Таблица 3 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

┌─────────────┬───────────────────────────────────────────────────────────┐

│ Оценка │ Критерий выставления оценки частного показателя ИБ │

│ частного │ │

│показателя ИБ│ │

├─────────────┼───────────────────────────────────────────────────────────┤

│ 0 │Требования частного показателя ИБ не выполняются │

│ 0,5 │Требования частного показателя ИБ выполняются в неполном │

│ │объеме │

│ 1 │Требования частного показателя ИБ выполняются в полном │

│ │объеме │

└─────────────┴───────────────────────────────────────────────────────────┘

6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.

6.11. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:

- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.

В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.

Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.

6.12. Оценка группового показателя (EV ) вычисляется из оценок

входящих в него частных показателей (EV ) с учетом коэффициентов

Mi.j

значимости альфа , определяющих важность частного показателя для

i.j

оценивания группового показателя:

EV = SUM альфа x EV .

Mi j i.j Mi.j

При формировании коэффициентов значимости учитывалось следующее условие нормировки:

SUM альфа = 1,

j=1 i.j

где k - число частных показателей в i-м групповом показателе.

Коэффициенты значимости альфа для каждого частного показателя

i.j

приведены в Приложении А.

6.13. Если в рамках группового показателя все входящие в него частные

показатели определены как неоцениваемые, указанный групповой показатель

также определяется как неоцениваемый и не учитывается в формировании

дальнейших результатов оценки. В этом случае групповой показатель не

учитывается в формулах расчета для EV , EV , EV2 или EV3 (см. разделы

БИТП БПТП

7, 8, 9) с соответствующей корректировкой в формулах расчета количества

оцениваемых групповых показателей. Оценки для таких групповых показателей

не отображаются на круговой диаграмме (см. раздел 10).