22 Октября, 2013

Проведение самооценки по требованиям СТО БР ИББС-1.0

Сергей Сторчак
В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:

1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.

2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:

М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4

Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.

3. На результат EV1ОЗПДвлияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EVM6 - М6.

4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).

5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.

6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации , размещенной на сайте Банка России, круговых диаграмм должно быть две: 
- круговая диаграмма, содержащая 32 сектора, которые отражают оценки  групповых показателей;
- круговая диаграмма, содержащая 3 сектора, которые отражают оценки  по трем направлениям.

7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС