Таблица 3. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ
┌──────────┬──────────────────────────────────────────────────────────────┐
│ Оценка │ Критерий выставления оценки частного показателя ИБ │
│ частного │ │
│показателя│ │
│ ИБ │ │
├──────────┼──────────────────────────────────────────────────────────────┤
│ 0 │Требования частного показателя ИБ не выполняются │
├──────────┼──────────────────────────────────────────────────────────────┤
│ 0,5 │Требования частного показателя ИБ выполняются в неполном │
│ │объеме │
├──────────┼──────────────────────────────────────────────────────────────┤
│ 1 │Требования частного показателя ИБ выполняются в полном объеме │
└──────────┴──────────────────────────────────────────────────────────────┘
6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (), за исключением группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", вычисляется из оценок входящих в него частных показателей (
) с учетом коэффициентов значимости
, определяющих важность частного показателя для оценивания группового показателя:
При формировании коэффициентов значимости учитывалось следующее условие нормировки:
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости для каждого частного показателя, за исключением частных показателей группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", приведены в Приложении А.
6.13. Оценка группового показателя () для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" определяется по наименьшему значению оценок входящих в него частных показателей. При этом для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" коэффициенты значимости не определены.
6.14. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для ,
,
,
,
, EV2 или EV3 (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей. Оценки для таких групповых показателей не отображаются на круговой диаграмме (см. раздел 11).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей