Таблица 3. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.

6.11. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:

- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.

В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.

Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.

6.12. Оценка группового показателя (), за исключением группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", вычисляется из оценок входящих в него частных показателей () с учетом коэффициентов значимости , определяющих важность частного показателя для оценивания группового показателя:

.

При формировании коэффициентов значимости учитывалось следующее условие нормировки:

,

где k - число частных показателей в i-м групповом показателе.

Коэффициенты значимости для каждого частного показателя, за исключением частных показателей группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", приведены в Приложении А.

6.13. Оценка группового показателя () для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" определяется по наименьшему значению оценок входящих в него частных показателей. При этом для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" коэффициенты значимости не определены.

6.14. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для , , , , , EV2 или EV3 (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей. Оценки для таких групповых показателей не отображаются на круговой диаграмме (см. раздел 11).