Часть 1. Часть 2.
Ознакамливаясь с Методикой оценки СТО БР ИББС-1.2 рано или поздно вы наткнетесь на Приложение В "Уточняющие вопросы частных показателей ИБ". Перечитывать 2 странички Методики (10 раздел), посвященных работе с уточняющими вопросами, придется, вероятно, несколько раз. Тому есть 2 причины:
- на фоне математически ясной Методики оценки Приложение В выглядит достаточно.. нечетко;
- понять, как влияют уточняющие вопросы на частные показатели без поллитра глубокого анализа достаточно сложно.
Что же такое уточняющие вопросы?
Приложение В это:
- 34 вопроса, из них 13 общих, 10 про защищаемые типы ИСПДн, 10 про специальные, и один - "биометрический";
- 69 подвопросов;
- в общей сложности 80 зависимых частных показателей ИБ в 18 групповых.
Все уточняющие вопросы касаются защиты персональных данных, выполнения требований РС БР ИББС-2.3, и должны, казалось бы, участвовать в формировании оценки EV1озпд.
Небольше отступление. Оценка EV1озпд.
EV1озпд есть среднее арифметическое групповых показателей М1-М5, М8 и М10. Каким образом на оценку EV1озпд может влиять, к примеру, уточняющий вопрос №10 (влияющий на частные показатели М15.6, М15.8, М21.1, М21.7, М32.1) мне не понятно. Зачем нужен уточняющий вопрос по персональным данным, который не влияет ни на одну оценку, связанную с персональными данными?
Приступим к оценке..
1. Из всего множества вопросов Приложения В выберем те вопросы, которые связаны с нашими ИСПДн (подскажу - Все: 1-13; ИСПДн-И(Б,С): 14-22, 29; ИСПДн-Б: 23; ИСПДн-С: 24-28, 30-34).
2. Далее начинаем оценку. Дойдя до частного показателя, указанного в Таблице 1 Приложения В, выписываем все вопросы Приложения В, влияющие на данный частный показатель с учетом типов ИСПДн (см. п.1).
3а. Оцениваем степень документированности требований: Смотря на все выписанные вопросы, решим, что:
а) требования всех выписанных вопросов установлены полностью в документах организации;
б) требования всех выписанных вопросов частично установлены в документах организации;
в) требования всех выписанных вопросов не установлены в документах организации.
3б. Оценим степень выполнения требований. Смотря на все выписанные вопросы, решим, что:
а) требования всех выписанных вопросов выполняются в полном объеме;
б) требования всех выписанных вопросов выполняются частично;
в) требования всех выписанных вопросов не выполняются.
4. Перейдем к оценке частного показателя. Прочитав вопрос, подготовив ответ, оценим степень документированности частного показателя не выше степени документированности всех уточняющих вопросов из п.3а, оценим степень выполнения требований частного показателя не выше степени выполнения п.3б.
5. Идем дальше, пока не наткнемся на следующий частный показатель, указанный в Таблице 1. Далее снова идём на п.2.
Продолжение (Пример оценки)..
Еще про Приложение В (+таблица, связывающая частный показатель с уточняющими вопросами)
Еще про Приложение В (+таблица, связывающая частный показатель с уточняющими вопросами)
Комментариев нет:
Отправить комментарий