Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0

Таблица 4. Соответствие групповых показателей ИБ

совокупности требований ИБ к областям, определенным

в разделе 7 СТО БР ИББС-1.0

Обозначение группового показателя ИБ	Наименование группового показателя ИБ	Структурный элемент СТО БР ИББС-1.0
М1	Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу	п. 7.2
М2	Обеспечение ИБ на стадиях жизненного цикла АБС	п. 7.3
М3	Обеспечение ИБ при управлении доступом и регистрации	п. 7.4
М4	Обеспечение ИБ средствами антивирусной защиты	п. 7.5
М5	Обеспечение ИБ при использовании ресурсов сети Интернет	п. 7.6
М6	Обеспечение ИБ при использовании средств криптографической защиты информации	п. 7.7
М7	Обеспечение ИБ банковских платежных технологических процессов	п. 7.8
М8	Обеспечение ИБ банковских информационных технологических процессов	п. 7.9
М9	Общие требования по обработке персональных данных в организации БС РФ	п. 7.10
М10	Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные	п. 7.11

7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели М1 00000030.wmz М10) в приложении А.

7.4. Оценивание частных показателей в рамках групповых показателей М1 00000031.wmz М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:

- банковский платежный технологический процесс (М7);

- банковский информационный технологический процесс (М8);

- банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).

7.5. Оценки 00000032.wmz и 00000033.wmz , полученные в результате оценивания групповых показателей ИБ М1 00000034.wmz М10, вносятся в соответствующие графы представленных в приложении А форм.

7.6. Оценивание частных показателей в рамках групповых показателей М1 - М7 для направления банковского платежного технологического процесса следует осуществлять с учетом актуальных результатов последней по времени проведения оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России от 9 июня 2012 года N 382-П) и используемых для вычисления обобщающего показателя 00000035.wmz , установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящей методики, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

7.7. Итоговая оценка 00000036.wmz , отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", вычисляется по формуле:

00000037.wmz , где:

00000038.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

00000039.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

00000040.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

00000041.wmz - степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.

7.8. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 00000042.wmz М6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу и с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П:

00000043.wmz , 00000044.wmz ,

где 00000045.wmz - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1 00000046.wmz М6 выбираются по результатам их оценивания применительно к банковскому информационному технологическому процессу:

00000047.wmz , 00000048.wmz ,

где 00000049.wmz - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей М1 00000050.wmz М5 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

00000051.wmz , 00000052.wmz ,

где 00000053.wmz - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей М1 00000054.wmz М6 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

00000055.wmz , 00000056.wmz ,

где 00000057.wmz - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:

00000058.wmz ,

где 00000059.wmz - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

7.9. Оценки 00000060.wmz , полученные в результате оценивания групповых показателей ИБ М1 00000061.wmz М10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.10. Оценка 00000062.wmz отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению 00000063.wmz .

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации 8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации