Внезапно обнаружил у себя схему, которую рисовал когда-то для оценки соответствия по СТО БР ИББС-1.2-2014. Немного причесал и выкладываю ее здесь, чтобы приносила пользу общественности. Как обычно, замечания и предложения приветствуются.
На всякий случай, сделаю краткую аннотацию.
- Данная схема иллюстрирует методику, содержащуюся в документе СТО БР ИББС-1.2-2014.
- СТО БР ИББС-1.2-2014 описывает методику определения степени соответствия стандарту Банка России СТО БР ИББС-1.0-2014.
- Оценка проводится организациями БС РФ регулярно, не реже чем раз в 2 года.
- Оценка производится путем аудита или самооценки, которые выполняются согласно СТО БР ИББС-1.1 и РС БР ИББС-2.1 соответственно.
- По результатам оценки разрабатывается "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014", которое направляется в ЦБ.
- Оценка производится на основе показателей ИБ. В методике описываются частные и групповые показатели. Групповые показатели вычисляются на основе частных как среднее арифметическое. На основе групповых показателей, вычисляются итоговые показатели по трем направлениям: текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Отдельно есть также уровни соответствия требованиям по защите ПДн. Полученные результаты фиксируются в "Подтверждении соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014"
Что еще почитать:
- Майндкарта по РС БР ИББС-2.7-2015 "Ресурсное обеспечение информационной безопасности" в блоге Андрея Прозорова
- Обзор последней версии стандарта здесь и здесь
- Полезный инструмент для самооценки здесь
