В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:
1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.
2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:
2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:
М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4
Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.
3. На результат EV1ОЗПДвлияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EVM6 - М6.
4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).
3. На результат EV1ОЗПДвлияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EVM6 - М6.
4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).
5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.
6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две:
6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две:
- круговая диаграмма, содержащая 32 сектора, которые отражают оценки групповых показателей;
- круговая диаграмма, содержащая 3 сектора, которые отражают оценки по трем направлениям.
7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС
7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС
Хакеры ненавидят этот канал!
Спойлер: мы раскрываем их любимые трюки
