Присоединяйтесь!
Зарегистрированных пользователей портала: 508 092. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"СТАНДАРТ БАНКА РОССИИ "МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2008" СТО БР ИББС-1.2-2009" (утв. Распоряжением ЦБ РФ от 07.05.2009 N Р-496)

Дата документа07.05.2009
Статус документаДействует
МеткиСтандарт

    

СТАНДАРТ БАНКА РОССИИ

СТО БР ИББС-1.2-2009

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2008

Дата введения: 2009-06-01

Предисловие

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Обозначения и сокращения

5. Общие положения

6. Показатели информационной безопасности. Способы оценивания показателей

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации

8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации

9. Оценка уровня осознания информационной безопасности организации банковской системы Российской Федерации

10. Определение уровня соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Отображение оценок

Приложение A
(обязательное)

    

ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Групповой показатель М1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Оценка частного показателя ИБ Коэффициент значимости частного показателя ИБ Вычисленное значение показателя ИБ
0 0,25 0,5 0,75 1 н/о
М1.1 Определены ли в документах организации роли ее работников? обязательный             0,0581  
М1.2 Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ, на основании требований разделов 7 и 8 стандарта СТО БР ИББС-1.0? обязательный             0,0291  
М1.3 Персонифицированы ли роли в организации с установлением ответственности за их выполнение? обязательный             0,0502  
М1.4 Зафиксирована ли документально в должностных инструкциях ответственность за выполнение ролей? обязательный             0,0461  
М1.5 Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождения системы/ПО? рекомендуемый //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0522  
М1.6 Отсутствуют ли в организации роли, совмещающие функции разработки и эксплуатации системы/ПО? рекомендуемый //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0610  
М1.7 Отсутствуют ли в организации роли, совмещающие функции сопровождения и эксплуатации? рекомендуемый //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0522  
М1.8 Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности? рекомендуемый //// //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0661  
М1.9 Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения? рекомендуемый //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0661  
М1.10 Определены ли документально в организации и выполняются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации? обязательный             0,1001  
М1.11 Определены ли в документах организации процедуры приема на работу, влияющую на обеспечение ИБ, включающие: обязательный             0,0513  
  - проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических навыков;                  
  - проверку в части профессиональных навыков и оценку профессиональной пригодности?                  
М1.12 Предусматривают ли указанные в частном показателе М1.11 процедуры документальную фиксацию результатов проводимых проверок? обязательный             0,0371  
М1.13 Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников? рекомендуемый //// //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0302  
М1.14 Предусматривают ли указанные в частном показателе М1.13 процедуры документальную фиксацию результатов проводимых проверок? рекомендуемый //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0302 P
М1.15 Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии? рекомендуемый //// //// //// //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0433  
М1.16 Предусматривают ли указанные в частном показателе М1.15 процедуры документальную фиксацию результатов проводимых проверок? рекомендуемый //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0391  
М1.17 Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов? обязательный             0,0383  
М1.18 Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ? обязательный             0,0449  
М1.19 Определены ли в трудовых контрактах (соглашениях, договорах) и (или) должностных инструкциях обязанности персонала по выполнению требований ИБ? обязательный             0,0582  
М1.20 Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных обязанностей и приводит ли как минимум к дисциплинарной ответственности? обязательный             0,0462  
Итоговая оценка группового показателя М1  

 
 

Групповой показатель М2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"

Обозначение частного показателя ИБ Частный показатель ИБ Обязательность выполнения Оценка частного показателя ИБ Коэффициент значимости частного показателя ИБ Вычисленное значение показателя ИБ
0 0,25 0,5 0,75 1 н/о
М2.1 Рассматриваются ли при формировании требований ИБ следующие стадии модели ЖЦ АБС: рекомендуемый //// //// //// //// //// //// //// //// //// //// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// ///// /////     0,0504  
  - разработка технических заданий;    
  - проектирование;    
  - создание и тестирование;    
  - приемка и ввод в действие;    

Ведется подготовка документа. Ожидайте