"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР...

6. Показатели информационной безопасности. Способы оценивания показателей

6. Показатели информационной безопасности. Способы

оценивания показателей

6.1. Для оценки степени соответствия обеспечения ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей (00000012.wmz) используются для получения оценки по направлениям (00000013.wmz, 00000014.wmz и 00000015.wmz). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (00000016.wmz), которые затем формируют оценки 00000017.wmz групповых показателей.

Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ.

6.2. Частные показатели разделены на два типа. К первому типу относятся частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Ко второму типу относятся частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным типам определена в формах приложения А.

6.3. Способ оценивания частного показателя зависит от его принадлежности к одному из типов, определенных в п. 6.2 настоящей методики.

6.4. Оценка 00000018.wmz частного показателя формируется на основании выявленной проверяющей группой степени выполнения требований посредством экспертного оценивания.

Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм.

6.5. Для частных показателей, выполнение которых обязательно (первый тип), устанавливается следующая шкала степени их выполнения:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что зафиксировано документами организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.6. Для частных показателей, выполнение которых рекомендуется (второй тип), устанавливается следующая шкала степени их выполнения:

- "да" - оценке присваивается значение, равное единице;

- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.7. При проведении оценки частных показателей, для которых оценивается как степень их установления (определения) в организации БС РФ, так и степень выполнения (частный показатель категории проверки 1), используется следующий общий подход:

5. Общие положения Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ