Составить и обосновать модель оценки процесса обеспечения информационной безопасности.

Согласно стандарту СТО БР ИББС-1.2-2014 [1] для оценки степени соответствия обеспечения ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ.
Оценки групповых показателей (EVMi) используются для получения оценки по направлениям (EV1,EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (EVMij), которые затем формируют оценки EVMi групповых показателей.
Частные показатели разделены на два типа. К первому типу относятся частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Ко второму типу относятся частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации.
Для автоматизации бизнес-процессов и обработки больших объемов информации, которыми оперирует любая организация БС РФ, используются автоматизированные банковские и информационные системы, типовая модель которой может быть описана следующим элементами [2]:
аппаратные средства (сервера, АРМ пользователей и операторов, терминалы и т.п.);
линии связи;
сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.);
сетевые приложений и сервисы;
операционные системы (ОС);
системы управления базами данных (СУБД);
банковские технологические процессы и приложения;
бизнес-процессов организации.
При этом успешность выполнения каждой категории бизнес-процессов посредством выделенных элементов автоматизированной банковской информационной системы (АБИС) будет зависеть от полноты выполнения следующих требований к ИБ [3]:
обеспечение конфиденциальности информации;
обеспечение доступности информации, сервисов и сетевых и аппаратных подсистем;
обеспечение целостности информации;
обеспечение непрерывности бизнес-процессов.
Данные требования должны выполняться как в штатных ситуациях, в процессе нормального функционирования, так и в условиях воздействия на систему дестабилизирующих факторов и угроз различного характера:
локальных инцидентов ИБ;
чрезвычайных ситуаций, широкомасштабных катастроф, аварий различной природы и их последствий.
При этом, как показано в [1], для каждого элемента АБИС угрозы нарушения ИБ и их источники (как случайные так и умышленные), методы и средства защиты, а также подходы к оценке их эффективности являются различными.