4. Самооценка соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0
4. Самооценка соответствия информационной безопасности
организаций банковской системы Российской Федерации
требованиям СТО БР ИББС-1.0
4.1. Самооценка соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0 проводится согласно Методике по направлениям оценки:
- текущий уровень ИБ организации;
- уровень осознания ИБ организации.
4.2. При проведении самооценки соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 необходимо:
- ознакомиться с Методикой, в частности, с набором частных и групповых показателей ИБ, направлениями оценки, способом вычисления групповых показателей ИБ, способами вычисления оценок в рамках направлений и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0;
- провести определение набора частных показателей ИБ, попадающих в область самооценки;
- провести оценивание необходимых частных показателей ИБ;
- провести вычисление значений оценок групповых показателей ИБ, значений оценок в рамках направлений и итогового уровня соответствия ИБ.
4.3. Все частные показатели ИБ Методики должны быть оценены. Однако перед оцениванием частных показателей ИБ необходимо провести анализ актуальности требований ИБ, проверяемых частными показателями ИБ Методики, для основной или вспомогательной деятельности организации БС РФ. Неактуальным требование ИБ может быть признано только в том случае, если организация не занимается деятельностью, к которой данное требование ИБ имеет отношение. В этом случае соответствующие частные показатели определяются как неоцениваемые и не учитываются в формировании дальнейших результатов по самооценке.
4.4. Определение частного показателя как неоцениваемого может быть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этом необходимо выполнить процедуру пересчета коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя ИБ с сохранением степени их значимости на вычисляемое значение группового показателя ИБ.
При определении частного показателя ИБ как неоцениваемого должно быть подготовлено документально оформленное обоснование неактуальности указанного частного показателя ИБ для деятельности организации БС РФ.
4.5. Оценка частного показателя ИБ формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Методика устанавливает следующую шкалу степени выполнения проверяемых требований:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
4.6. Оценка частного показателя ИБ должна основываться на свидетельствах самооценки, в качестве основных источников которых рекомендуется использовать:
- нормативные документы проверяемой организации БС РФ и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;
- устные высказывания сотрудников проверяемой организации БС РФ в процессе проводимых опросов;
- результаты наблюдений проверяющих за деятельностью сотрудников организации БС РФ в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации БС РФ и наблюдений за деятельностью указанных сотрудников члены проверяющей группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям нормативных документов проверяемой организации БС РФ.
Полученные свидетельства самооценки ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств самооценки ИБ, пример которых приведен в приложении А. При заполнении листов для сбора свидетельств самооценки ИБ необходимо указать ссылки на соответствующие нормативные документы проверяемой организации БС РФ, результаты опроса сотрудников организации БС РФ, а также результаты наблюдений проверяющей группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена проверяющей группы соответственно.
4.7. Для выявления степени выполнения требований ИБ при проведении оценки частных показателей рекомендуется использовать следующий общий подход:
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей