Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" (введены в действие распоряжением Банка России от 28.04.2007 N Р-347)

Рекомендации в области стандартизации Банка России
РС БР ИББС-2.1-2007
"Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0"
(введены в действие распоряжением Банка России от 28 апреля 2007 года N Р-347)

Дата введения: 2007-05-01

Введены впервые

Введение

Стандартом Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определенно требование проведения регулярной самооценки ИБ.

Самооценка соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 должна проводиться в соответствии со стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006".

1. Область применения

Настоящее руководство распространяется на организации БС РФ, проводящие самооценку соответствия информационной безопасности (ИБ) требованиям СТО БР ИББС-1.0 и устанавливает подходы к проведению указанной самооценки.

Настоящее руководство рекомендовано для применения путем прямого использования устанавливаемых в нем положений при проведении самооценки ИБ в организациях БС РФ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.

Положения настоящего руководства применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договора.

2. Нормативные ссылки

В настоящем руководстве использованы нормативные ссылки на следующие стандарты:

СТО БР ИББС-1.0

СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности"

СТО БР ИББС-1.2-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006"

3. Термины и определения

В настоящем руководстве применены термины в соответствии со стандартами СТО БР ИББС-1.0, СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006" (далее - Методика).

4. Самооценка соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0

4.1. Самооценка соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0 проводится согласно Методике по направлениям оценки:

- текущий уровень ИБ организации;

- менеджмент ИБ организации;

- уровень осознания ИБ организации.

4.2. При проведении самооценки соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 необходимо:

- ознакомиться с Методикой, в частности, с набором частных и групповых показателей ИБ, направлениями оценки, способом вычисления групповых показателей ИБ, способами вычисления оценок в рамках направлений и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0;

- провести определение набора частных показателей ИБ, попадающих в область самооценки;

- провести оценивание необходимых частных показателей ИБ;

- провести вычисление значений оценок групповых показателей ИБ, значений оценок в рамках направлений и итогового уровня соответствия ИБ.

4.3. Все частные показатели ИБ Методики должны быть оценены. Однако перед оцениванием частных показателей ИБ необходимо провести анализ актуальности требований ИБ, проверяемых частными показателями ИБ Методики, для основной или вспомогательной деятельности организации БС РФ. Неактуальным требование ИБ может быть признано только в том случае, если организация не занимается деятельностью, к которой данное требование ИБ имеет отношение. В этом случае соответствующие частные показатели определяются как неоцениваемые и не учитываются в формировании дальнейших результатов по самооценке.

4.4. Определение частного показателя как неоцениваемого может быть реализовано путем исключения частного показателя ИБ из числа оцениваемых, при этом необходимо выполнить процедуру пересчета коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя ИБ с сохранением степени их значимости на вычисляемое значение группового показателя ИБ.

При определении частного показателя ИБ как неоцениваемого должно быть подготовлено документально оформленное обоснование неактуальности указанного частного показателя ИБ для деятельности организации БС РФ.

4.5. Оценка частного показателя ИБ формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Методика устанавливает следующую шкалу степени выполнения проверяемых требований:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

4.6. Оценка частного показателя ИБ должна основываться на свидетельствах самооценки, в качестве основных источников которых рекомендуется использовать:

- нормативные документы проверяемой организации БС РФ и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации БС РФ;

- устные высказывания сотрудников проверяемой организации БС РФ в процессе проводимых опросов;

- результаты наблюдений проверяющих за деятельностью сотрудников организации БС РФ в области ИБ.

В процессе проведения устного опроса сотрудников проверяемой организации БС РФ и наблюдений за деятельностью указанных сотрудников члены проверяющей группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям нормативных документов проверяемой организации БС РФ.

Полученные свидетельства самооценки ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств самооценки ИБ, пример которых приведен в приложении А. При заполнении листов для сбора свидетельств самооценки ИБ необходимо указать ссылки на соответствующие нормативные документы проверяемой организации БС РФ, результаты опроса сотрудников организации БС РФ, а также результаты наблюдений проверяющей группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации БС РФ или члена проверяющей группы соответственно.

4.7. Для выявления степени выполнения требований ИБ при проведении оценки частных показателей рекомендуется использовать следующий общий подход:

Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ

Оценка частного показателя ИБ	Критерий выставления оценки частного показателя ИБ
0	Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и не выполняются
0	Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены в нормативных документах проверяемой организации БС РФ, но не выполняются
0,25	Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены в нормативных документах проверяемой организации БС РФ, но не выполняются
0,25	Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,25	Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,5	Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в неполном объеме
0,5	Требования, степень выполнения которых оценивается в частном показателе ИБ, не установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме
0,75	Требования, степень выполнения которых оценивается в частном показателе ИБ, частично установлены во внутренних нормативных документах проверяемой организации БС РФ, но выполняются в полном объеме
1	Требования, степень выполнения которых оценивается в частном показателе ИБ, полностью установлены во внутренних нормативных документах проверяемой организации БС РФ и выполняются в полном объеме

4.8. В случае исключения всех частных показателей ИБ в пределах отдельного группового показателя ИБ необходимо исключить указанный групповой показатель ИБ из числа показателей, формирующих оценку в рамках направления, что отражается в корректировке формулы вычисления оценки в рамках направления Методики.

4.9. Для выполнения самооценки соответствия ИБ рекомендуется использовать Систему автоматизации процессов самооценки соответствия ИБ положениям и требованиям СТО БР ИББС-1.0, для чего необходимо ознакомиться с рекомендуемыми Банком России документами, содержащими общее описание и руководство пользователя указанной Системы.

4.10. По результатам проведения самооценки должен быть подготовлен отчет, содержащий:

- заполненные анкеты оценивания групповых показателей ИБ;

- документы, обосновывающие исключение частных показателей из области самооценки;

- заполненные листы для сбора свидетельств самооценки, подтверждающие выставленные оценки частных показателей ИБ;

- документы, содержащие результаты самооценки соответствия ИБ по направлениям оценки и итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0, а также круговою диаграмму оценивания групповых показателей ИБ, определенную и описанную в Методике.

4.11. Полученное по результатам самооценки значение итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0, соответствующее интервалу от 0,85 до 1 включительно, является рекомендуемым Банком России.

5. Порядок проведения самооценки информационной безопасности организаций банковской системы Российской Федерации

В состав работ по проведению самооценки ИБ в организации БС РФ рекомендуется включать следующие этапы:

- подготовка к проведению самооценки ИБ;

- анализ документов;

- проведение самооценки ИБ на месте;

- подготовка и рассылка отчета с результатами самооценки ИБ.

5.1. Подготовка к проведению самооценки информационной безопасности

5.1.1. В рамках подготовки к проведению самооценки ИБ рекомендуется выполнить:

- формирование группы для проведения самооценки из числа сотрудников подразделения ИБ организации БС РФ;

- определение руководителя проверяющей группы;

- формирование плана проведении самооценки ИБ;

- установление ролей и обязанностей для выполнения и использования результатов самооценки ИБ;

- определение формы отчета с результатами самооценки ИБ.

5.1.2. При определении размера и состава группы для проведения самооценки ИБ (проверяющей группы) должна учитываться компетентность проверяющей группы, в основе которой лежит уровень квалификации ее участников. Если участники проверяющей группы не обладают необходимыми знаниями и опытом по специальным вопросам, то в группу включают технических экспертов. Технические эксперты должны работать под руководством участников проверяющей группы.

5.1.3. Если при рассмотрении результатов работы технического эксперта проверяющей группой выявляются существенные несоответствия между заключением эксперта и информацией (документами) проверяемого подразделения либо проверяющая группа считает, что выводы эксперта необоснованны, то проверяющей группе рекомендуется провести дополнительные процедуры, обеспечивающие проверку обоснованности заключения эксперта, или назначить другого эксперта.

5.1.4. Заключение технического эксперта рекомендуется включать в рабочие документы проверяющей группы. Если в исключительном случае технический эксперт дает устные разъяснения, то такие разъяснения должны быть отражены проверяющей группой в ее рабочих документах.

5.1.5. Использование работы технического эксперта при проведении самооценок ИБ не снимает ответственности за заключение с членов проверяющей группы.

5.1.6. В план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:

- цель самооценки ИБ;

- объекты и деятельность, подвергающиеся самооценке ИБ;

- даты и продолжительность проведения самооценки ИБ;

- распределение ролей среди членов проверяющей группы, связанных с анализом документов, проведением самооценки на месте и подготовкой и рассылкой отчета с результатами самооценки;

- порядок и сроки выполнения мероприятий по анализу документов;

- порядок и сроки выполнения мероприятий по проведению самооценки ИБ на месте;

- порядок и сроки выполнения мероприятий по подготовке и рассылке отчета с результатами самооценки ИБ.

Рекомендуется согласовать план проведения самооценки со всеми заинтересованными сторонами, а также утвердить его ответственным за процесс самооценки ИБ (из числа представителей высшего руководства организации БС РФ).

5.1.7. Члены проверяющей группы должны подготовить рабочие документы, необходимые для регистрации результатов самооценки ИБ. Рабочие документы должны храниться по крайней мере до окончания самооценки ИБ. Документы, содержащие конфиденциальную или частную информацию, должны храниться с соблюдением соответствующих требований безопасности.

В приложении А представлена рекомендуемая форма листов для сбора свидетельств самооценки ИБ. В листах должна отражаться информация, которая получена проверяющими при проведении самооценки ИБ с помощью различных методов получения свидетельства самооценки ИБ (при опросе, наблюдении за деятельностью и анализе выявленных нормативных документов).

5.1.8. Руководство организации БС РФ должно установить и обеспечить ресурсы для поддержки самооценки ИБ, включая определение лиц, ответственных за все аспекты самооценки ИБ, и соответствующую финансовую и инфраструктурную поддержку для обеспечения необходимых функций самооценки ИБ, таких, как сбор, анализ, хранение, сообщение и распределение данных.

5.1.9. Руководству организации БС РФ рекомендуется установить ответственного за процесс самооценки ИБ (из числа представителей высшего руководства), а также утвердить регламент проведения самооценки, в котором определить:

- порядок формирования, сбора и хранения свидетельств самооценки;

- периодичность проведения самооценки ИБ;

- порядок хранения и распространения результатов самооценки ИБ.

5.1.10. Для ответственного за процесс самооценки ИБ рекомендуется определить следующие обязанности:

- взаимодействовать с руководителями проверяемых подразделений для содействия самооценке ИБ;

- создавать возможности сбора данных для самооценки ИБ;

- назначать квалифицированный персонал для разработки и реализации плана самооценки ИБ;

- обеспечивать использование единого процесса по всей организации для процедур самооценки ИБ.

5.1.11. Самооценку ИБ рекомендуется предварить вступительным совещанием. Данное совещание с участием членов проверяющей группы и лиц, ответственных за проверяемые подразделения, подлежащие проверке, должно проводиться с целью изложения действий по проведению самооценки ИБ и согласования способов обмена информацией между проверяющей группой и представителями проверяемых подразделений. Председательствовать на совещании должен руководитель проверяющей группы.

Изложение действий по проведению самооценки ИБ заключается прежде всего в рассмотрении вопросов об источниках, методах получения и достоверности свидетельств самооценки ИБ, необходимых для оценивания частных показателей Методики.

5.1.12. В одних случаях вступительное совещание может просто состоять из сообщения, что будет проводиться самооценка ИБ, и разъяснения характера самооценки ИБ.

В других случаях на совещании рекомендуется выполнить:

- представление участников проверяющей группы, включая изложение их ролей;

- согласование графика проведения самооценки;

- ознакомление с методами и процедурами, используемыми при проведении самооценки ИБ;

- согласование способов обмена информацией между проверяющей группой и проверяемыми подразделениями организации БС РФ;

- согласование доступности ресурсов и оборудования, необходимых проверяющей группе;

- согласование принципов обеспечения конфиденциальности;

- ознакомление с формой составления отчета с результатами проведения самооценки ИБ;

- информирование о порядке рассмотрения замечаний проверяемых подразделений организации БС РФ по проведению или заключению по результатам самооценки ИБ.

5.2. Анализ документов

5.2.1. До проведения самооценки на месте проверяющей группой рекомендуется провести анализ необходимой документации, регламентирующей обеспечение ИБ в проверяемых подразделениях организации БС РФ для определения соответствия положений, отраженных в документации, требованиям СТО БР ИББС-1.0.

5.2.2. Анализ документов, выполняемый в процессе самооценки, производится с целью сбора свидетельств самооценки, позволяющих оценить значения частных показателей ИБ Методики.

Рекомендуемый перечень документов, необходимый членам проверяемой группы для анализа соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0, приведен в приложении Б.

5.2.3. Кроме перечисленных в приложении Б документов, на этапе анализа могут быть получены другие документы, содержащие свидетельства выполнения деятельности по обеспечению ИБ. Это могут быть:

- реестры и описи;

- регистрационные журналы;

- протоколы;

- приказы и распоряжения;

- акты;

- договоры;

- отчеты.

5.3. Проведение самооценки информационной безопасности на месте

5.3.1. Проведение самооценки ИБ на месте должно включать:

- сбор дополнительных свидетельств самооценки ИБ;

- оценку частных показателей ИБ Методики;

- проведение заключительного совещания.

5.3.2. Основными источниками свидетельств самооценки ИБ при проведении ИБ на месте являются:

- документы, которые по каким-либо причинам не были выявлены на этапе анализа документов и содержащие необходимые свидетельства самооценок ИБ;

- устные высказывания сотрудников проверяемых подразделений;

- результаты наблюдений членов проверяющей группы за деятельностью по реализации требований нормативных документов в области обеспечения ИБ.

5.3.3. На основании собранных свидетельств самооценки, зафиксированных в листах для сбора свидетельств самооценки, проверяющие формируют оценки частных показателей Методики.

5.3.4. По окончании этапа проведения самооценки ИБ на месте рекомендуется провести заключительное совещание с участием представителей проверяющей группы и проверяемых подразделений под председательством руководителя проверяющей группы.

На совещании должны быть представлены результаты оценивания по каждому из частных показателей Методики таким образом, чтобы они были понятны и признаны всеми заинтересованными лицами и подразделениями организации БС РФ. Любые разногласия по оцениванию частных показателей Методики должны быть обсуждены и по возможности разрешены. Если единое мнение не найдено, то это должно быть зафиксировано документально.

На совещании могут быть представлены рекомендации по повышению уровня ИБ.

5.4. Подготовка и рассылка отчета с результатами самооценки информационной безопасности

5.4.1. По результатам оценивания частных показателей ИБ Методики проверяющая группа должна провести оценку уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 и подготовить отчет самооценки ИБ. Помимо документов, определенных в пункте 4.10 настоящего руководства, отчет с результатами самооценки ИБ должен содержать:

- сведения об организации БС РФ, проводившей самооценку ИБ;

- сведения о руководителе и членах проверяющей группы;

- сроки проведения самооценки;

- краткое изложение процесса самооценки;

- любые неразрешенные разногласия;

- заявление о конфиденциальном характере содержания отчета с результатами самооценки ИБ;

- лист рассылки отчета с результатами самооценки ИБ.

Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ (из числа представителей высшего руководства организации БС РФ).

5.4.2. Проверенный и приобретший окончательную форму отчет с результатами самооценки ИБ может быть распространен между всеми причастными сторонами, включая главу организации БС РФ, руководителей и сотрудников подразделения информационной безопасности и другие заинтересованные стороны.

Члены организации БС РФ должны иметь доступ к отчету с результатами самооценки ИБ в соответствии с принципом необходимого знания и имеющимися у них правами.

Может потребоваться распространить результаты самооценки ИБ среди внешних причастных сторон, включая органы регулирования, акционеров, клиентов и поставщиков.