Изменения в порядке оценки соответствия требованиям стандарта Банка России

Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 с 1 июня 2014 года введены в действие:
  • пятая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (регистрационный номер СТО БР ИББС-1.0-2014); 
  • четвертая редакция стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014); 
В данной публикации будут рассмотрены ключевые изменения в порядке оценки соответствия требованиям новой редакции стандарта Банка России. 
 
1) Изменилось количество требований, по которым проводится оценка соответствия
 
Стандарт претерпел довольно серьезные изменения как в количественном, так и в качественном плане. Количественные изменения представлены в таблице и на диаграмме ниже:

СТО БР 2010      
СТО БР 2014      
Изменение
Общее количество частных показателей
425
491
+ 66
Групповой показатель M1
20
21
+ 1
Групповой показатель M2
17
19
+ 2
Групповой показатель M3
32
54
+ 22
Групповой показатель M4
16
12
— 4
Групповой показатель M5
23
24
+ 1
Групповой показатель M6
14
16
+ 2
Групповой показатель M7
25
23
— 2
Групповой показатель M8
13
7
— 6
Групповой показатель M9
23
60
+ 37
Групповой показатель M10
5
14
+ 9
Групповой показатель M11
14
15
+ 1
Групповой показатель M12
7
6
— 1
Групповой показатель M13
12
11
— 1
Групповой показатель M14
6
6
Групповой показатель M15
21
22
+ 1
Групповой показатель M16
4
4
Групповой показатель M17
4
4
Групповой показатель M18
7
8
+ 1
Групповой показатель M19
9
8
— 1
Групповой показатель M20
14
13
— 1
Групповой показатель M21
8
6
— 2
Групповой показатель M22
9
11
+ 2
Групповой показатель M23
9
10
+ 1
Групповой показатель M24
10
8
— 2
Групповой показатель M25
8
9
+ 1
Групповой показатель M26
8
8
Групповой показатель M27
10
11
+ 1
Групповой показатель M28
14
14
Групповой показатель M29
4
4
Групповой показатель M30
27
28
+ 1
Групповой показатель M31
8
9
+ 1
Групповой показатель M32
12
13
+ 1
Групповой показатель M33
8
9
+ 1
Групповой показатель M34
4
4
 
 
2) Изменилась методика оценки для частных и групповых показателей, а также итоговых показателей соответствия
 
В новой редакции стандарта используется схема оценки показателей, аналогичная той, что используется для оценки требований Положения № 382-П банка России. Для каждого частного показателя определена категория оценки, которая в свою очередь определяет то, по каким свойствам (документирование, выполнение) оценивается данный показатель и какая при этом используется шкала оценки. 
 
Важным плюсом такого подхода является то, что теперь не приходится гадать по каким критериям (наличие документации, выполнение деятельности) необходимо оценивать показатели (ранее это был предмет споров между экспертами). Из «минусов» же можно отметить, что для показателей 1-ой категории наличие внутренней регламентирующей документации теперь является обязательным. Отсутствие или частичное наличие документов, устанавливающих порядок выполнения требования, является основанием для выставления нулевой оценки для показателя. 
 
На смену весовым показателям, которые ранее задавались для каждого частного показателя, пришли корректирующие коэффициенты, значения которых определяются исходя из количества частных показателей, оценка которых равна нулю.
 
3) Учет уточняющих вопросов заменен на учет результатов оценки степени выполнения требований 382-П 
 
Оценка групповых показателей М1 — М6 по-прежнему ведется по трем направлениям: БПТП, БИТП и ОЗПД, однако теперь для оценки по направлению ОЗПД не требуется оценивать и учитывать уточняющие вопросы (фактически они убраны из стандарта), а вот для оценки по направлению БПТП необходимо учитывать результаты актуальной оценки соответствия требованиям Положения Банка России № 382-П. 
 
Более подробная информация об изменения в стандартах Банка России, а также о подходах к обеспечению контроля за соответствием различных требований нормативных документов по информационной безопасности мы расскажем на вебинаре, который пройдет 19 июня в 11:00 по московскому времени. Подробности и ссылка для регистрации на вебинар тут — https://rvision.pro/event/vebinar-rvision-compliance-manager-1-0/.

 

Поделиться записью:

Добавить комментарий