечения ИБ банковских платежных технологических процессов п. 8.2.8
M8 Выполнение правил обеспечения ИБ банковских информационных технологических процессов п. 8.2.9

 
    7.3. Частные показатели текущего уровня ИБ отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели текущего уровня ИБ (показатели M1 - M8) и метрики приведены в приложении А.
    7.4. Оценка частного показателя ИБ (EV_Mi.j) определяется посредством экспертного оценивания. Для принятия решения следует проводить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ, то оценке EV_Mi.j присваивается значение, равное нулю.
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ, то оценка EV_Mi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ).
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ, то оценке EV_Mi.j присваивается значение, равное единице.
    7.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j:
 

EV   = SUM
j
альфа   x EV   ,
Mi i.j Mi.j
               

 
    где j = 1 N_i;
    N_i - количество частных показателей ИБ, входящих в групповой показатель M_i;
    i = 1 - 8.
    Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
    7.6. Оценивание частных показателей в рамках групповых показателей M1 - M6 необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 применительно к организации БС РФ в целом, включая банковский платежный технологический процесс и банковский информационный технологический процесс.
    7.7. Оценки EV_Mi.j и EV_Mi, полученные в результате оценивания групповых показателей ИБ M1 - M8, вносятся в соответствующие графы представленных в приложении А форм.
    7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ организации БС РФ, определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.
    7.9. Оценка уровня ИБ банковского платежного технологического процесса вычисляется по формуле:
 

    SUM
i
EV   + EV    
      Mi M7  
EV   =         , i = 1 6.
БПТП 7

    
    Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:
 

    SUM
i
EV   + EV    
      Mi M8  
EV   =         , i = 1 6.
БИТП 7

 
    7.10. Оценки EV_Mi, полученные в результате оценивания групповых показателей ИБ M1 - M8, отображаются на круговой диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
    7.11. Оценка EV1 отображается на круговой диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.
 

8. Оценка процессов системы менеджмента информационной безопасности организации банковской системы Российской Федерации

Таблица 3.

Соответствие групповых показателей ИБ процессам СМИБ, представленным в СТО БР ИББС-1.0

Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС-1.0
Планирование СМИБ
M9 Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ элемент перечисления а) раздела 9.1
M10 Анализ и оценка рисков ИБ, варианты обработки рисков ИБ элемент перечисления б) раздела 9.1
M11 Определение/уточнение политики ИБ организации БС РФ элемент перечисления в) раздела 9.1
M12 Выбор/уточнение целей ИБ и защитных мер элемент перечисления г) раздела 9.1
M13 Принятие руководством организации БС РФ остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ элемент перечисления д) раздела 9.1, раздел 9.7
Реализация и эксплуатация СМИБ
M14 Разработка плана обработки рисков ИБ элемент перечисления а) раздела 9.2
M15 Реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ элемент перечисления б) раздела 9.2
M16 Реализация программ по обучению и осведомлению ИБ элемент перечисления в) раздела 9.2
M17 Обнаружение и реагирование на инциденты безопасности элемент перечисления г) раздела 9.2
M18 Обеспечение непрерывности бизнеса и восстановления после прерываний элемент перечисления д) раздела 9.2, раздел 9.6
Проверка (мониторинг и анализ) СМИБ
M19 Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ элемент перечисления а) раздела 9.3, раздел 10.9
M20 Анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ элемент перечисления б) раздела 9.3
M21 Внутренний аудит СМИБ элемент перечисления в) раздела 9.3, раздел 10
M22 Анализ СМИБ со стороны высшего руководства элемент перечисления г) раздела 9.3
M23 Внешний аудит СМИБ элемент перечисления д) раздела 9.3, раздел 10
Совершенствование СМИБ
M24 Реализация тактических улучшений в СМИБ элемент перечисления а) раздела 9.4
M25 Реализация стратегических улучшений СМИБ. Использование опыта элемент перечисления б) раздела 9.4
M26 Информирование об изменениях и их согласование с заинтересованными сторонами элемент перечисления в) раздела 9.4
M27 Оценка достижения поставленных целей элемент перечисления г) раздела 9.4

 
    8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" (показатели M9 M27) и метрики приведены в приложении А.
    8.4. Оценка частного показателя ИБ (EV_Mi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ (отсутствии процессов менеджмента), то оценке EV_Mi.j присваивается значение, равное нулю.
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ (частичной реализации процессов менеджмента), то оценка EV_Mi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ или реализации процессов менеджмента).
    Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ (реализации процессов менеджмента), то оценке EV_Mi.j присваивается значение, равное единице.
    8.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j:
 

EV   = SUM
j
альфа   x EV   ,
Mi i.j Mi.j
               

 

Ведется подготовка документа. Ожидайте