6. Показатели информационной безопасности. Способы оценивания показателей
6. Показатели информационной безопасности.
Способы оценивания показателей
6.1. Для оценки степени соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0 используются групповые и частные
показатели ИБ. Групповые показатели ИБ образуют структуру
направлений оценки, детализируя оценки текущего уровня ИБ,
менеджмента и уровня осознания ИБ. Оценки групповых показателей
(EV ) используются для получения оценки по направлениям (EV1, EV2
Mi
и EV3). Частные показатели ИБ входят в состав групповых
показателей и представлены в виде вопросов, ответы на которые дают
возможность определить оценки (EV ), которые затем формируют
Mi.j
оценки EV групповых показателей.
Mi
Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.
6.2. Все частные показатели должны быть оценены. Оценка EV
Mi.j
частного показателя формируется на основании выявленной
аудиторской группой степени выполнения требований посредством
экспертного оценивания. Устанавливается следующая шкала степени
выполнения требований:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм. Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации БС РФ, что документально зафиксировано, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. Определение частного показателя как неоцениваемого может быть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этом необходимо выполнить процедуру перенормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.3. Для выявления степени выполнения требований ИБ при проведении оценки частных показателей рекомендуется использовать следующий общий подход:
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей