СТАНДАРТ БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006
СТО БР ИББС-1.2-2007
Дата введения: 2007-05-01
Предисловие
1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 28 апреля 2007 года N Р-346.
2. ВВЕДЕН ВПЕРВЫЕ.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени выполнения требований СТО БР ИББС-1.0, а также итогового уровня соответствия ИБ требованиям СТО БР ИББС-1.0 при проведении внутренней и (или) внешней оценки и самооценки ИБ.
1. Область применения
Настоящая методика распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями СТО БР ИББС-1.0.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности", а также следующие термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ, информационная безопасность которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ЛВС - локальная вычислительная сеть;
НСД - несанкционированный доступ;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
ЭВМ - электронная вычислительная машина;
альфа_i.j - коэффициент значимости частного показателя;
EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";
EV2_ПЛ - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих процессы планирования СМИБ;
EV2_ПР - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих процессы проверки СМИБ;
EV2_Р - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих процессы реализации и эксплуатации СМИБ;
EV2_С - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих процессы совершенствования СМИБ;
EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";
EV_БИТП - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;
EV_БПТП - оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;
EV_Mi - оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;
EV_Mi.j - оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;
i - номер группового показателя;
j - номер частного показателя;
Mi.j - обозначение частного показателя;
R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
5. Общие положения
5.1. Целью настоящей методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации БС РФ с помощью установления степени выполнения требований, определенных в разделе 9 СТО БР ИББС-1.0;
- определение способа оценивания уровня осознания ИБ организации БС РФ с помощью установления степени выполнения принципов, определенных в разделе 6 СТО БР ИББС-1.0;
- определения итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности. Способы оценивания показателей
6.1. Для оценки степени соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ, менеджмента и уровня осознания ИБ. Оценки групповых показателей (EV_Mi) используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (EV_Mi.j), которые затем формируют оценки EV_Mi групповых показателей.
Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.
6.2. Все частные показатели должны быть оценены. Оценка EV_Mi.j частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания. Устанавливается следующая шкала степени выполнения требований:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм. Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации БС РФ, что документально зафиксировано, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. Определение частного показателя как неоцениваемого может быть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этом необходимо выполнить процедуру перенормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.3. Для выявления степени выполнения требований ИБ при проведении оценки частных показателей рекомендуется использовать следующий общий подход:
Таблица 1.
Рекомендуемые критерии выставления оценок частных показателей ИБ
Оценка частного показателя ИБ | Критерий выставления оценки частного показателя ИБ |
0 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и не выполняются |
0 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены в нормативных документах проверяемой организации БС РФ, но не выполняются |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены в нормативных документах проверяемой организации БС РФ, но не выполняются |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,25 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,5 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме |
0,5 | Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме |
0,75 | Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме |
1 | Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в полном объеме |
6.4. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации БС РФ.
Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена аудиторской группы соответственно.
6.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j, определяющих важность частного показателя для оценивания группового показателя:
EV | | = | SUM j | альфа | | x EV | | . |
Mi | i.j | Mi.j |
| | | | | | | |
При формировании коэффициентов значимости учитывалось следующее условие нормировки:
где k - число частных показателей в i-ом групповом показателе.
Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации
7.1. Текущий уровень ИБ организации БС РФ определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- назначение и распределение ролей, обеспечение доверия к персоналу;
- стадии жизненного цикла автоматизированных банковских систем;
- управление доступом и регистрация;
- антивирусная защита;
- использование ресурсов сети Интернет;
- использование средств криптографической защиты информации;
- банковские платежные технологические процессы;
- банковские информационные технологические процессы.
7.2. Групповые показатели текущего уровня ИБ отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 2 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 2.
Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0
Обозначение группового показателя ИБ | Наименование группового показателя ИБ | Структурный элемент СТО БР ИББС-1.0 |
M1 | Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу | п. 8.2.2 |
M2 | Обеспечение ИБ автоматизированных банковских систем на стадиях жизненного цикла | п. 8.2.3 |
M3 | Обеспечение ИБ при управлении доступом и регистрации | п. 8.2.4 |
M4 | Обеспечение ИБ средствами антивирусной защиты | п. 8.2.5 |
M5 | Обеспечение ИБ при использовании ресурсов сети Интернет | п. 8.2.6 |
M6 | Обеспечение ИБ при использовании средств криптографической защиты информации | п. 8.2.7 |
M7 | Выполнение правил обеспечения ИБ банковских платежных технологических процессов | п. 8.2.8 |
M8 | Выполнение правил обеспечения ИБ банковских информационных технологических процессов | п. 8.2.9 |
7.3. Частные показатели текущего уровня ИБ отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели текущего уровня ИБ (показатели M1 - M8) и метрики приведены в приложении А.
7.4. Оценка частного показателя ИБ (EV_Mi.j) определяется посредством экспертного оценивания. Для принятия решения следует проводить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ, то оценке EV_Mi.j присваивается значение, равное нулю.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ, то оценка EV_Mi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ).
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ, то оценке EV_Mi.j присваивается значение, равное единице.
7.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j:
EV | | = | SUM j | альфа | | x EV | | , |
Mi | i.j | Mi.j |
| | | | | | | |
где j = 1 N_i;
N_i - количество частных показателей ИБ, входящих в групповой показатель M_i;
i = 1 - 8.
Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
7.6. Оценивание частных показателей в рамках групповых показателей M1 - M6 необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 применительно к организации БС РФ в целом, включая банковский платежный технологический процесс и банковский информационный технологический процесс.
7.7. Оценки EV_Mi.j и EV_Mi, полученные в результате оценивания групповых показателей ИБ M1 - M8, вносятся в соответствующие графы представленных в приложении А форм.
7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ организации БС РФ, определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.
7.9. Оценка уровня ИБ банковского платежного технологического процесса вычисляется по формуле:
| | | SUM i | EV | | + EV | | |
| | | Mi | M7 | |
EV | | = | | | | | , i = 1 6. |
БПТП | 7 |
Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:
| | | SUM i | EV | | + EV | | |
| | | Mi | M8 | |
EV | | = | | | | | , i = 1 6. |
БИТП | 7 |
7.10. Оценки EV_Mi, полученные в результате оценивания групповых показателей ИБ M1 - M8, отображаются на круговой диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
7.11. Оценка EV1 отображается на круговой диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.
8. Оценка процессов системы менеджмента информационной безопасности организации банковской системы Российской Федерации
8.1. Групповые показатели по направлению оценки "менеджмент ИБ организации" оцениваются по стадиям циклической модели менеджмента ИБ. Групповые показатели M9 - M13 предназначены для оценки процессов планирования системы менеджмента ИБ (СМИБ). Групповые показатели M14 - M18 предназначены для оценки процессов реализации СМИБ. Групповые показатели M19 - M23 предназначены для оценки процессов проверки СМИБ. Групповые показатели M24 - M27 предназначены для оценки процессов совершенствования СМИБ.
8.2. Таблица 3 отражает соответствие между структурными элементами СТО БР ИББС-1.0 и групповыми показателями ИБ, предназначенными для оценивания процессов менеджмента ИБ. Наименования групповых показателей соответствуют наименованиям процессов СМИБ организации БС РФ, установленных в СТО БР ИББС-1.0.
Таблица 3.
Соответствие групповых показателей ИБ процессам СМИБ, представленным в СТО БР ИББС-1.0
Обозначение группового показателя ИБ | Наименование группового показателя ИБ | Структурный элемент СТО БР ИББС-1.0 |
Планирование СМИБ |
M9 | Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ | элемент перечисления а) раздела 9.1 |
M10 | Анализ и оценка рисков ИБ, варианты обработки рисков ИБ | элемент перечисления б) раздела 9.1 |
M11 | Определение/уточнение политики ИБ организации БС РФ | элемент перечисления в) раздела 9.1 |
M12 | Выбор/уточнение целей ИБ и защитных мер | элемент перечисления г) раздела 9.1 |
M13 | Принятие руководством организации БС РФ остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ | элемент перечисления д) раздела 9.1, раздел 9.7 |
Реализация и эксплуатация СМИБ |
M14 | Разработка плана обработки рисков ИБ | элемент перечисления а) раздела 9.2 |
M15 | Реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ | элемент перечисления б) раздела 9.2 |
M16 | Реализация программ по обучению и осведомлению ИБ | элемент перечисления в) раздела 9.2 |
M17 | Обнаружение и реагирование на инциденты безопасности | элемент перечисления г) раздела 9.2 |
M18 | Обеспечение непрерывности бизнеса и восстановления после прерываний | элемент перечисления д) раздела 9.2, раздел 9.6 |
Проверка (мониторинг и анализ) СМИБ |
M19 | Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ | элемент перечисления а) раздела 9.3, раздел 10.9 |
M20 | Анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ | элемент перечисления б) раздела 9.3 |
M21 | Внутренний аудит СМИБ | элемент перечисления в) раздела 9.3, раздел 10 |
M22 | Анализ СМИБ со стороны высшего руководства | элемент перечисления г) раздела 9.3 |
M23 | Внешний аудит СМИБ | элемент перечисления д) раздела 9.3, раздел 10 |
Совершенствование СМИБ |
M24 | Реализация тактических улучшений в СМИБ | элемент перечисления а) раздела 9.4 |
M25 | Реализация стратегических улучшений СМИБ. Использование опыта | элемент перечисления б) раздела 9.4 |
M26 | Информирование об изменениях и их согласование с заинтересованными сторонами | элемент перечисления в) раздела 9.4 |
M27 | Оценка достижения поставленных целей | элемент перечисления г) раздела 9.4 |
8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" (показатели M9 M27) и метрики приведены в приложении А.
8.4. Оценка частного показателя ИБ (EV_Mi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ (отсутствии процессов менеджмента), то оценке EV_Mi.j присваивается значение, равное нулю.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ (частичной реализации процессов менеджмента), то оценка EV_Mi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ или реализации процессов менеджмента).
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ (реализации процессов менеджмента), то оценке EV_Mi.j присваивается значение, равное единице.
8.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j:
EV | | = | SUM j | альфа | | x EV | | , |
Mi | i.j | Mi.j |
| | | | | | | |
где j = 1 Ni;
Ni - количество частных показателей ИБ, представляющих групповой показатель Mi;
i = 9 27.
Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
8.6. Оценки EV_Mi.j и EV_Mi, полученные в результате оценивания групповых показателей ИБ M9 - M27, вносятся в соответствующие графы представленных в приложении А форм.
8.7. Оценка EV2_ПЛ, определяющая уровень процессов планирования СМИБ организации БС РФ, вычисляется по формуле:
| | | 13 SUM i=9 | | | |
| | | EV | | |
| | | Mi | |
EV2 | | = | | | . |
ПЛ | 5 |
8.8. Оценка EV2_Р, определяющая уровень процессов реализации и эксплуатации СМИБ организации БС РФ, вычисляется по формуле:
| | | 18 SUM i=14 | | | |
| | | EV | | |
| | | Mi | |
EV2 | | = | | | . |
Р | 5 |
8.9. Оценка EV2_ПР, определяющая уровень процессов проверки СМИБ организации БС РФ, вычисляется по формуле:
| | | 23 SUM i=19 | | | |
| | | EV | | |
| | | Mi | |
EV2 | | = | | | . |
ПР | 5 |
8.10. Оценка EV2_С, определяющая уровень процессов совершенствования СМИБ организации БС РФ, вычисляется по формуле:
| | | 27 SUM i=24 | | | |
| | | EV | | |
| | | Mi | |
EV2 | | = | | | . |
С | 4 |
8.11. Итоговая оценка EV2, отражающая уровень процессов СМИБ организации БС РФ, определяется по наименьшему значению из оценок EV2_ПЛ, EV2_Р, EV2_ПР и EV2_С.
8.12. Оценки EV_Mi, полученные в результате оценивания групповых показателей ИБ M9 - M27, отображаются на круговой . диаграмме (см. раздел 10) в секторах с 9-го по 27-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
8.13. Оценка EV2 отображается на круговой диаграмме (см. раздел 10) в секторах с 9-го по 27-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.
9. Оценка уровня осознания информационной безопасности организации банковской системы Российской Федерации
9.1. Уровень осознания ИБ организации БС РФ определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения (соблюдения) общих и специальных принципов обеспечения ИБ организации БС РФ, определенных в разделе 6 СТО БР ИББС-1.0:
- своевременность обнаружения проблем;
- прогнозируемость развития проблем;
- оценка влияния проблем на бизнес-цели;
- адекватность защитных мер;
- эффективность защитных мер;
- использование опыта при принятии и реализации решений;
- непрерывность принципов безопасного функционирования;
- контролируемость защитных мер;
- определенность целей;
- знание своих клиентов и служащих;
- персонификация и адекватное разделение ролей и ответственности;
- адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки;
- доступность услуг и сервисов;
- наблюдаемость и оцениваемость обеспечения ИБ.
9.2. Групповые показатели M28 M32 предназначены для оценки уровня осознания ИБ. Они отражают общие принципы безопасного функционирования и специальные принципы обеспечения ИБ организации БС РФ, определенные в разделе 6 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими принципы ИБ, и групповыми показателями ИБ, предназначенными для оценивания уровня осознания ИБ.
Таблица 4.
Соответствие групповых показателей ИБ общим и специальным принципам БР ИББС-1.0
Обозначение группового показателя ИБ | Наименование группового показателя ИБ | Структурный элемент СТО БР ИББС-1.0 |
M28 | Своевременность обнаружения проблем, прогноз развития проблем ИБ и оценка их влияния на бизнес-цели организации БС РФ | пункты 6.1.1, 6.1.2, 6.1.3 |
M29 | Определенность целей, адекватность выбора защитных мер, их эффективность и контролируемость | пункты 6.1.4, 6.1.5, 6.1.8, 6.2.1 |
M30 | Непрерывность обеспечения ИБ и использование опыта при принятии и реализации решений | пункты 6.1.6, 6.1.7 |
M31 | Знание своих клиентов и служащих, персонификация и адекватное разделение ролей и ответственности, адекватность ролей функциям и процедурам | пункты 6.2.2, 6.2.3, 6.2.4 |
M32 | Доступность услуг и сервисов, наблюдаемость и оцениваемость обеспечения ИБ | пункты 6.2.5, 6.2.6 |
9.3. Частные показатели ИБ по направлению оценки "уровень осознания ИБ организации" дают возможность определить степень реализации общих принципов безопасного функционирования организации БС РФ и специальных принципов обеспечения ИБ организации БС РФ. Частные показатели по направлению оценки "уровень осознания ИБ организации" (показатели M28 M32) и метрики приведены в приложении А.
9.4. Оценка частных показателей ИБ (EV_Mi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативно-распорядительных и других документов организации БС РФ, имеющих отношение к общим принципам безопасного функционирования и специальным принципам обеспечения ИБ, определенным в разделе 6 СТО БР ИББС-1.0, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью организации БС РФ по выполнению общих принципов безопасного функционирования и специальных принципов обеспечения ИБ организации БС РФ.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих принципов, то оценке EV_Mi.j присваивается значение, равное нулю.
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих принципов, то оценка EV_Mi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения принципов соответствующих принципов ИБ).
Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих принципов, то оценке EV_Mi.j присваивается значение, равное единице.
9.5. Оценка группового показателя (EV_Mi) вычисляется из оценок входящих в него частных показателей (EV_Mi.j) с учетом коэффициентов значимости альфа_i.j:
EV | | = | SUM j | альфа | | x EV | | , |
Mi | i.j | Mi.j |
| | | | | | | |
где j = 1 N_i;
N_i - количество частных показателей ИБ, представляющих групповой показатель Mi;
i = 28 32.
Коэффициенты значимости альфа_i.j для каждого частного показателя приведены в приложении А.
9.6. Оценки EV_Mi.j и EV_Mi, полученные в результате оценивания групповых показателей ИБ M28 - M32, вносятся в соответствующие графы представленных в приложении А форм.
9.7. Итоговая оценка EV3, отражающая уровень осознания ИБ для деятельности организации БС РФ, вычисляется по формуле:
9.8. Оценки EV_Mi, полученные в результате оценивания групповых показателей ИБ M28 - M32, отображаются на круговой диаграмме (см. раздел 10) в секторах с 28-го по 32-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
9.9. Оценка EV3 отображается на круговой диаграмме (см. раздел 10) в секторах с 28-го по 32-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV3.
10. Определение уровня соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Отображение оценок
10.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
10.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:
- оценки уровня осознания ИБ организации (EV3);
- оценки менеджмента ИБ организации (EV2);
- оценки текущего уровня ИБ организации (EV1).
10.3. Полученное в результате оценки соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.
10.4. Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.
Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.
10.5. Рисунок 1 представляет из себя круговую диаграмму для отображения результатов оценивания.
Рисунок 1. Круговая диаграмма для отображения результатов оценивания (не приводится)
Секторы с 1-го по 8-й используются для отображения оценки текущего уровня ИБ организации БС РФ.
Секторы с 9-го по 27-й используются для отображения оценки процессов менеджмента ИБ организации БС РФ.
Секторы с 28-го по 32-й используются для отображения оценки уровня осознания ИБ организации БС РФ.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.
Нулевому уровню соответствуют круг до окружности радиусом 0,25.
Приложение A
(обязательное)
ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Групповой показатель M1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M1.1 | Определены ли роли персонала организации БС РФ (далее - организации)? | | | | | | | 0,09 | |
M1.2 | Персонифицированы ли роли в организации? | | | | | | | 0,09 | |
M1.3 | Установлена ли ответственность за исполнение ролей, зафиксированная в должностных инструкциях персонала? | | | | | | | 0,09 | |
M1.4 | Отсутствуют ли в организации роли, концентрирующие в себе все или большинство наиболее важных функций, необходимых для реализации одной из целей организации? | | | | | | | 0,09 | |
M1.5 | Отсутствует ли совмещение в одном лице ролей исполнителя и администратора, администратора и контролера, исполнителя и контролера и подобное? | | | | | | | 0,09 | |
M1.6 | Все ли роли в организации обеспечены ресурсами, необходимыми и достаточными для их выполнения? | | | | | | | 0,09 | |
M1.7 | Возложена ли на руководство (уполномоченного менеджера, высшего менеджера и т.п.) обязанность по координации своевременности и качества выполнения сотрудниками своих ролей? | | | | | | | 0,09 | |
M1.8 | Существуют ли в организации выделенные роли для контроля за качеством выполнения требований ИБ? | | | | | | | 0,09 | |
M1.9 | Выполняются ли при приеме на работу проверки идентичности личности, точности и полноты биографических фактов и заявляемой квалификации? | | | | | | | 0,0724 | |
M1.10 | Проводятся ли проверки профессиональных навыков и оценка профессиональной пригодности кандидатов при приеме на работу, связанную с защищаемыми активами и операциями? | | | | | | | 0,0724 | |
M1.11 | Имеются ли письменные обязательства сотрудников о соблюдении конфиденциальности всей защищаемой информации, доверенной или ставшей им известной в процессе выполнения служебных обязанностей, а также о приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов? | | | | | | | 0,045 | |
M1.12 | Обеспечивается ли компетентность персонала в области ИБ с помощью процессов обучения, осведомленности персонала, а также периодической проверки его компетентности в области ИБ? | | | | | | | 0,045 | |
M1.13 | Определены ли в трудовых контрактах всех сотрудников обязанности по выполнению требований ИБ? | | | | | | | 0,0452 | |
Итоговая оценка группового показателя M1 | |
Групповой показатель M2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M2.1 | Всегда ли выдвижение технических требований, разработка технических заданий, проектирование, создание, тестирование и приемка средств обеспечения ИБ АБС осуществляются по согласованию с подразделениями (лицами) в организации, ответственными за обеспечение ИБ? | | | | | | | 0,1087 | |
M2.2 | Всегда ли ввод в действие, эксплуатация, снятие с эксплуатации АБС осуществляются при участии подразделений (лиц) в организации, ответственных за обеспечение ИБ? | | | | | | | 0,1087 | |
M2.3 | Применяются (применялись) ли на стадии разработки АБС разработчиками меры для защиты от угроз ИБ: | | | | | | | 0,098 | |
| - принятия неверных проектных решений; | | | | | | | | |
| - внесения дефектов на уровне архитектурных решений; | | | | | | | | |
| - внесения недокументированных возможностей в АБС; | | | | | | | | |
| - неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС; | | | | | | | | |
| - угрозы разработки некачественной документации; | | | | | | | | |
| - сборки АБС разработчиком/производителем с нарушением требований; | | | | | | | | |
| - неверного конфигурирования АБС; | | | | | | | | |
| - приемки АБС, не отвечающей требованиям заказчика; | | | | | | | | |
| - внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ? | | | | | | | | |
M2.4 | Имеют ли соответствующие лицензии организации, которые привлекаются на договорной основе для разработки и/или производства средств обеспечения ИБ АБС? | | | | | | | 0,086 | |
M2.5 | Получает ли организация документацию по всем приобретаемым АБС и их компонентам, содержащую описание защитных мер, предпринятых разработчиком АБС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, и оценку уязвимостей? | | | | | | | 0,1086 | |
M2.6 | Обеспечивают ли на стадии эксплуатации применяемые меры и средства обеспечения ИБ защиту от угроз несанкционированного раскрытия, модификации или уничтожения информации, недоставки или ошибочной доставки информации, отказа в обслуживании или ухудшения обслуживания, отказа от авторства сообщений? | | | | | | | 0,098 | |
M2.7 | Обеспечивается ли возможность сопровождения всех АБС организации и их компонентов (наличием договоров сопровождения или полным комплектом рабочей конструкторской документации)? | | | | | | | 0,098 | |
M2.8 | Применяются ли на стадии сопровождения меры для защиты от угрозы внесения изменений в АБС, приводящих к нарушению функциональности АБС либо к появлению недокументированных возможностей, а также для защиты от угрозы невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и состояния АБС? | | | | | | | 0,098 | |
M2.9 | Применяются ли на стадии снятия с эксплуатации меры для защиты от угроз ненадежного удаления информации, несанкционированное использование которой может нанести ущерб бизнесдеятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей? | | | | | | | 0,098 | |
M2.10 | Включаются ли требования ИБ во все договоры и контракты на проведение работ или оказание услуг на всех стадиях жизненного цикла АБС? | | | | | | | 0,098 | |
Итоговая оценка группового показателя M2 | |
Групповой показатель M3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M3.1 | Соблюдаются ли при распределении прав доступа к активам организации принципы: | | | | | | | 0,069 | |
| - "знать своего клиента"; | | | | | | | | |
| - "знать своего служащего"; | | | | | | | | |
| - "необходимо знать"; | | | | | | | | |
| - "двойное управление"? | | | | | | | | |
M3.2 | Применяются ли в составе АБС встроенные механизмы защиты информации и/или сертифицированные (или разрешенные к применению) средства защиты информации от НСД? | | | | | | | 0,133 | |
M3.3 | Применяется ли парольная защита или другие средства аутентификации для всех ЭВМ и ЛВС, задействованных в технологических процессах? | | | | | | | 0,133 | |
M3.4 | Проводится ли назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС только с санкции руководителя функционального подразделения организации? | | | | | | | 0,133 | |
M3.5 | Выполняется ли контроль доступа пользователей к ресурсам всех ЭВМ и/или ЛВС, задействованных в технологических процессах? | | | | | | | 0,133 | |
M3.6 | Формируются ли уникальные идентификаторы для всех пользователей, задействованных в технологических процессах? | | | | | | | 0,133 | |
M3.7 | Регистрируются ли действия сотрудников и пользователей, влияющие на ИБ, в специальном электронном журнале либо регистрация обеспечивается организационными и/или административными мерами? | | | | | | | 0,133 | |
M3.8 | Предоставлен ли доступ к электронному журналу регистрации действий пользователей и сотрудников только администратору ИБ и отсутствует ли возможность редактирования записей данного электронного журнала? | | | | | | | 0,133 | |
Итоговая оценка группового показателя M3 | |
Групповой показатель M4 "Обеспечение информационной безопасности средствами антивирусной защиты"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M4.1 | Применяются ли в организации только официально приобретенные средства антивирусной защиты? | | | | | | | 0,1064 | |
M4.2 | Осуществляется ли установка средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС администраторами АБС? | | | | | | | 0,1064 | |
M4.3 | Осуществляется ли регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС автоматически или администраторами АБС? | | | | | | | 0,1064 | |
M4.4 | Разработаны ли и введены ли в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов? | | | | | | | 0,0845 | |
M4.5 | Всегда ли проводится антивирусная фильтрация трафика электронного почтового обмена? | | | | | | | 0,1064 | |
M4.6 | Применяются ли защитные меры, не допускающие присутствия и использования в ЭВМ и АБС программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах организации? | | | | | | | 0,0964 | |
M4.7 | Всегда ли проводится антивирусная проверка до и после установки или изменения программного обеспечения? | | | | | | | 0,1064 | |
M4.8 | Указаны ли в инструкциях по антивирусной защите действия сотрудников при обнаружении компьютерного вируса? | | | | | | | 0,1064 | |
M4.9 | Контролируются ли установка и обновление антивирусных средств представителями подразделений или лицами, ответственными за ИБ? | | | | | | | 0,0964 | |
M4.10 | Возложена ли обязанность по выполнению мер антивирусной защиты на каждого сотрудника организации, имеющего доступ к ЭВМ и/или АБС, а ответственность за выполнение сотрудниками инструкций по антивирусной защите - на руководителей функциональных подразделений? | | | | | | | 0,0843 | |
Итоговая оценка группового показателя M4 | |
Групповой показатель M5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M5.1 | Используются ли ресурсы сети Интернет не более чем для ведения дистанционного банковского обслуживания, получения и распространения информации, связанной с банковской деятельностью, информационно-аналитической работы в интересах организации, обмена почтовыми сообщениями исключительно с внешними организациями, а также ведения собственной хозяйственной деятельности? | | | | | | | 0,131 | |
M5.2 | Применяются ли при осуществлении дистанционного банковского обслуживания через сеть Интернет средства защиты информации, которые обеспечивают прием и передачу информации только в установленном формате и только по конкретной технологии? | | | | | | | 0,131 | |
M5.3 | Применяются ли защитные меры для осуществления безопасного электронного почтового обмена через сеть Интернет? | | | | | | | 0,131 | |
M5.4 | Осуществляется ли архивирование сообщений электронной почты? | | | | | | | 0,131 | |
M5.5 | Применяются ли защитные меры, запрещающие изменение архива сообщений электронной почты и разрешающие доступ к нему только подразделению (лицу), ответственному за обеспечение ИБ? | | | | | | | 0,131 | |
M5.6 | Используются ли при взаимодействии с сетью Интернет средства, позволяющие обеспечивать противодействие атакам и распространению спама? | | | | | | | 0,12 | |
M5.7 | Контролируется ли подразделениями (лицами) в организации, ответственными за обеспечение ИБ, подключение и использование ресурсов сети Интернет? | | | | | | | 0,105 | |
M5.8 | Санкционируется ли руководством функционального подразделения организации любое подключение и использование сети Интернет? | | | | | | | 0,12 | |
Итоговая оценка группового показателя M5 | |
Групповой показатель M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M6.1 | Поставлены ли СКЗИ разработчиками с полным комплектом эксплуатационной документации, включающей описание ключевой системы, правила работы с ней и обоснование необходимого организационно-штатного обеспечения? | | | | | | | 0,1111 | |
M6.2 | Реализованы ли СКЗИ на основе алгоритмов, соответствующих стандартам РФ, условиям договора с контрагентом и/или стандартам организации? | | | | | | | 0,1111 | |
M6.3 | Существует ли регламент использования ключей, предполагающий контроль со стороны администратора ИБ за действиями пользователя при получении ключевого носителя, вводе ключей, использовании ключей и сдаче ключевого носителя? | | | | | | | 0,1111 | |
M6.4 | Обеспечивают ли СКЗИ реализацию процедур сброса ключей при отсутствии штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС в нештатный режим работы? | | | | | | | 0,1111 | |
M6.5 | Поддерживается ли непрерывность процессов протоколирования работы СКЗИ при применении СКЗИ в АБС? | | | | | | | 0,1111 | |
M6.6 | Поддерживается ли непрерывность процессов обеспечения целостности программного обеспечения СКЗИ для всех звеньев АБС? | | | | | | | 0,1111 | |
M6.7 | Обеспечивается ли ИБ процессов изготовления ключевых документов СКЗИ комплексом технологических, организационных, технических и программных мер и средств защиты? | | | | | | | 0,1111 | |
M6.8 | Содержит ли внутренний порядок применения СКЗИ в АБС описание процессов ввода в действие, эксплуатации, восстановления работоспособности в аварийных случаях, внесения изменений, снятия с эксплуатации, управления ключевой системой, обращения с носителями ключевой информации? | | | | | | | 0,1111 | |
M6.9 | Самостоятельно ли в организации изготавливаются ключи кодов аутентификации и/или электронной цифровой подписи (если нет, зафиксировано ли в договоре согласие организации считать данные ключи своими)? | | | | | | | 0,1112 | |
Итоговая оценка группового показателя M6 | |
Групповой показатель M7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M7.1 | Определен (отражен) ли однозначно в нормативно-методических документах организации банковский платежный технологический процесс? | | | | | | | 0,13 | |
M7.2 | Зафиксирован ли порядок обмена платежной информацией в договорах между участниками данного обмена? | | | | | | | 0,13 | |
M7.3 | Отсутствуют ли сотрудники, обладающие всеми полномочиями на бесконтрольное создание, авторизацию, уничтожение и изменение платежной информации, а также проведение операций по изменению состояния банковских счетов? | | | | | | | 0,13 | |
M7.4 | Контролируются ли и удостоверяются ли результаты технологических операций по обработке платежной информации обязательными процедурами контроля, не зависимыми от процесса обработки? | | | | | | | 0,13 | |
M7.5 | Назначены ли на каждом технологическом участке ответственные за администрирование средств защиты платежной информации (администраторы ИБ)? | | | | | | | 0,13 | |
M7.6 | Существует ли нормативный документ (документы), которым руководствуются администраторы ИБ в своей деятельности? | | | | | | | 0,118 | |
M7.7 | Предусматривает ли комплекс мер по обеспечению ИБ: | | | | | | | 0,102 | |
| - защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов; | | | | | | | | |
| - минимально необходимый, гарантированный доступ сотрудника только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации? | | | | | | | | |
M7.8 | Включает ли комплекс мер по обеспечению ИБ: | | | | | | | 0,13 | |
| - контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации; | | | | | | | | |
| - аутентификацию платежной информации; | | | | | | | | |
| - двустороннюю аутентификацию участников обмена платежной информацией и двустороннюю аутентификацию автоматизированных рабочих мест; | | | | | | | | |
| - восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; | | | | | | | | |
| - авторизованный ввод платежной информации в АБС двумя сотрудниками с последующей программной сверкой результатов ввода на совпадение; | | | | | | | | |
| - сверку выходных платежных сообщений с соответствующими поступившими сообщениями; | | | | | | | | |
| - гарантированную доставку платежных сообщений участникам обмена? | | | | | | | | |
Итоговая оценка группового показателя M7 | |
Групповой показатель M8 "Обеспечение информационной безопасности банковских информационных технологических процессов"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M8.1 | Определено ли руководством, какая информация, не являющаяся платежной, подлежит защите, и классифицирована ли данная информация? | | | | | | | 0,0848 | |
M8.2 | Изолированы ли АБС, обрабатывающие информацию, относящуюся к сведениям, составляющим государственную тайну, и сведениям ограниченного распространения, полученным из федеральных органов исполнительной власти (если такие АБС имеются), от прочих АБС организации? | | | | | | | 0,0848 | |
M8.3 | Назначен ли в АБС администратор ИБ, если в АБС обрабатывается информация, требующая по решению руководства защиты? | | | | | | | 0,0848 | |
M8.4 | Отсутствует ли совмещение в одном лице функций администратора АБС и администратора ИБ? | | | | | | | 0,0848 | |
M8.5 | Отсутствуют ли в роли администратора ИБ правила, пересекающиеся с правилами роли администратора АБС? | | | | | | | 0,0848 | |
M8.6 | Осуществляет ли администратор ИБ контроль над действиями администраторов АБС и пользователей? | | | | | | | 0,0848 | |
M8.7 | Назначаются ли права доступа к информации подразделением, ответственным за эту информацию (владельцем информационного актива)? | | | | | | | 0,0848 | |
M8.8 | Определен ли порядок контроля функционирования каждой АБС лицами, отвечающими за ИБ? | | | | | | | 0,0848 | |
M8.9 | Регламентированы ли и согласованы ли со службой ИБ процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления технических и программных средств? | | | | | | | 0,0848 | |
M8.10 | Регламентировано ли и согласовано ли со службой ИБ тестирование всех функций по обеспечению ИБ, реализованных программно-техническими средствами? | | | | | | | 0,076 | |
M8.11 | Проводится ли периодическое тестирование всех реализованных программно-техническими средствами функций по обеспечению ИБ? | | | | | | | 0,076 | |
M8.12 | Регламентирована ли в организации процедура восстановления всех реализованных программно-техническими средствами функций по обеспечению ИБ? | | | | | | | 0,0848 | |
Итоговая оценка группового показателя M8 | |
Групповой показатель M9 "Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M9.1 | Существуют ли документы, в которых определена область действия СМИБ? | | | | | | | 0,1321 | |
M9.2 | Обосновано ли в документах, определяющих область действия СМИБ, ограничение области действия, если таковое имеется? | | | | | | | 0,1471 | |
M9.3 | Учитывается ли в документах, определяющих область действия СМИБ, значимость информационных активов организации? | | | | | | | 0,1471 | |
M9.4 | Пересматривается ли область действия СМИБ при изменении перечня информационных активов или их значимости для целей бизнеса организации? | | | | | | | 0,1321 | |
M9.5 | Учитывается ли в документах организации, определяющих область действия СМИБ, обязательность непрерывности бизнеса организации? | | | | | | | 0,1471 | |
M9.6 | Установлен ли в документах организации, определяющих область действия СМИБ, подход к оценке рисков ИБ, включающий: | | | | | | | 0,1471 | |
| - оценку последствий неисполнения требований СТО БР ИББС-1.0 и нормативных актов Банка России по обеспечению ИБ; | | | | | | | | |
| - оценку угроз нарушения процессов управления ИБ или вследствие реализации иных угроз? | | | | | | | | |
M9.7 | Реализуются ли в организации основные процессы СМИБ, связанные с планированием процессов выполнения требований ИБ, с реализацией и эксплуатацией защитных мер, с проверкой процессов выполнения требований ИБ и с совершенствованием процессов выполнения требований ИБ? | | | | | | | 0,1474 | |
Итоговая оценка группового показателя M9 | |
Групповой показатель M10 "Анализ и оценка рисков ИБ, варианты обработки рисков ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M10.1 | Осуществляется ли в организации оценка рисков ИБ, в том числе связанных с неисполнением требований нормативных актов Банка России, имеющих отношение к ИБ, а также связанных с угрозами нарушения процессов управления ИБ? | | | | | | | 0,0794 | |
M10.2 | Существует ли документ (документы), в котором (которых) отражены результаты анализа и оценки рисков ИБ? | | | | | | | 0,0714 | |
M10.3 | Определены ли роли в части деятельности по оценке и обработке рисков ИБ и определена ли ответственность исполнителей, выполняющих данные роли? | | | | | | | 0,0794 | |
M10.4 | Назначены ли в организации лица, ответственные за управление рисками ИБ? | | | | | | | 0,0794 | |
M10.5 | Выполнена ли идентификация информационных активов и их уязвимостей? | | | | | | | 0,0794 | |
M10.6 | Выполнена ли оценка потенциального ущерба бизнесу организации в случае реализации угроз ИБ? | | | | | | | 0,0794 | |
M10.7 | Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности угроз? | | | | | | | 0,0714 | |
M10.8 | Пересматриваются ли перечень актуальных угроз информационным активам организации и степень их актуальности? | | | | | | | 0,0714 | |
M10.9 | Анализируется ли и учитывается ли при оценке рисков ИБ степень актуальности уязвимостей информационных активов? | | | | | | | 0,0714 | |
M10.10 | Пересматривается ли перечень уязвимостей информационных активов организации и степень их актуальности? | | | | | | | 0,0714 | |
M10.11 | Оценивается ли возможность переноса информационных рисков на другие стороны (например, страховщиков, поставщиков, органы сертификации и т.п.)? | | | | | | | 0,0644 | |
M10.12 | Учитываются ли данные об инцидентах ИБ при оценке рисков ИБ? | | | | | | | 0,0644 | |
M10.13 | Проводятся ли в организации обсуждения деятельности по оценке и обработке рисков ИБ с участием высшего руководства и руководителя службы ИБ? | | | | | | | 0,0714 | |
M10.14 | Определены ли в организации критерии для принятия рисков ИБ и уровни приемлемых рисков ИБ? | | | | | | | 0,0458 | |
Итоговая оценка группового показателя M10 | |
Групповой показатель M11 "Определение/уточнение политики ИБ организации"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M11.1 | Существует ли утвержденный руководством организации документ, определяющий политику ИБ организации (цели ИБ, общие задачи управления ИБ, основные области обеспечения ИБ, объекты защиты ИБ, принципы реализации и контроля политики ИБ и т.д.)? | | | | | | | 0,12 | |
M11.2 | Существуют ли утвержденные руководством организации документы, определяющие частные политики ИБ? | | | | | | | 0,12 | |
M11.3 | Определен ли порядок пересмотра документов, определяющих политику ИБ организации и частные политики? | | | | | | | 0,11 | |
M11.4 | Определены ли требования по регулярной отчетности должностному лицу в организации, утвердившему политику ИБ организации, о реализации положений данной политики? | | | | | | | 0,095 | |
M11.5 | Существует ли нормативно-методический документ (документы) по обеспечению ИБ, определяющий (определяющие) требования по реализации положений политик ИБ организации? | | | | | | | 0,095 | |
M11.6 | Учитываются ли в положениях политики ИБ организации результаты оценки рисков ИБ? | | | | | | | 0,12 | |
M11.7 | Есть ли в организации лицо (орган), ответственное за реализацию и контроль политики ИБ организации? | | | | | | | 0,12 | |
M11.8 | Зафиксированы ли его обязанности и ответственность за реализацию и контроль политики ИБ организации документально? | | | | | | | 0,11 | |
M11.9 | Имеются ли в организации отчетные документы о реализации положений политики ИБ организации? | | | | | | | 0,11 | |
Итоговая оценка группового показателя M11 | |
Групповой показатель M12 "Выбор/уточнение целей ИБ и защитных мер"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M12.1 | Существуют ли документы, в которых определен порядок внедрения защитных мер, выбранных в соответствии с требованиями раздела 8 СТО БР ИББС-1.0 и другими действующими нормативными актами организации? | | | | | | | 0,215 | |
M12.2 | Существуют ли документы, в которых определен план выбора защитных мер, описанных в СТО БР ИББС-1.0 и других действующих нормативных актах организации? | | | | | | | 0,19 | |
M12.3 | Проводятся ли в организации обсуждения по выбору защитных мер по обеспечению ИБ с участием экспертов в областях ИБ, в области финансов и в области управления персоналом? | | | | | | | 0,19 | |
M12.4 | Проводятся ли обсуждения по выбору новых (модернизации существующих) защитных мер по обеспечению ИБ при выявлении новых угроз и уязвимостей информационных активов организации? | | | | | | | 0,19 | |
M12.5 | Согласован ли выбор поставляемых (разрабатываемых) защитных мер со службой ИБ организации? | | | | | | | 0,215 | |
Итоговая оценка группового показателя M12 | |
Групповой показатель M13 "Принятие менеджментом организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M13.1 | Существует ли документ, в котором отражено принятие руководством организации остаточных рисков? | | | | | | | 0,105 | |
M13.2 | Имеется ли административное и кадровое обеспечение комплекса средств управления ИБ организации? | | | | | | | 0,105 | |
M13.3 | Существует ли в организации служба ИБ (ответственный за ИБ)? | | | | | | | 0,116 | |
M13.4 | Определены ли роли по обеспечению ИБ во всех структурных подразделениях организации? | | | | | | | 0,105 | |
M13.5 | Существуют ли документы, утвержденные руководством организации, определяющие перечень целей и задач службы ИБ, включающий: | | | | | | | 0,116 | |
| - управление всеми планами по обеспечению ИБ организации; | | | | | | | | |
| - разработку и внесение предложений по изменению политики ИБ организации; | | | | | | | | |
| - изменение существующих и принятие новых нормативно-методических документов по обеспечению ИБ организации; | | | | | | | | |
| - выбор средств управления и обеспечения ИБ организации; | | | | | | | | |
| - контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия; | | | | | | | | |
| - контроль активности, связанной с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ организации; | | | | | | | | |
| - осуществление мониторинга событий, связанных с ИБ организации; | | | | | | | | |
| - расследование событий, связанных с нарушениями ИБ, и в случае необходимости выхода с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации; | | | | | | | | |
| - участие в действиях по восстановлению работоспособности АБС после сбоев и аварий; | | | | | | | | |
| - создание, поддержку и совершенствование системы управления ИБ организации? | | | | | | | | |
M13.6 | Выделен ли собственный бюджет службы ИБ организации в рамках бюджета организации? | | | | | | | 0,116 | |
M13.7 | Имеет ли служба ИБ организации собственного куратора на уровне первых лиц в руководстве организации? | | | | | | | 0,105 | |
M13.8 | Взаимодействует ли служба ИБ организации с сотрудниками, ответственными за ИБ в структурных подразделениях? | | | | | | | 0,116 | |
M13.9 | Обеспечена ли служба ИБ организации необходимыми и достаточными полномочиями для выполнения установленных целей и задач? | | | | | | | 0,116 | |
Итоговая оценка группового показателя M13 | |
Групповой показатель M14 "Разработка плана обработки рисков ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M14.1 | Имеются ли в организации планы по внедрению и развитию СМИБ (план обработки или минимизации рисков ИБ), определяющие совокупность мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных активов? | | | | | | | 0,172 | |
M14.2 | Утвержден ли план минимизации рисков ИБ руководством организации? | | | | | | | 0,172 | |
M14.3 | Есть ли в организации лицо (орган), ответственное за реализацию плана минимизации рисков ИБ? | | | | | | | 0,172 | |
M14.4 | Зафиксированы ли документально обязанности ответственного за реализацию плана минимизации рисков ИБ? | | | | | | | 0,156 | |
M14.5 | Согласован ли план минимизации рисков ИБ с планами инвестирования в обеспечение ИБ организации? | | | | | | | 0,156 | |
M14.6 | Корректируется ли план минимизации рисков ИБ при изменении рисков ИБ и выявлении новых рисков ИБ? | | | | | | | 0,172 | |
Итоговая оценка группового показателя M14 | |
Групповой показатель M15 "Реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M15.1 | Существуют ли свидетельства реализации плана обработки (минимизации) рисков? | | | | | | | 0,18 | |
M15.2 | Существуют ли план поставки/установки/сопровождения оборудования, АБС и их компонентов и/или план проведения НИОКР, соответствующие плану внедрения и развития СМИБ организации? | | | | | | | 0,16 | |
M15.3 | Контролирует ли руководство организации выполнение плана поставки/установки/сопровождения оборудования, АБС и их компонентов и/или плана проведения НИОКР? | | | | | | | 0,14 | |
M15.4 | Имеются ли в договорах на поставку/установку/сопровождение оборудования, АБС и их компонентов, включая средства ИБ, требования по обеспечению ИБ? | | | | | | | 0,18 | |
M15.5 | Отвечают ли процессы СМИБ по выбору, реализации и эксплуатации защитных мер требованиям, определенным разделом 8 СТО БР ИББС-1.0? | | | | | | | 0,18 | |
M15.6 | Предоставляются ли руководству организации отчетные документы о реализации плана внедрения и развития СМИБ? | | | | | | | 0,16 | |
Итоговая оценка группового показателя M15 | |
Групповой показатель M16 "Реализация программ по обучению и осведомлению ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M16.1 | Существует ли программа по обучению ИБ? | | | | | | | 0,1234 | |
M16.2 | Существуют ли свидетельства реализации программы по обучению ИБ? | | | | | | | 0,1234 | |
M16.3 | Проводится ли обучение ИБ персонала организации по установленному графику? | | | | | | | 0,1 | |
M16.4 | Проводится ли обучение ИБ сотрудника, получившего новую роль? | | | | | | | 0,11 | |
M16.5 | Соответствует ли программа обучения ИБ существующим политикам ИБ, применяемым защитным мерам и средствам управления ИБ? | | | | | | | 0,1232 | |
M16.6 | Проводится ли проверка результатов обучения ИБ сотрудников организации? | | | | | | | 0,11 | |
M16.7 | Имеют ли руководители и сотрудники организации документы, подтверждающие прохождение обучения ИБ? | | | | | | | 0,11 | |
M16.8 | Поддерживается ли осведомленность сотрудников организации о политиках и требованиях ИБ, в том числе о значимости и важности их деятельности по обеспечению ИБ? | | | | | | | 0,1 | |
M16.9 | Проводится ли проверка осведомленности об ИБ в организации? | | | | | | | 0,1 | |
Итоговая оценка группового показателя M16 | |
Групповой показатель M17 "Обнаружение и реагирование на инциденты безопасности"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M17.1 | Существуют ли документы, в которых определены процедуры обнаружения и регистрации инцидентов ИБ? | | | | | | | 0,17 | |
M17.2 | Существуют ли документы, в которых определены процедуры анализа и реагирования на инциденты ИБ? | | | | | | | 0,17 | |
M17.3 | Осведомлены ли сотрудники о порядке действий при обнаружении нетипичных событий ИБ и порядке информирования о данных событиях? | | | | | | | 0,17 | |
M17.4 | Существует ли документ, в котором определены процедуры оценки ущерба, нанесенного инцидентом ИБ? | | | | | | | 0,135 | |
M17.5 | Поддерживается ли в организации централизованная база инцидентов ИБ? | | | | | | | 0,135 | |
M17.6 | Существуют ли в организации при выявлении инцидентов ИБ процедуры, допускающие обсуждение и расследование инцидентов с участием внешних экспертов в области ИБ? | | | | | | | 0,085 | |
M17.7 | Осуществляется ли периодический контроль наличия уязвимостей в программных и технических средствах АБС? | | | | | | | 0,135 | |
Итоговая оценка группового показателя M17 | |
Групповой показатель M18 "Обеспечение непрерывности бизнеса и восстановления после прерываний"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M18.1 | Существует ли в организации документ, содержащий план восстановления бизнеса после прерываний? | | | | | | | 0,18 | |
M18.2 | Реализована ли в организации программа обучения пользователей и персонала по обеспечению непрерывности бизнес-процессов и их восстановлению после сбоев? | | | | | | | 0,14 | |
M18.3 | Проходит ли весь персонал и службы/подразделения обеспечения непрерывности бизнеса периодическое обучение процедурам действий в чрезвычайных ситуациях? | | | | | | | 0,14 | |
M18.4 | Определены ли в организации роли, обязанности и полномочия персонала и служб/подразделений в части обеспечения непрерывности бизнеса? | | | | | | | 0,18 | |
M18.5 | Назначены ли лица, выполняющие роли в части реализации плана восстановления бизнеса после прерываний? | | | | | | | 0,18 | |
M18.6 | Обладает ли организация БС необходимым резервным комплектом оборудования, предназначенным для реализации процедур оперативного восстановления нарушенных бизнес-процессов? | | | | | | | 0,18 | |
Итоговая оценка группового показателя M18 | |
Групповой показатель M19 "Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M19.1 | Существуют ли документы, определяющие процедуры мониторинга и контроля защитных мер, включая регистрацию действий и событий, связанных со СМИБ? | | | | | | | 0,0926 | |
M19.2 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля изменений и использования прав доступа пользователей? | | | | | | | 0,0926 | |
M19.3 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля средств и подсистем управления доступом и регистрации? | | | | | | | 0,0926 | |
M19.4 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования оборудования и выявления нештатных (или злоумышленных) действий в организации, а также выявления потенциальных нарушений ИБ? | | | | | | | 0,0926 | |
M19.5 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля функционирования средств антивирусной защиты? | | | | | | | 0,0926 | |
M19.6 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования ресурсов сети Интернет? | | | | | | | 0,0926 | |
M19.7 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля использования средств криптографической защиты информации? | | | | | | | 0,0926 | |
M19.8 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля банковских платежных технологических процессов? | | | | | | | 0,0926 | |
M19.9 | Определены ли в документах организации и выполняются ли процедуры мониторинга и контроля банковских информационных технологических процессов? | | | | | | | 0,0926 | |
M19.10 | Осуществляется ли мониторинг выполнения соглашений о качестве услуг, предоставляемых по договору сторонними организациями (при наличии таких услуг)? | | | | | | | 0,0833 | |
M19.11 | Осуществляются ли в организации процедуры по управлению данными мониторинга и контроля? | | | | | | | 0,0833 | |
Итоговая оценка группового показателя M19 | |
Групповой показатель M20 "Анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M20.1 | Определены ли в документах организации и выполняются ли процедуры по анализу эффективности СМИБ (полноте и адекватности процессов менеджмента ИБ)? | | | | | | | 0,2 | |
M20.2 | Используются ли при анализе эффективности СМИБ результаты мониторинга ИБ и сведения относительно инцидентов ИБ? | | | | | | | 0,2 | |
M20.3 | Используются ли результаты оценки рисков ИБ при анализе эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ? | | | | | | | 0,2 | |
M20.4 | Определены ли в документах организации и выполняются ли процедуры по подготовке отчетности для руководства по вопросам эффективности СМИБ? | | | | | | | 0,2 | |
M20.5 | Отражаются ли в отчетах руководству по вопросам эффективности СМИБ результаты оценки рисков ИБ при изменениях в процессах и технологиях? | | | | | | | 0,2 | |
Итоговая оценка группового показателя M20 | |
Групповой показатель M21 "Внутренний аудит СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M21.1 | Определен ли документально порядок проведения внутреннего аудита ИБ в организации? | | | | | | | 0,104 | |
M21.2 | Выполняются ли при внутреннем аудите ИБ в организации все следующие действия: | | | | | | | 0,115 | |
| - документальная проверка; | | | | | | | | |
| - опрос и интервью с руководством и персоналом; | | | | | | | | |
| - проверка на местах? | | | | | | | | |
M21.3 | Используются ли при проведении внутреннего аудита ИБ данные мониторинга ИБ (в том числе журналы регистрации инцидентов ИБ)? | | | | | | | 0,115 | |
M21.4 | Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внутреннего аудита ИБ? | | | | | | | 0,115 | |
M21.5 | Определено ли документально руководством организации, что при проведении внутреннего аудита ИБ должно быть обеспечено документально и (при необходимости) технически подтверждено, что: | | | | | | | 0,115 | |
| - положения внутренних документов по обеспечению ИБ выполняются; | | | | | | | | |
| - защитные меры настроены и используются правильно; | | | | | | | | |
| - замечания (рекомендации) предшествующих аудитов ИБ выполнены? | | | | | | | | |
M21.6 | Установлена ли форма представления результатов внутреннего аудита ИБ? | | | | | | | 0,103 | |
M21.7 | Сообщаются ли результаты внутреннего аудита ИБ руководству организации? | | | | | | | 0,115 | |
M21.8 | Используются ли результаты внутреннего аудита ИБ для уточнения планов внедрения и развития СМИБ организации? | | | | | | | 0,115 | |
M21.9 | Определен ли порядок хранения, доступа и использования материалов, получаемых в процессе проведения внутреннего аудита? | | | | | | | 0,103 | |
Итоговая оценка группового показателя M21 | |
Групповой показатель M22 "Анализ СМИБ со стороны высшего руководства"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M22.1 | Определен ли в организации минимальный перечень документов (данных), предоставляемых высшему руководству организации для проведения анализа СМИБ? | | | | | | | 0,2564 | |
M22.2 | Имеются ли в нормативно-распорядительных документах (приказах, распоряжениях, решениях, протоколах и т.п.), принимаемых (утверждаемых) руководством организации по предоставленным ему материалам, положения и указания, определяющие требования: | | | | | | | 0,2564 | |
| - по совершенствованию СМИБ; | | | | | | | | |
| - по изменению процедур, влияющих на ИБ; | | | | | | | | |
| - по выделению ресурсов для целей СМИБ? | | | | | | | | |
M22.3 | Используются ли при подготовке нормативно-распорядительных документов организации, касающихся СМИБ, отчеты службы ИБ, в том числе по выявленным инцидентам ИБ? | | | | | | | 0,2564 | |
M22.4 | Определены ли в документах организации процедуры, допускающие привлечение к анализу функционирования СМИБ организации внешних экспертов и специалистов в данной области? | | | | | | | 0,2308 | |
Итоговая оценка группового показателя M22 | |
Групповой показатель M23 "Внешний аудит СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M23.1 | Включает ли программа аудита ИБ организации описание деятельности, необходимой для планирования, организации, проведения и совершенствования внешнего аудита ИБ? | | | | | | | 0,11 | |
M23.2 | Определен ли документально и выполняется ли порядок подготовки и предоставления исходных данных (источников свидетельств аудита ИБ, свидетельств аудита ИБ) при проведении внешнего аудита ИБ? | | | | | | | 0,137 | |
M23.3 | Используются ли результаты внешнего аудита ИБ для уточнения планов внедрения и развития СМИБ организации? | | | | | | | 0,137 | |
M23.4 | Определено ли документально руководством организации, что при проведении внешнего аудита ИБ должно быть обеспечено документально и (при необходимости) технически подтверждено, что: | | | | | | | 0,137 | |
| - политика ИБ отражает требования бизнес-целей организации; | | | | | | | | |
| - организационная структура управления ИБ создана; | | | | | | | | |
| - процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям; | | | | | | | | |
| - защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно; | | | | | | | | |
| - остаточные риски оценены и остаются приемлемыми для организации; | | | | | | | | |
| - система управления ИБ соответствует определенному уровню зрелости управления ИБ; | | | | | | | | |
| - рекомендации предшествующих аудитов ИБ реализованы? | | | | | | | | |
M23.5 | Проводится ли внешний аудит ИБ на соответствие требованиям СТО БР ИББС-1.0? | | | | | | | 0,137 | |
M23.6 | Установлены ли в организации процедуры взаимодействия аудиторской группы и руководства организации, позволяющие представителям аудиторской группы при необходимости непосредственно обращаться к руководству организации? | | | | | | | 0,11 | |
M23.7 | Проводятся ли совещания руководства организации с представителями аудиторской группы, посвященные обсуждению вопроса совершенствования СМИБ по результатам проведения аудита ИБ? | | | | | | | 0,122 | |
M23.8 | Определен ли порядок хранения, доступа и использования аудиторского отчета? | | | | | | | 0,11 | |
Итоговая оценка группового показателя M23 | |
Групповой показатель M24 "Реализация тактических улучшений в СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M24.1 | Основываются ли принимаемые службой ИБ решения по совершенствованию СМИБ на результатах аудита ИБ, мониторинга, обработки инцидентов ИБ и потребностях в корректирующих и превентивных действиях? | | | | | | | 0,208 | |
M24.2 | Регистрируются ли принимаемые службой ИБ решения, направленные на совершенствование СМИБ? | | | | | | | 0,208 | |
M24.3 | Контролируется ли выполнение принятых службой ИБ решений, направленных на совершенствование СМИБ? | | | | | | | 0,208 | |
M24.4 | Выполняется ли анализ результатов реализации принятых службой ИБ решений по совершенствованию СМИБ? | | | | | | | 0,188 | |
M24.5 | Осуществляет ли служба ИБ согласование планов развития СМИБ с планами развития бизнеса организации? | | | | | | | 0,188 | |
Итоговая оценка группового показателя M24 | |
Групповой показатель M25 "Реализация стратегических улучшений СМИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M25.1 | Осуществляется ли руководством организации анализ соответствия реализации и/или эксплуатации СМИБ политике ИБ? | | | | | | | 0,176 | |
M25.2 | Существуют ли документы (база данных), содержащие описание изменений, внесенных в политику ИБ (частные политики ИБ) и план обработки рисков ИБ? | | | | | | | 0,14 | |
M25.3 | Основаны ли решения, принимаемые руководством, о реализации корректирующих и превентивных действий в отношении СМИБ организации на результатах оценки рисков ИБ? | | | | | | | 0,176 | |
M25.4 | Используются ли руководством при принятии решений о реализации корректирующих и превентивных действий в отношении СМИБ успешные практики (собственные и других организаций)? | | | | | | | 0,156 | |
M25.5 | Поддерживается ли руководством организации процесс оценки эффективности результатов реализации принятых решений по совершенствованию СМИБ? | | | | | | | 0,176 | |
M25.6 | Назначены ли ответственные за реализацию решений о стратегических улучшениях СМИБ? | | | | | | | 0,176 | |
Итоговая оценка группового показателя M25 | |
Групповой показатель M26 "Информирование об изменениях СМИБ и их согласование с заинтересованными сторонами"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M26.1 | Определены ли в документах организации и выполняются ли процедуры информирования заинтересованных сторон об изменениях в СМИБ (в политиках ИБ, процедурах, относящихся к ИБ, ответственности в области ИБ, требованиях ИБ и т.п.) в части, их касающейся? | | | | | | | 0,167 | |
M26.2 | Определены ли в документах организации и выполняются ли процедуры согласования изменений в СМИБ с заинтересованными сторонами в части, их касающейся? | | | | | | | 0,167 | |
M26.3 | Определены ли в документах организации роли по исполнению процедур информирования и согласования изменений СМИБ с заинтересованными сторонами? | | | | | | | 0,333 | |
M26.4 | Назначены ли лица, выполняющие роли по исполнению процедур информирования и согласования изменений СМИБ с заинтересованными сторонами? | | | | | | | 0,333 | |
Итоговая оценка группового показателя M26 | |
Групповой показатель M27 "Оценка достижения поставленных целей"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M27.1 | Рассматриваются ли (обсуждаются ли) варианты реализации задач по совершенствованию СМИБ (например, с целью минимизации затрат) и имеется ли соответствующее документальное подтверждение? | | | | | | | 0,28 | |
M27.2 | Осуществляется ли оценка того, что поставленные цели по совершенствованию СМИБ приведут к решению выявленных проблем? | | | | | | | 0,28 | |
M27.3 | Определен ли перечень предоставляемых руководству документов, позволяющих оценить достижение поставленных целей и выявить несоответствия в реализации и/или эксплуатации СМИБ этим целям? | | | | | | | 0,16 | |
M27.4 | Осуществляется ли руководством оценка того, что поставленные цели по совершенствованию СМИБ достигнуты? | | | | | | | 0,28 | |
Итоговая оценка группового показателя M27 | |
Групповой показатель M28 "Своевременность обнаружения, прогноз развития проблем ИБ и оценка их влияния на бизнес-цели организации"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M28.1 | Определена ли в организации классификация ресурсов по степени их критичности для обеспечения непрерывности бизнеса? | | | | | | | 0,117 | |
M28.2 | Определены ли в организации модель угроз и модель нарушителя, обеспечивающие прогнозирование развития возможных проблем, связанных с ИБ? | | | | | | | 0,117 | |
M28.3 | Определены ли в организации процедуры обработки инцидентов ИБ? | | | | | | | 0,0905 | |
M28.4 | Установлены ли процедуры обработки инцидентов ИБ в соответствии с классами ресурсов, затронутых при инцидентах ИБ? | | | | | | | 0,0905 | |
M28.5 | Доводится ли службой ИБ до руководства организации информация по инцидентам ИБ? | | | | | | | 0,117 | |
M28.6 | Принимаются ли решения по всем инцидентам ИБ? | | | | | | | 0,117 | |
M28.7 | Выполняются ли все решения, принятые по инцидентам ИБ? | | | | | | | 0,117 | |
M28.8 | Организует ли руководство организации деятельность по управлению рисками ИБ? | | | | | | | 0,117 | |
M28.9 | Приняты ли руководством организации решения по обоснованным предложениям службы ИБ по учету и внедрению требований ИБ в бизнеспроцессы организации? | | | | | | | 0,117 | |
Итоговая оценка группового показателя M28 | |
Групповой показатель M29 "Определенность целей, адекватность выбора защитных мер, их эффективность и контролируемость"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M29.1 | Зафиксированы ли документально цели и задачи обеспечения ИБ организации? | | | | | | | 0,0833 | |
M29.2 | Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменениях целей и задач бизнеса организации? | | | | | | | 0,0833 | |
M29.3 | Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменениях процедур, технологий? | | | | | | | 0,0833 | |
M29.4 | Осуществляется ли при необходимости или периодически уточнение/пересмотр целей и задач обеспечения ИБ организации при изменении угроз ИБ | | | | | | | 0,0833 | |
M29.5 | Выбираются ли защитные меры в соответствии с моделями угроз и нарушителей? | | | | | | | 0,0833 | |
M29.6 | Выбираются ли защитные меры с учетом оценки затрат на реализацию защитных мер и объема возможных потерь от выполнения угроз? | | | | | | | 0,0833 | |
M29.7 | Существует ли утвержденный план реализации защитных мер, включающий порядок тестирования реализованных защитных мер и порядок оценивания достигнутого уровня снижения рисков ИБ организации? | | | | | | | 0,0667 | |
M29.8 | Оценивалось ли руководством или службой ИБ организации влияние защитных мер на цели бизнеса организации? | | | | | | | 0,0667 | |
M29.9 | Все ли защитные меры, используемые в организации, позволяют осуществлять контроль правильности их реализации и эксплуатации? | | | | | | | 0,0667 | |
M29.10 | Определен ли в организации порядок периодического тестирования комплекса защитных мер? | | | | | | | 0,0667 | |
M29.11 | Применяются ли в организации механизмы, позволяющие определять ущерб от инцидентов ИБ? | | | | | | | 0,0667 | |
M29.12 | Установлена ли в организации ответственность по контролю защитных мер и оценке адекватности и эффективности их реализации? | | | | | | | 0,0833 | |
M29.13 | Осуществляется ли в организации контроль за реализацией действующих положений и требований по обеспечению ИБ? | | | | | | | 0,0834 | |
Итоговая оценка группового показателя M29 | |
Групповой показатель M30 "Непрерывность обеспечения ИБ и использование опыта при принятии и реализации решений"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M30.1 | Используется ли опыт организации, других организаций при принятии решений и их реализации (например, опыт, накопленный организацией и другими организациями и отраженный в нормативных актах)? | | | | | | | 0,08 | |
M30.2 | Есть ли в организации служба ИБ как отдельная функциональная структура? | | | | | | | 0,08 | |
M30.3 | Существует ли отдельная статья бюджета организации для финансирования обеспечения ИБ? | | | | | | | 0,08 | |
M30.4 | Имеет ли служба ИБ куратора в руководстве организации? | | | | | | | 0,08 | |
M30.5 | Назначены ли лица, ответственные за реализацию политики ИБ организации и поддержание ее в актуальном состоянии? | | | | | | | 0,08 | |
M30.6 | Осуществляется ли анализ отсутствия разрывов в технологических процессах обеспечения ИБ организации, представляющих собой, например, нахождение защищаемых активов вне защищаемой оболочки, вне защитных мер, а также несогласованность защитных мер? | | | | | | | 0,056 | |
M30.7 | Определены ли процедуры контроля за изменением конфигурации АБС организации? | | | | | | | 0,08 | |
M30.8 | Анализируется ли влияние на ИБ организации изменений, коснувшихся бизнес-процессов организации? | | | | | | | 0,056 | |
M30.9 | Анализируется ли влияние на ИБ организации изменений технологий? | | | | | | | 0,056 | |
M30.10 | Анализируется ли влияние на ИБ организации изменений внешних событий (изменения законодательства, социального климата)? | | | | | | | 0,056 | |
M30.11 | Предусматривает ли план действий в нештатных ситуациях возможные последствия нештатных ситуаций? | | | | | | | 0,08 | |
M30.12 | Предусматривает ли план обеспечения непрерывности бизнеса организации возможные способы возобновления бизнеса? | | | | | | | 0,08 | |
M30.13 | Определены ли документально процедуры, которые должны быть реализованы в нештатных ситуациях для каждого сотрудника? | | | | | | | 0,08 | |
M30.14 | Регулярно ли проверяется руководством организации отработка плана действий в нештатных ситуациях и других планов, связанных с восстановлением и непрерывностью бизнеса организации с целью обеспечения их актуальности и эффективности? | | | | | | | 0,056 | |
Итоговая оценка группового показателя M30 | |
Групповой показатель M31 "Знание своих клиентов и служащих, персонификация и адекватное разделение ролей и ответственности и адекватность ролей функциям и процедурам"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M31.1 | Проводятся ли проверки квалификации при приеме и отборе претендентов на рабочие места? | | | | | | | 0,1042 | |
M31.2 | Заключает ли администрация соглашение об обязанностях и ответственности по ИБ с каждым сотрудником? | | | | | | | 0,1042 | |
M31.3 | Разработаны ли и поддерживаются ли в организации правила корпоративной этики? | | | | | | | 0,0832 | |
M31.4 | Включает ли организация в договоры со своими клиентами требования по ИБ, в том числе контроль этих требований со стороны организации? | | | | | | | 0,1042 | |
M31.5 | Персонифицированы ли все роли обеспечения ИБ? | | | | | | | 0,1042 | |
M31.6 | Установлена ли ответственность за исполнение ролей обеспечения ИБ? | | | | | | | 0,1042 | |
M31.7 | Отсутствует ли в организации пересечение ролей сотрудников по обеспечению ИБ? | | | | | | | 0,1042 | |
M31.8 | Персонифицирована ли ответственность за защиту отдельных активов организации? | | | | | | | 0,0832 | |
M31.9 | Персонифицирована ли ответственность руководителей структурных подразделений за обеспечение ИБ в своем структурном подразделении? | | | | | | | 0,1042 | |
M31.10 | Соответствуют ли роли обеспечения ИБ всем принятым в организации функциям, связанным с ИБ? | | | | | | | 0,1042 | |
Итоговая оценка группового показателя M31 | |
Групповой показатель M32 "Доступность услуг и сервисов, наблюдаемость и оцениваемость обеспечения ИБ"
Обозначение частного показателя ИБ | Частный показатель ИБ | Оценка частного показателя ИБ | Коэффициент значимости частного показателя ИБ | Вычисленное значение показателя ИБ |
0 | 0,25 | 0,5 | 0,75 | 1 | н/о |
M32.1 | Определен ли в соответствующих договорах (соглашениях) с клиентами и контрагентами порядок обеспечения им доступности банковских услуг и сервисов? | | | | | | | 0,1316 | |
M32.2 | Выполняется ли порядок обеспечения доступности банковских услуг и сервисов для клиентов и контрагентов в установленные сроки, если это определено в договорах? | | | | | | | 0,1316 | |
M32.3 | Контролируется ли обеспечение доступности услуг и сервисов для клиентов и контрагентов? | | | | | | | 0,1316 | |
M32.4 | Определены ли документально требования по наблюдаемости (видимости, регистрации) результатов применения защитных мер, используемых в организации? | | | | | | | 0,1316 | |
M32.5 | Выполняются ли рекомендации внутреннего и внешнего аудитов ИБ? | | | | | | | 0,1053 | |
M32.6 | Разработана ли и утверждена в организации программа аудита ИБ, включающая процессы внутреннего аудита ИБ и самооценки ИБ? | | | | | | | 0,1316 | |
M32.7 | Выполняется ли в организации программа аудита ИБ, включающая процессы внутреннего аудита ИБ и самооценки ИБ? | | | | | | | 0,1316 | |
M32.8 | Контролируется (подтверждается) ли руководством организации достоверность свидетельств аудита ИБ, предъявляемых при проведении аудита ИБ? | | | | | | | 0,1051 | |
Итоговая оценка группового показателя M32 | |
Приложение Б
(обязательное)
ФОРМА ЛИСТОВ ДЛЯ СБОРА СВИДЕТЕЛЬСТВ АУДИТА ИБ
Обозначение частного показателя ИБ | Источники свидетельств и свидетельства аудита ИБ (документы, результаты опроса или наблюдений) | Кем предоставлены свидетельства аудита ИБ | Подпись сотрудника/ руководителя | Дата |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
| |
| (подпись) |
| |
| (подпись) |
| |
| (подпись) |