"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР...

Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0

Таблица 4. Соответствие групповых показателей ИБ

совокупности требований ИБ к областям, определенным

в разделе 7 СТО БР ИББС-1.0

Обозначение группового показателя ИБ

Наименование группового показателя ИБ

Структурный элемент СТО БР ИББС-1.0

М1

Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу

п. 7.2

М2

Обеспечение ИБ на стадиях жизненного цикла АБС

п. 7.3

М3

Обеспечение ИБ при управлении доступом и регистрации

п. 7.4

М4

Обеспечение ИБ средствами антивирусной защиты

п. 7.5

М5

Обеспечение ИБ при использовании ресурсов сети Интернет

п. 7.6

М6

Обеспечение ИБ при использовании средств криптографической защиты информации

п. 7.7

М7

Обеспечение ИБ банковских платежных технологических процессов

п. 7.8

М8

Обеспечение ИБ банковских информационных технологических процессов

п. 7.9

М9

Общие требования по обработке персональных данных в организации БС РФ

п. 7.10

М10

Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

п. 7.11

7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели М1 Рисунок 30 М10) в приложении А.

7.4. Оценивание частных показателей в рамках групповых показателей М1 Рисунок 31 М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:

- банковский платежный технологический процесс (М7);

- банковский информационный технологический процесс (М8);

- банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).

7.5. Оценки Рисунок 32 и Рисунок 33, полученные в результате оценивания групповых показателей ИБ М1 Рисунок 34 М10, вносятся в соответствующие графы представленных в приложении А форм.

7.6. Оценивание частных показателей в рамках групповых показателей М1 - М7 для направления банковского платежного технологического процесса следует осуществлять с учетом актуальных результатов последней по времени проведения оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России от 9 июня 2012 года N 382-П) и используемых для вычисления обобщающего показателя Рисунок 35, установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящей методики, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

7.7. Итоговая оценка Рисунок 36, отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", вычисляется по формуле:

Рисунок 37, где:

Рисунок 38 - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

Рисунок 39 - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

Рисунок 40 - степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

Рисунок 41 - степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.

7.8. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 Рисунок 42 М6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу и с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П:

Рисунок 43, Рисунок 44,

где Рисунок 45 - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 Рисунок 46 М6 выбираются по результатам их оценивания применительно к банковскому информационному технологическому процессу:

Рисунок 47, Рисунок 48,

где Рисунок 49 - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей М1 Рисунок 50 М5 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

Рисунок 51, Рисунок 52,

где Рисунок 53 - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей М1 Рисунок 54 М6 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

Рисунок 55, Рисунок 56,

где Рисунок 57 - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:

Рисунок 58,

где Рисунок 59 - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

7.9. Оценки Рисунок 60, полученные в результате оценивания групповых показателей ИБ М1 Рисунок 61 М10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.10. Оценка Рисунок 62 отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значениюРисунок 63.

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации 8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации