Стандарт Банка России СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)

Дата введения: 1 июня 2014 г.

Взамен СТО БР ИББС-1.2-2010

Введение

Стандартом Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярного аудита ИБ и самооценки ИБ.

Настоящий стандарт устанавливает способы определения степени выполнения требований стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", а также итогового уровня соответствия ИБ требованиям стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" при проведении аудита ИБ и самооценки ИБ.

1. Область применения

Настоящий стандарт распространяется на организации БС РФ, а также на организации, проводящие оценку соответствия ИБ организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0).

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок соответствия ИБ.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.

2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.

3. Термины и определения

В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности", а также следующие термины с соответствующими определениями.

3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.

3.2. Проверяющая организация: Организация, проводящая оценку соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

3.3. Проверяемая организация: Организация БС РФ, обеспечение ИБ которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.

4. Обозначения и сокращения

АБС - автоматизированная банковская система;

БС - банковская система;

ЖЦ - жизненный цикл;

ИБ - информационная безопасность;

ИСПДн - информационные системы персональных данных;

НСД - несанкционированный доступ;

НРД - нерегламентированные действия в рамках предоставленных полномочий;

РФ - Российская Федерация;

СКЗИ - средство криптографической защиты информации;

СМИБ - система менеджмента информационной безопасности;

СИБ - система информационной безопасности;

СОИБ - система обеспечения информационной безопасности;

ЭВМ - электронная вычислительная машина;

ЭП - электронная подпись;

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

- оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;

- оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;

i - номер группового показателя;

j - номер частного показателя;

- обозначение частного показателя;

R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

5. Общие положения

5.1. Целью настоящей методики является стандартизация подходов и способов оценки соответствия обеспечения ИБ организации БС РФ требованиям СТО БР ИББС-1.0 по направлениям оценки:

- текущий уровень ИБ организации;

- менеджмент ИБ организации;

- уровень осознания ИБ организации.

5.2. Задачами настоящей методики являются:

- определение состава показателей ИБ и способов их оценивания;

- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;

- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;

- определения итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.

6. Показатели информационной безопасности. Способы оценивания показателей

6.1. Для оценки степени соответствия обеспечения ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей используются для получения оценки по направлениям ( и ). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки , которые затем формируют оценки групповых показателей.

Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ.

6.2. Частные показатели разделены на два типа. К первому типу относятся частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Ко второму типу относятся частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным типам определена в формах приложения А.

6.3. Способ оценивания частного показателя зависит от его принадлежности к одному из типов, определенных в п. 6.2 настоящей методики.

6.4. Оценка частного показателя формируется на основании выявленной проверяющей группой степени выполнения требований посредством экспертного оценивания.

Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в приложении А форм.

6.5. Для частных показателей, выполнение которых обязательно (первый тип), устанавливается следующая шкала степени их выполнения:

- "нет" - оценке присваивается значение, равное нулю;

- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;

- "да" - оценке присваивается значение, равное единице.

Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что зафиксировано документами организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.6. Для частных показателей, выполнение которых рекомендуется (второй тип), устанавливается следующая шкала степени их выполнения:

- "да" - оценке присваивается значение, равное единице;

- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки.

6.7. При проведении оценки частных показателей, для которых оценивается как степень их установления (определения) в организации БС РФ, так и степень выполнения (частный показатель категории проверки 1), используется следующий общий подход:

Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ

Оценка частного показателя ИБ	Критерий выставления оценки частного показателя ИБ
0	Требования частного показателя ИБ не установлены (определены) во внутренних документах проверяемой организации
0,25	Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации, но не выполняются
0,5	Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации, но выполняются в неполном объеме
0,75	Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации и выполняются почти в полном объеме
1	Требования частного показателя ИБ установлены (определены) во внутренних документах проверяемой организации и выполняются в полном объеме

6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности (частный показатель категории проверки 2), используется следующий общий подход:

Таблица 2. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень документированности требований ИБ

Оценка частного показателя ИБ	Критерий выставления оценки частного показателя ИБ
0	Требования частного показателя ИБ не установлены во внутренних документах проверяемой организации
1	Требования частного показателя ИБ полностью установлены во внутренних документах проверяемой организации

6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения (частный показатель категории проверки 3), используется следующий общий подход:

Таблица 3. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

Оценка частного показателя ИБ	Критерий выставления оценки частного показателя ИБ
0	Требования частного показателя ИБ не выполняются
0,5	Требования частного показателя ИБ выполняются в неполном объеме
1	Требования частного показателя ИБ выполняются в полном объеме

6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область оценки соответствия ИБ (например, ограниченная выборка АБС), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.

6.11. Оценка частного показателя ИБ должна основываться на свидетельствах, в качестве основных источников которых рекомендуется использовать:

- внутренние документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

- результаты наблюдений членов проверяющей группы за деятельностью сотрудников проверяемой организации.

В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены проверяющей группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних документов проверяемой организации.

Полученные свидетельства оценки соответствия ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств оценки соответствия ИБ, пример которых приведен в приложении Б. При заполнении листов для сбора свидетельств оценки соответствия ИБ необходимо указать ссылки на соответствующие внутренние документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов проверяющей группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена проверяющей группы соответственно.

6.12. Оценка группового показателя вычисляется из оценок входящих в него частных показателей (EV):

6.13. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для и (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей. Оценки для таких групповых показателей не отображаются на круговой диаграмме (см. раздел 11).

7. Оценка текущего уровня информационной безопасности организации банковской системы Российской Федерации

7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;

- обеспечения ИБ на стадиях жизненного цикла АБС;

- обеспечение ИБ при управлении доступом и регистрацией;

- обеспечение ИБ средствами антивирусной защиты;

- обеспечение ИБ при использовании ресурсов сети Интернет;

- обеспечение ИБ при использовании средств криптографической защиты информации;

- обеспечение ИБ банковских платежных технологических процессов;

- обеспечение ИБ банковских информационных технологических процессов;

- обработка персональных данных в организации БС РФ;

- обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.

7.2. Групповые показатели по направлению оценки "текущий уровень ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.

Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0

Обозначение группового показателя ИБ	Наименование группового показателя ИБ	Структурный элемент СТО БР ИББС-1.0
М1	Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу	п. 7.2
М2	Обеспечение ИБ на стадиях жизненного цикла АБС	п. 7.3
М3	Обеспечение ИБ при управлении доступом и регистрации	п. 7.4
М4	Обеспечение ИБ средствами антивирусной защиты	п. 7.5
М5	Обеспечение ИБ при использовании ресурсов сети Интернет	п. 7.6
М6	Обеспечение ИБ при использовании средств криптографической защиты информации	п. 7.7
М7	Обеспечение ИБ банковских платежных технологических процессов	п. 7.8
М8	Обеспечение ИБ банковских информационных технологических процессов	п. 7.9
М9	Общие требования по обработке персональных данных в организации БС РФ	п. 7.10
М10	Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные	п. 7.11

7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели М1М10) в приложении А.

7.4. Оценивание частных показателей в рамках групповых показателей М1-М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:

- банковский платежный технологический процесс (М7);

- банковский информационный технологический процесс (М8);

- банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).

7.5. Оценки и , полученные в результате оценивания групповых показателей ИБ М1М10, вносятся в соответствующие графы представленных в приложении А форм.

7.6. Оценивание частных показателей в рамках групповых показателей М1-М7 для направления банковского платежного технологического процесса следует осуществлять с учетом актуальных результатов последней по времени проведения оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России от 9 июня 2012 года N 382-П) и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящей методики, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

7.7. Итоговая оценка , отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", вычисляется по формуле:

, где:

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.

7.8. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1М6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу и с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей М1М6 выбираются по результатам их оценивания применительно к банковскому информационному технологическому процессу:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей М1М5 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей М1-М6 выбираются по результатам их оценивания применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

7.9. Оценки , полученные в результате оценивания групповых показателей ИБ М1-М10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.10. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению .

8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации

8.1. Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- организация и функционирование службы ИБ организации БС РФ;

- определение/коррекция области действия СОИБ;

- выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;

- разработка планов обработки рисков нарушения ИБ;

- разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;

- принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ;

- организация реализации планов обработки рисков нарушения ИБ;

- разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;

- организация обнаружения и реагирования на инциденты ИБ;

- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;

- мониторинг ИБ и контроль защитных мер;

- проведение самооценки ИБ;

- проведение внешнего аудита ИБ;

- анализ функционирования СОИБ;

- анализ СОИБ со стороны руководства организации БС РФ;

- принятие решений по тактическим улучшениям СОИБ;

- принятие решений по стратегическим улучшениям СОИБ.

8.2. Групповые показатели по направлению оценки "менеджмент ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.

Таблица 5. Соответствие групповых показателей ИБ требованиям к СМИБ, представленным в разделе 8 СТО БР ИББС-1.0

Обозначение группового показателя ИБ	Наименование группового показателя ИБ	Структурный элемент СТО БР ИББС-1.0
М11	Организация и функционирование службы ИБ организации БС РФ	п. 8.2
М12	Определение/коррекция области действия СОИБ	п. 8.3
М13	Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ	п. 8.4
М14	Разработка планов обработки рисков нарушения ИБ	п. 8.5
М15	Разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ	п. 8.6
М16	Принятие руководством организации БС РФ решений о реализации и эксплуатации СОИБ	п. 8.7
М17	Организация реализации планов внедрения СОИБ	п. 8.8
М18	Разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ	п. 8.9
М19	Организация обнаружения и реагирования на инциденты ИБ	п. 8.10
М20	Организация обеспечения непрерывности бизнеса и его восстановления после прерываний	п. 8.11
М21	Мониторинг ИБ и контроль защитных мер	п. 8.12
М22	Проведение самооценки ИБ	п. 8.13
М23	Проведение аудита ИБ	п. 8.14
М24	Анализ функционирования СОИБ	п. 8.15
М25	Анализ СОИБ со стороны руководства организации БС РФ	п. 8.16
М26	Принятие решений по тактическим улучшениям СОИБ	п. 8.17
М27	Принятие решений по стратегическим улучшениям СОИБ	п. 8.18

8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "менеджмент ИБ организации" (показатели М11М27) приведены в приложении А.

8.4. Оценки и , полученные в результате оценивания групповых показателей ИБ М11М27, вносятся в соответствующие графы представленных в приложении А форм.

8.5. Оценивание частных показателей в рамках групповых показателей М11-М27 следует осуществлять с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П.

Таблица соответствия частных показателей и требований к обеспечению защиты информации при осуществлении переводов денежных средств, указанных в приложении 2 к Положению Банка России от 9 июня 2012 года N 382-П и учитываемых при оценивании частных показателей, приведена в приложении В.

Для проведения оценивания частных показателей с учетом результатов оценки выполнения организацией требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П, следует использовать подход, установленный в п. 6.7, 6.8 и 6.9 настоящего стандарта, с учетом того, что оценка частного показателя не может превышать минимальную оценку выполнения требований, установленных Положением Банка России от 9 июня 2012 года N 382-П, соответствующих оцениваемому частному показателю.

8.6. Итоговая оценка , отражающая степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации", вычисляется по формуле:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

8.7. Оценки , полученные в результате оценивания групповых показателей ИБ М11М27, отображаются на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

8.8. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению .

9. Оценка уровня осознания информационной безопасности организации банковской системы Российской Федерации

9.1. Оценка уровня осознания ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- деятельность руководства организации БС РФ по поддержке функционирования службы ИБ организации;

- деятельность руководства организации БС РФ по принятию решений о реализации и эксплуатации СОИБ;

- деятельность руководства организации БС РФ по поддержке планирования СОИБ;

- деятельность руководства организации БС РФ по поддержке реализации СОИБ;

- деятельность руководства организации БС РФ по поддержке проверки СОИБ;

- деятельность руководства организации БС РФ по анализу СОИБ;

- деятельность руководства организации БС РФ по поддержке совершенствования СОИБ.

9.2. Групповые показатели по направлению оценки "уровень осознания ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 6 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.

Таблица 6. Соответствие групповых показателей ИБ требованиям, представленным в разделе 8 СТО БР ИББС-1.0

Обозначение группового показателя ИБ	Наименование группового показателя ИБ	Структурный элемент СТО БР ИББС-1.0
М28	Оценка деятельности руководства организации по поддержке функционирования службы ИБ организации	п. 8.2
М29	Оценка деятельности руководства организации по принятию решений о реализации и эксплуатации СОИБ	п. 8.7
М30	Оценка деятельности руководства организации по поддержке планирования СОИБ	п. 8.3, 8.4, 8.5, 8.6, 8.8
М31	Оценка деятельности руководства организации по поддержке реализации СОИБ	п. 8.9, 8.10, 8.11
М32	Оценка деятельности руководства организации по поддержке проверки СОИБ	п. 8.12, 8.13, 8.14, 8.15
М33	Оценка деятельность руководства организации по анализу СОИБ	п. 8.16
М34	Оценка деятельности руководства организации по поддержке совершенствования СОИБ	п. 8.17, 8.18

9.3. Частные показатели по направлению оценки "уровень осознания ИБ организации" отражают отдельные требования СТО БР ИББС-1.0 к СМИБ организации, относящиеся к деятельности руководства организации. Частные показатели по направлению оценки "уровень осознания ИБ организации" (показатели М28М34) приведены в приложении А.

Частные показатели по направлению оценки "уровень осознания ИБ организации" оцениваются с учетом результатов оценки выполнения организацией БС РФ требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П и используемых для вычисления обобщающего показателя , установленного Положением Банка России от 9 июня 2012 года N 382-П, в соответствии с подходом, установленным п. 8.5 настоящего стандарта.

9.4. Оценки и , полученные в результате оценивания групповых показателей ИБ М28М34, вносятся в соответствующие графы представленных в приложении А форм.

9.5. Итоговая оценка , отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации", вычисляется по формуле:

,

где - корректирующий коэффициент, определяемый по правилам, установленным в разделе 10.

9.6. Оценки , полученные в результате оценивания групповых показателей ИБ М28М34, отображаются на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

9.7. Оценка отображается на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению .

10. Правила определения корректирующих коэффициентов

Корректирующие коэффициенты и определяются в зависимости от количества частных показателей, участвующих в вычислении оценок и соответственно, оценки которых равны 0 (полностью не выполняются) согласно правилам, установленным в таблице 7.

Таблица 7. Правила определения корректирующих коэффициентов

Корректирующий коэффициент	Количество частных показателей, оценки которых равны нулю (полностью не выполняются)
	0	1-20	более 20
	0	1-20	более 20
	0	1-20	более 20
	0	1-20	более 20
	0	1-25	более 25
	0	1-10	более 10
Значение корректирующего коэффициента	1	0,85	0,7

11. Определение уровня соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0. Отображение оценок

11.1. Если оценка или лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка или лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка или лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка или лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка или лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

Если оценка или лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.

11.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:

- оценки уровня осознания ИБ организации ;

- оценки менеджмента ИБ организации ;

- оценки текущего уровня ИБ организации .

11.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования заключения по результатам оценки соответствия ИБ.

11.4. Значения R, соответствующие четвертому и пятому уровню, являются рекомендуемыми Банком России.

Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.

11.5. Рисунок 1 представляет собой круговую диаграмму для отображения результатов оценивания.

Сектора с 1-го по 10-й используются для отображения оценки текущего уровня ИБ организации.

Сектора с 11-го по 27-й используются для отображения оценки процессов менеджмента ИБ организации.

Сектора с 28-го по 34-й используются для отображения оценки уровня осознания ИБ организации.

Пятому уровню соответствует окружность радиусом 0,95 и кольцо до окружности радиусом 1.

Четвертому уровню соответствует окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.

Третьему уровню соответствует окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.

Второму уровню соответствует окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.

Первому уровню соответствует окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.

Нулевому уровню соответствует круг до окружности радиусом 0,25.

11.6. По результатам проведения оценки соответствия формируется документ - "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014".

"Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" формируется на основе:

- аудиторского заключения в случае проведения оценки соответствия внешней организацией;

- отчета самооценки в случае проведения оценки соответствия силами организации БС РФ.

В "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" как минимум следует включать следующие оценки:

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;

- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;

- оценка группового показателя М6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации", применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные (оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных при использовании средств криптографической защиты информации);

R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.

С целью направления "Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014" регуляторам, осуществляющим надзор за выполнением законодательства в области персональных данных, данный документ следует составлять в пяти экземплярах, один из которых предназначен для использования в организации БС РФ.