В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:
1. Оценка частного показателя не должна быть выше оценки
уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.
2. На оценку определенных частных показателей влияют сразу
несколько уточняющих вопросов. В подобных случаях максимальная оценка частного
показателя равняется средней арифметической величине оценки уточняющих вопросов,
влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:
М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4
Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.
3. На результат EV1ОЗПД влияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному
из частных показателей, т.е. один показатель равен "0", следовательно, весь
М9 = "0"), на EVM6 - М6.
4. Если оценивается степень документированности, в источниках
нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).
- круговая диаграмма, содержащая 32 сектора, которые отражают оценки групповых показателей;
- круговая диаграмма, содержащая 3 сектора, которые отражают оценки по трем направлениям.
7. В «Подтверждение
соответствия организации БС РФ стандарту Банка России СТО БР ИББС‑1.0‑20хх» помимо
оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих
обработку персональных данных (EVООПД), оценки степени выполнения
требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в
информационных системах персональных данных, без учета оценки степени
выполнения требований СТО БР ИББС‑1.0 по обеспечению информационной
безопасности при использовании средств криптографической защиты информации (EV1ОЗПД)
и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС‑1.0
(R) необходимо также включить:
— если в ИСПДн
используется СКЗИ — оценку степени
выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных
данных в информационных системах персональных данных при использовании средств
криптографической защиты информации (EV2ОЗПД);
— если в ИСПДн
не используется СКЗИ — оценку
группового показателя М6 «Обеспечение информационной безопасности при
использовании средств криптографической защиты информации» применительно к
банковскому технологическому процессу, в рамках которого обрабатываются
персональные данные» (EVM6).
Автоматизация процесса самооценки по требованиям СТО БР ИББС-1.0