Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Рекомендации Банка России N РС БР ИББС-2.7-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности"
- Приложение А (справочное). Пример расчета ресурсов ИБ организации БС РФ
Приложение А (справочное). Пример расчета ресурсов ИБ организации БС РФ
Приложение А
(справочное)
Пример расчета ресурсов ИБ организации БС РФ
1. Общие положения
1.1. В настоящем примере приведен расчет ресурсов ИБ организации БС РФ в части: обеспечения процесса управления доступом и регистрацией (подконтрольный процесс) финансовыми средствами;
обеспечения службы ИБ организации БС РФ кадровыми ресурсами, необходимыми и достаточными для обеспечения всех процессов СОИБ организации БС РФ, направленных на непосредственное обеспечение ИБ.
1.2. В рамках данного примера при расчете обеспечения подконтрольного процесса финансовыми средствами предполагается, что организацией БС РФ определена степень тяжести последствий от реализации угроз ИБ, связанных с несанкционированным доступом, выраженная в количественной (денежной) форме, величина которой составляет Р.
Целевое значение СВР угроз ИБ составляет величину . Допустимым остаточным риском организацией БС РФ принята величина
.
При этом актуальность угрозы утечки защищаемой информации в результате несанкционированного доступа оценивается организацией БС РФ как средняя.
1.3. В рамках данного примера при расчете обеспечения службы ИБ организации БС РФ кадровыми ресурсами предполагается, что:
число ключевых АБС, эксплуатируемых в организации БС РФ, составляет 15;
число процессов СОИБ составляет 9;
число работников, отделений и расстояний между отделениями разное для филиалов;
коэффициент невыхода работников организации БС РФ составляет 1,1.
2. Расчет уровня зрелости выполнения подконтрольного процесса
2.1. Определение процессов СМИБ, полнота и качество выполнения которых влияет на уровень зрелости выполнения подконтрольного процесса.
Процессу управления доступом и регистрацией соответствуют следующие процессы СМИБ:
- определение/коррекция области действия подконтрольного процесса;
- планирование реализации подконтрольного процесса;
- разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса;
- выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
- реализация автоматизации выполнения подконтрольного процесса;
- реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса;
- реализация контроля выполнения подконтрольного процесса;
- включение подконтрольного процесса в область самооценки и аудита ИБ;
- анализ реализации и выполнения подконтрольного процесса;
- инициирование своевременного совершенствования подконтрольного процесса.
2.2. Оценка уровней полноты и качества выполнения процессов СМИБ, влияющих на уровень зрелости выполнения подконтрольного процесса.
|
N п/п |
Процесс СМИБ |
Качественная оценка |
Весовой коэффициент |
Уровень зрелости |
|
1 |
Определение/коррекция области действия подконтрольного процесса |
Определение/коррекция области действия подконтрольного процесса применяется на постоянной основе. Общие подходы (способы) определения/коррекции области действия подконтрольного процесса не установлены. Определение/коррекция области действия подконтрольного процесса осуществляется по усмотрению исполнителя |
0,1 |
2 |
|
2 |
Планирование реализации подконтрольного процесса |
Планирование реализации подконтрольного процесса применяется бессистемно и (или) эпизодически |
0,05 |
1 |
|
3 |
Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса |
Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса, осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов разработки/коррекции внутренних документов, регламентирующих выполнение подконтрольного процесса |
0,2 |
4 |
|
4 |
Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС |
Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС |
0,05 |
4 |
|
5 |
Реализация автоматизации выполнения подконтрольного процесса |
Автоматизация выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов автоматизации выполнения подконтрольного процесса |
0,25 |
4 |
|
6 |
Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса |
Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ |
0,05 |
3 |
|
7 |
Реализация контроля выполнения подконтрольного процесса |
Реализация контроля выполнения подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ |
0,15 |
3 |
|
8 |
Включение подконтрольного процесса в область самооценки и аудита ИБ |
Включение подконтрольного процесса в область самооценки и аудита ИБ осуществляется бессистемно и (или) эпизодически |
0,05 |
1 |
|
9 |
Анализ реализации и выполнения подконтрольного процесса |
Анализ реализации и выполнения подконтрольного процесса осуществляется бессистемно и (или) эпизодически |
0,05 |
1 |
|
10 |
Инициирование своевременного совершенствования подконтрольного процесса |
Инициирование своевременного совершенствования подконтрольного процесса осуществляется на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ |
0,05 |
3 |
2.3. Определение уровня зрелости выполнения подконтрольного процесса.
Выполнение процесса управления доступом и регистрацией имеет уровень зрелости
3. Оценка степени вероятности угроз ИБ с учетом данных о реализованном в организации БС РФ уровне зрелости выполнения процессов СОИБ
|
|
|
Актуальность угроз утечки защищаемой информации в результате несанкционированного доступа |
|||
|
Минимальная |
Средняя |
Высокая |
Критическая |
||
|
Уровень зрелости выполнения подконтрольного процесса |
5-й уровень |
0,01 |
0,02 |
0,03 |
0,05 |
|
4-й уровень |
0,05 |
0,1 |
0,15 |
0,2 |
|
|
3-й уровень |
0,1 |
0,15 |
0,25 |
0,3 |
|
|
2-й уровень |
0,15 |
0,25 |
0,35 |
0,45 |
|
|
1 -й уровень |
0,2 |
0,45 |
0,75 |
0,9 |
|
|
0-й уровень |
0,25 |
0,55 |
0,95 |
1 |
|
Вычисленная величина СВР угроз ИБ () равна значению 0,15, что превышает целевое значение
.
Риск нарушения ИБ, связанный с возможной утечкой защищаемой информации в результате несанкционированного доступа, выше приемлемого остаточного риска.
4. Расчет финансовых средств, которые могут быть затрачены организацией БС РФ на повышение уровня зрелости выполнения подконтрольного процесса
Финансовые средства, которые могут быть затрачены организацией БС РФ на повышение уровня ИБ процесса управления доступом и регистрацией, не должны превышать величину , при этом финансовые средства, которые могут быть затрачены организацией БС РФ на повышение уровня полноты и качества соответствующих процессов СМИБ процесса управления доступом и регистрацией, могут быть оценены следующим образом:
|
N п/п |
Процесс СМИБ |
Весовой коэффициент |
Оценка финансовых средств |
|
1 |
Определение/коррекция области действия подконтрольного процесса |
0,1 |
|
|
2 |
Планирование реализации подконтрольного процесса |
0,05 |
|
|
3 |
Разработка/коррекция внутренних документов, регламентирующих выполнение подконтрольного процесса |
0,2 |
|
|
4 |
Выполнение планов реализации подконтрольного процесса с учетом выполнения положений по обеспечению ИБ на этапах создания АБС |
0,05 |
|
|
5 |
Реализация автоматизации выполнения подконтрольного процесса |
0,25 |
|
|
6 |
Реализация программ по обучению и повышению осведомленности в области выполнения подконтрольного процесса |
0,05 |
|
|
7 |
Реализация контроля выполнения подконтрольного процесса |
0,15 |
|
|
8 |
Включение подконтрольного процесса в область самооценки и аудита ИБ |
0,05 |
|
|
9 |
Анализ реализации и выполнения подконтрольного процесса |
0,05 |
|
|
10 |
Инициирование своевременного совершенствования подконтрольного процесса |
0,05 |
|
5. Расчет кадровых ресурсов, необходимых для повышения уровня зрелости выполнения процессов СОИБ и позволяющих свести риск нарушения ИБ до приемлемого уровня
5.1. Головное подразделение организации БС РФ:
Направление "методология":
|
Функция по обеспечению ИБ |
Трудоемкость*, часов в год |
|
установление общих подходов (способов) выполнения и анализа выполнения процессов СМИБ (регламентация процессов СМИБ) |
100 для каждого процесса СМИБ, всего 1000 |
|
определение/коррекция области действия каждого процесса СОИБ |
100 для каждого процесса СОИБ, всего 900 |
|
планирование реализации процесса СОИБ |
60 для каждого процесса СОИБ, всего 540 |
|
разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ |
200 для каждого процесса СОИБ, всего 1800 |
|
анализ реализации и выполнения процесса СОИБ |
60 для каждого процесса СОИБ, всего 540 |
|
инициирование и подготовка программ по обучению и повышению осведомленности в области выполнения процесса СОИБ |
20 для каждого процесса СОИБ, всего 180 |
|
инициирование своевременного совершенствования процесса СОИБ |
60 для каждого процесса СОИБ, всего 540 |
|
|
Всего по направлению с учетом коэффициента невыхода: 6050 - 3 человека |
Направление "реализация и сопровождение":
|
Функция по обеспечению ИБ |
Трудоемкость, часов в год |
|
сопровождение выполнения планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС |
75 для каждого процесса СОИБ, 75 для каждой АБС, всего 1800 |
|
сопровождение реализации автоматизации выполнения процессов СОИБ |
100 для каждого процесса СОИБ, 100 для каждой АБС, всего 4800 |
|
сопровождение реализации программ по обучению и повышению осведомленности в области выполнения процессов СОИБ |
30 для каждого процесса СОИБ, всего 270 |
|
|
Всего по направлению с учетом коэффициента невыхода: 7557 - 4 человека |
Направление "контроль":
|
Функция по обеспечению ИБ |
Трудоемкость, часов в год |
|
контроль выполнения процессов СМИБ |
250 для каждого процесса СМИБ, всего 2500 |
|
организация контроля области действия процесса СОИБ |
50 для каждого процесса СОИБ, всего 450 |
|
включение процесса СОИБ в область самооценки ИБ и аудита И Б |
50 для каждого процесса СОИБ, всего 450 |
|
|
Всего по направлению с учетом коэффициента невыхода: 3740 - 2 человека |
_____________________________
* Трудоемкость определяется экспертно организацией БС РФ на основе опыта реализации процессов СОИБ и квалификации работников.
Направление "криптографическая защита":
По направлению "криптографическая защита" в соответствии с эксплуатационной документацией на используемые средства криптографической защиты информации требуется наличие двух работников.
5.2. Филиал организации БС РФ:
Для филиалов организации БС РФ рассчитывается минимальная необходимая численность службы ИБ, после чего для подсчета численности службы ИБ конкретного филиала используются уточняющие коэффициенты.
Направление "методология":
|
Функция по обеспечению ИБ |
Трудоемкость, часов в год |
|
уточнение (адаптация) общих подходов (способов) выполнения и анализа выполнения процессов СМИБ (регламентация процессов СМИБ) |
350 |
|
уточнение области действия каждого процесса СОИБ |
350 |
|
планирование реализации процесса СОИБ |
350 |
|
уточнение (адаптация) внутренних документов, регламентирующих выполнение процесса СОИБ |
350 |
|
анализ реализации и выполнения процесса СОИБ |
200 |
|
участие в подготовке программ по обучению и повышению осведомленности в области выполнения процесса СОИБ |
200 |
|
инициирование своевременного совершенствования процесса СОИБ |
200 |
|
|
Всего по направлению с учетом коэффициента невыхода: 2200 - 1 человек |
Минимальная необходимая численность службы ИБ филиала по направлению "методология" составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению "методология" используется следующая формула:
,
где:
- количество отделений в филиале;
- среднее количество отделений на один филиал;
[ ] - операция округления;
mах(а,b) - операция "максимальное из двух чисел а и b".
Направление "реализация и сопровождение":
|
Функция по обеспечению ИБ |
Трудоемкость, часов в год |
|
участие в выполнении планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС |
25 для каждого процесса СОИБ, 25 для каждой АБС, всего 600 |
|
участие в реализации автоматизации выполнения процессов СОИБ |
100 для каждого процесса СОИБ, всего 900 |
|
участие в реализации программ по обучению и повышению осведомленности в области выполнения процессов СОИБ |
200 |
|
|
Всего по направлению с учетом коэффициента невыхода: 1870-1 человек |
Минимальная необходимая численность службы ИБ филиала по направлению "сопровождение" составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению "сопровождение" используется следующая формула:
,
где:
- количество работников в филиале;
- среднее количество работников на один филиал;
[ ] - операция округления;
mах(а,b) - операция "максимальное из двух чисел а и b".
Направление "контроль":
|
Функция по обеспечению ИБ |
Трудоемкость, часов в год |
|
участие в контроле выполнения процессов СМИБ |
50 для каждого процесса СОИБ, 25 для каждой АБС, всего 750 часов |
|
организация контроля области действия процесса СОИБ |
350 |
|
участие в проведении самооценки ИБ и аудита ИБ |
450 |
|
|
Всего по направлению с учетом коэффициента невыхода: 1705 - 1 человек |
Минимальная необходимая численность службы ИБ филиала по направлению "контроль" составляет 1 человек, для расчета численности службы ИБ конкретного филиала по направлению "контроль" используется следующая формула:
,
где:
- количество отделений в филиале;
- среднее количество отделений на один филиал;
- количество работников в филиале;
- среднее количество работников на один филиал;
- среднее расстояние от отделения до филиала по филиалу;
- среднее расстояние от отделения до филиала по организации БС РФ;
- число зданий в филиале (без учета отделений);
[ ] - операция округления;
max(a, b, c, d) - операция "максимальное из четырех чисел a, b, c, d".
5.3. Окончательный расчет:
Численность службы ИБ головного подразделения организации БС РФ - 11 человек.
Минимальная численность службы ИБ филиала - 3 человека.
Численность службы ИБ конкретного филиала вычисляется по формуле:
.
|
<< Назад |
||
|
Содержание Рекомендации Банка России N РС БР ИББС-2.7-2015 "Обеспечение информационной безопасности организаций банковской системы... |