Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 с 1 июня 2014 года введены в действие:
- пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014);
- четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014);
В данной публикации будут рассмотрены ключевые изменения в порядке оценки соответствия требованиям новой редакции стандарта Банка России.
1) Изменилось количество требований, по которым проводится оценка соответствия
Стандарт претерпел довольно серьезные изменения как в количественном, так и в качественном плане. Количественные изменения представлены в таблице и на диаграмме ниже:
СТО БР 2010
|
СТО БР 2014
|
Изменение
|
|
| Общее количество частных показателей |
425
|
491
|
+ 66
|
| Групповой показатель M1 |
20
|
21
|
+ 1
|
| Групповой показатель M2 |
17
|
19
|
+ 2
|
| Групповой показатель M3 |
32
|
54
|
+ 22
|
| Групповой показатель M4 |
16
|
12
|
- 4
|
| Групповой показатель M5 |
23
|
24
|
+ 1
|
| Групповой показатель M6 |
14
|
16
|
+ 2
|
| Групповой показатель M7 |
25
|
23
|
- 2
|
| Групповой показатель M8 |
13
|
7
|
- 6
|
| Групповой показатель M9 |
23
|
60
|
+ 37
|
| Групповой показатель M10 |
5
|
14
|
+ 9
|
| Групповой показатель M11 |
14
|
15
|
+ 1
|
| Групповой показатель M12 |
7
|
6
|
- 1
|
| Групповой показатель M13 |
12
|
11
|
- 1
|
| Групповой показатель M14 |
6
|
6
|
-
|
| Групповой показатель M15 |
21
|
22
|
+ 1
|
| Групповой показатель M16 |
4
|
4
|
-
|
| Групповой показатель M17 |
4
|
4
|
-
|
| Групповой показатель M18 |
7
|
8
|
+ 1
|
| Групповой показатель M19 |
9
|
8
|
- 1
|
| Групповой показатель M20 |
14
|
13
|
- 1
|
| Групповой показатель M21 |
8
|
6
|
- 2
|
| Групповой показатель M22 |
9
|
11
|
+ 2
|
| Групповой показатель M23 |
9
|
10
|
+ 1
|
| Групповой показатель M24 |
10
|
8
|
- 2
|
| Групповой показатель M25 |
8
|
9
|
+ 1
|
| Групповой показатель M26 |
8
|
8
|
-
|
| Групповой показатель M27 |
10
|
11
|
+ 1
|
| Групповой показатель M28 |
14
|
14
|
-
|
| Групповой показатель M29 |
4
|
4
|
-
|
| Групповой показатель M30 |
27
|
28
|
+ 1
|
| Групповой показатель M31 |
8
|
9
|
+ 1
|
| Групповой показатель M32 |
12
|
13
|
+ 1
|
| Групповой показатель M33 |
8
|
9
|
+ 1
|
| Групповой показатель M34 |
4
|
4
|
-
|
2) Изменилась методика оценки для частных и групповых показателей, а также итоговых показателей соответствия
В новой редакции стандарта используется схема оценки показателей, аналогичная той, что используется для оценки требований Положения № 382-П. Для каждого частного показателя определена категория оценки, которая в свою очередь определяет то, по каким свойствам (документирование, выполнение) оценивается данный показатель и какая при этом используется шкала оценки.
Важным плюсом такого подхода является то, что теперь не приходится гадать по каким критериям (наличие документации, выполнение деятельности) необходимо оценивать показатели (ранее это был предмет споров между экспертами). Из "минусов" же можно отметить, что для показателей 1-ой категории наличие внутренней регламентирующей документации теперь является обязательным. Отсутствие или частичное наличие документов, устанавливающих порядок выполнения требования, является основанием для выставления нулевой оценки для показателя.
На смену весовым показателям, которые ранее задавались для каждого частного показателя, пришли корректирующие коэффициенты, значения которых определяются исходя из количества частных показателей, оценка которых равна нулю.
3) Учет уточняющих вопросов заменен на учет результатов оценки степени выполнения требований 382-П
Оценка групповых показателей М1 - М6 по-прежнему ведется по трем направлениям: БПТП, БИТП и ОЗПД, однако теперь для оценки по направлению ОЗПД не требуется оценивать и учитывать уточняющие вопросы (фактически они убраны из стандарта), а вот для оценки по направлению БПТП необходимо учитывать результаты актуальной оценки соответствия требованиям Положения Банка России № 382-П.
Более подробная информация об изменения в стандартах Банка России, а также о подходах к обеспечению контроля за соответствием различных требований нормативных документов по информационной безопасности мы расскажем на вебинаре, который пройдет 19 июня в 11:00 по московскому времени. Подробности и ссылка для регистрации на вебинар тут - http://rvision.pro/event/vebinar-rvision-compliance-manager-1-0/.
Комментариев нет:
Отправить комментарий