Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0

┌───────────┬────────────────────────────────────────────────┬────────────┐

│Обозначение│ Наименование группового показателя ИБ │Структурный │

│группового │ │ элемент │

│показателя │ │ СТО БР │

│ ИБ │ │ ИББС-1.0 │

├───────────┼────────────────────────────────────────────────┼────────────┤

│ M1 │Обеспечение ИБ при назначении и распределении │ п. 7.2 │

│ │ролей и обеспечении доверия к персоналу │ │

│ M2 │Обеспечение ИБ на стадиях жизненного цикла АБС │ п. 7.3 │

│ M3 │Обеспечение ИБ при управлении доступом и │ п. 7.4 │

│ │регистрации │ │

│ M4 │Обеспечение ИБ средствами антивирусной защиты │ п. 7.5 │

│ M5 │Обеспечение ИБ при использовании ресурсов сети │ п. 7.6 │

│ │Интернет │ │

│ M6 │Обеспечение ИБ при использовании средств │ п. 7.7 │

│ │криптографической защиты информации │ │

│ M7 │Обеспечение ИБ банковских платежных │ п. 7.8 │

│ │технологических процессов │ │

│ M8 │Обеспечение ИБ банковских информационных │ п. 7.9 │

│ │технологических процессов │ │

│ M9 │Общие требования по обработке персональных │ п. 7.10 │

│ │данных в организации БС РФ │ │

│ M10 │Общие требования по обеспечению информационной │ п. 7.11 │

│ │безопасности банковских технологических │ │

│ │процессов, в рамках которых обрабатываются │ │

│ │персональные данные │ │

└───────────┴────────────────────────────────────────────────┴────────────┘

7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели M1 00000025.wmz M10), метрики, а также коэффициенты значимости 00000026.wmz приведены в Приложении А.

7.4. Оценивание частных показателей в рамках групповых показателей M1 00000027.wmz M6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:

- банковский платежный технологический процесс (M7);

- банковский информационный технологический процесс (M8);

- банковский технологический процесс, в рамках которого обрабатываются персональные данные (M10).

7.5. Оценки 00000028.wmz и 00000029.wmz , полученные в результате оценивания групповых показателей ИБ M1 00000030.wmz M10, вносятся в соответствующие графы представленных в Приложении А форм.

7.6. Итоговая оценка EV1, отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", определяется по наименьшему значению из следующих оценок:

00000031.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

00000032.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

00000033.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

00000034.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.

7.7. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей M1 00000035.wmz M6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу:

00000036.wmz .

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей M1 00000037.wmz M6 выбираются по результатам их оценивания, применительно к банковскому информационному технологическому процессу:

00000038.wmz .

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных (ИСПДн), без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей M1 00000039.wmz M5 выбираются по результатам их оценивания, применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

00000040.wmz .

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей M1 00000041.wmz M6 выбираются по результатам их оценивания, применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

00000042.wmz .

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:

00000043.wmz .

7.8. Оценки 00000044.wmz , полученные в результате оценивания групповых показателей ИБ M1 00000045.wmz M10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV1.

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации 8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации