Совершенствование СМИБ

│ Совершенствование СМИБ │

├──────────────┬──────────────────────────────────────────┬────────────────────┤

│ M24 │Реализация тактических улучшений в СМИБ │ элемент │

│ │ │ перечисления а) │

│ │ │ раздела 9.4 │

├──────────────┼──────────────────────────────────────────┼────────────────────┤

│ M25 │Реализация стратегических улучшений │ элемент │

│ │СМИБ. Использование опыта │ перечисления б) │

│ │ │ раздела 9.4 │

├──────────────┼──────────────────────────────────────────┼────────────────────┤

│ M26 │Информирование об изменениях и их │ элемент │

│ │согласование с заинтересованными │ перечисления в) │

│ │сторонами │ раздела 9.4 │

├──────────────┼──────────────────────────────────────────┼────────────────────┤

│ M27 │Оценка достижения поставленных целей │ элемент │

│ │ │ перечисления г) │

│ │ │ раздела 9.4 │

└──────────────┴──────────────────────────────────────────┴────────────────────┘

8.3. Частные показатели по направлению оценки "менеджмент ИБ

.

организации" (показатели M9 - M27) и метрики приведены в

.

приложении А.

8.4. Оценка частного показателя ИБ (EV ) определяется

Mi.j

посредством экспертного оценивания. Для принятия решения следует

производить анализ нормативных, распорядительных, программных и

других документов организации БС РФ, имеющих отношение к

проверяемым областям ИБ, и уточнять полученную информацию с

помощью опросов сотрудников организации БС РФ и наблюдения за

деятельностью.

Если в результате оценивания частного показателя Mi.j

аудиторской группой сделан вывод о невыполнении соответствующих

требований ИБ (отсутствии процессов менеджмента), то оценке EV

Mi.j

присваивается значение, равное нулю.

Если в результате оценивания частного показателя Mi.j

аудиторской группой сделан вывод о частичном выполнении

соответствующих требований ИБ (частичной реализации процессов

менеджмента), то оценка EV по решению аудиторской группы может

Mi.j

быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от

степени выполнения требований ИБ или реализации процессов

менеджмента).

Если в результате оценивания частного показателя Mi.j

аудиторской группой сделан вывод о полном выполнении

соответствующих требований ИБ (реализации процессов менеджмента),

то оценке EV присваивается значение, равное единице.

Mi.j

8.5. Оценка группового показателя (EV ) вычисляется из оценок

Mi

входящих в него частных показателей (EV ) с учетом

Mi.j

коэффициентов значимости альфа :

i.j

EV = SUMальфа x EV ,

Mi j i.j Mi.j

.

где j = 1 - Ni;

.

Ni - количество частных показателей ИБ, представляющих

групповой показатель Mi;

.

i = 9 - 27.

.

Коэффициенты значимости альфа для каждого частного

i.j

показателя приведены в приложении А.

8.6. Оценки EV и EV , полученные в результате оценивания

Mi.j Mi

.

групповых показателей ИБ M9 - M27, вносятся в соответствующие

.

графы представленных в приложении А форм.

8.7. Оценка EV2 , определяющая уровень процессов планирования

ПЛ

СМИБ организации БС РФ, вычисляется по формуле:

13

SUMEV

i=9 Mi

EV2 = ---------.

ПЛ 5

8.8. Оценка EV2 , определяющая уровень процессов реализации и

Р

эксплуатации СМИБ организации БС РФ, вычисляется по формуле:

18

SUMEV

i=14 Mi

EV2 = ---------.

Р 5

8.9. Оценка EV2 , определяющая уровень процессов проверки

ПР

СМИБ организации БС РФ, вычисляется по формуле:

23

SUMEV

i=19 Mi

EV2 = ---------.

ПР 5

8.10. Оценка EV2 , определяющая уровень процессов

С

совершенствования СМИБ организации БС РФ, вычисляется по формуле:

27

SUMEV

i=24 Mi

EV2 = ---------.

С 4

8.11. Итоговая оценка EV2, отражающая уровень процессов СМИБ

организации БС РФ, определяется по наименьшему значению из оценок

EV2 , EV2 , EV2 и EV2 .

ПЛ Р ПР С

8.12. Оценки EV , полученные в результате оценивания

Mi

.

групповых показателей ИБ M9 - M27, отображаются на круговой

.

диаграмме (см. раздел 10) в секторах с 9-го по 27-й дугами,

отстающими от центра круговой диаграммы на величину,

соответствующую значению этих оценок.