10. Особенности оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных
10. Особенности оценки степени выполнения требований
СТО БР ИББС-1.0, регламентирующих защиту персональных
данных в информационных системах персональных данных
10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ и формирования оценки следует использовать уточняющие вопросы, которые детализируют и конкретизируют частные показатели ИБ.
Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации".
Перечень указанных уточняющих вопросов, а также их связь с частными показателями содержится в Приложении В (таблица 1 и таблица 2 соответственно).
Если в конкретной организации БС РФ отдельные требования РС БР ИББС-2.3 заменены иными требованиями, обеспечивающими эквивалентный (аналогичный) уровень безопасности персональных данных, то соответствующие изменения должны быть внесены в перечень уточняющих вопросов в Приложении В.
10.2. Для проведения оценки соответствия ИБ в части информационных систем персональных данных необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы Приложения В. Для этого необходимо:
- на основании ссылок на частный показатель, приведенных в Приложении В, и в соответствии с классом информационной системы персональных данных составить перечень вопросов, соответствующих оцениваемому частному показателю (или воспользоваться таблицей соответствия частных показателей и вопросов, приведенной в Приложении В);
- провести оценивание вопросов Приложения В из перечня вопросов, соответствующих оцениваемому частному показателю;
- провести оценивание частного показателя настоящего стандарта, используя в том числе оценки для вопросов Приложения В.
10.3. Оценка вопросов Приложения В формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Устанавливается следующая шкала степени выполнения проверяемых требований:
- "Выполняется в полном объеме";
- "Выполняется не в полном объеме";
Оценка вопросов Приложения В должна основываться на свидетельствах аудита ИБ, приведенных в п. 6.11 настоящего стандарта.
10.4. Оценивание частных показателей следует проводить в соответствии с рекомендуемыми критериями выставления оценок частных показателей информационной безопасности, определенными в п. 6.7 настоящего стандарта.
Оценивание всех вопросов из составленного перечня вопросов Приложения В является необходимым для оценивания частного показателя.
При проведении оценивания частных показателей следует использовать следующий общий подход:
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей