Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М1 "Обеспечение информационной
безопасности при назначении и распределении ролей
и обеспечении доверия к персоналу"
--------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.1 | Определены ли в документах | обязательный | | | | | | | 0,0581 | |
| | организации роли ее работников? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.2 | Формируются ли роли, связанные с | обязательный | | | | | | | 0,0291 | |
| | выполнением деятельности по | | | | | | | | | |
| | обеспечению ИБ, на основании | | | | | | | | | |
| | требований разделов 7 и 8 | | | | | | | | | |
| | стандарта СТО БР ИББС-1.0? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.3 | Персонифицированы ли роли в | обязательный | | | | | | | 0,0502 | |
| | организации с установлением | | | | | | | | | |
| | ответственности за их выполнение? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.4 | Зафиксирована ли документально в | обязательный | | | | | | | 0,0461 | |
| | должностных инструкциях | | | | | | | | | |
| | ответственность за выполнение | | | | | | | | | |
| | ролей? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.5 | Отсутствуют ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0522 | |
| | роли, совмещающие функции | |////|/////|/////|/////| | | | |
| | разработки и сопровождения | |////|/////|/////|/////| | | | |
| | системы/ПО? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.6 | Отсутствуют ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0610 | |
| | роли, совмещающие функции | |////|/////|/////|/////| | | | |
| | разработки и эксплуатации | |////|/////|/////|/////| | | | |
| | системы/ПО? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.7 | Отсутствуют ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0522 | |
| | роли, совмещающие функции | |////|/////|/////|/////| | | | |
| | сопровождения и эксплуатации? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.8 | Отсутствуют ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0661 | |
| | роли, совмещающие функции | |////|/////|/////|/////| | | | |
| | администратора системы и | |////|/////|/////|/////| | | | |
| | администратора информационной | |////|/////|/////|/////| | | | |
| | безопасности? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.9 | Отсутствуют ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0661 | |
| | роли, совмещающие функции по | |////|/////|/////|/////| | | | |
| | выполнению операций в системе и | |////|/////|/////|/////| | | | |
| | контроля их выполнения? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.10 | Определены ли документально в | обязательный | | | | | | | 0,1001 | |
| | организации и выполняются ли | | | | | | | | | |
| | процедуры контроля деятельности | | | | | | | | | |
| | работников, обладающих | | | | | | | | | |
| | совокупностью полномочий | | | | | | | | | |
| | (ролями), позволяющих получить | | | | | | | | | |
| | контроль над защищаемым | | | | | | | | | |
| | информационным активом | | | | | | | | | |
| | организации? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.11 | Определены ли в документах | обязательный | | | | | | | 0,0513 | |
| | организации процедуры приема на | | | | | | | | | |
| | работу, влияющую на обеспечение | | | | | | | | | |
| | ИБ, включающие: | | | | | | | | | |
| | - проверку подлинности | | | | | | | | | |
| | предоставленных документов, | | | | | | | | | |
| | заявляемой квалификации, точности | | | | | | | | | |
| | и полноты биографических навыков; | | | | | | | | | |
| | - проверку в части | | | | | | | | | |
| | профессиональных навыков и оценку | | | | | | | | | |
| | профессиональной пригодности? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.12 | Предусматривают ли указанные в | обязательный | | | | | | | 0,0371 | |
| | частном показателе М1.11 | | | | | | | | | |
| | процедуры документальную фиксацию | | | | | | | | | |
| | результатов проводимых проверок? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.13 | Определены ли в документах | рекомендуемый |////|/////|/////|/////| | | 0,0302 | |
| | организации процедуры регулярной | |////|/////|/////|/////| | | | |
| | проверки в части профессиональных | |////|/////|/////|/////| | | | |
| | навыков и оценки профессиональной | |////|/////|/////|/////| | | | |
| | пригодности работников? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.14 | Предусматривают ли указанные в | рекомендуемый |////|/////|/////|/////| | | 0,0302 | P |
| | частном показателе М1.13 | |////|/////|/////|/////| | | | |
| | процедуры документальную фиксацию | |////|/////|/////|/////| | | | |
| | результатов проводимых проверок? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.15 | Определены ли в документах | рекомендуемый |////|/////|/////|/////| | | 0,0433 | |
| | организации процедуры внеплановой | |////|/////|/////|/////| | | | |
| | проверки работников при выявлении | |////|/////|/////|/////| | | | |
| | фактов их нештатного поведения, | |////|/////|/////|/////| | | | |
| | участия в инцидентах ИБ или | |////|/////|/////|/////| | | | |
| | подозрений в таком поведении или | |////|/////|/////|/////| | | | |
| | участии? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.16 | Предусматривают ли указанные в | рекомендуемый |////|/////|/////|/////| | | 0,0391 | |
| | частном показателе М1.15 | |////|/////|/////|/////| | | | |
| | процедуры документальную фиксацию | |////|/////|/////|/////| | | | |
| | результатов проводимых проверок? | |////|/////|/////|/////| | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.17 | Обязаны ли все работники | обязательный | | | | | | | 0,0383 | |
| | организации давать письменные | | | | | | | | | |
| | обязательства о соблюдении | | | | | | | | | |
| | конфиденциальности, | | | | | | | | | |
| | приверженности правилам | | | | | | | | | |
| | корпоративной этики, включая | | | | | | | | | |
| | требования по недопущению | | | | | | | | | |
| | конфликта интересов? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.18 | Регламентируются ли положениями, | обязательный | | | | | | | 0,0449 | |
| | включенными в договоры | | | | | | | | | |
| | (соглашения) с внешними | | | | | | | | | |
| | организациями и клиентами, | | | | | | | | | |
| | требования по ИБ? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.19 | Определены ли в трудовых | обязательный | | | | | | | 0,0582 | |
| | контрактах (соглашениях, | | | | | | | | | |
| | договорах) и (или) должностных | | | | | | | | | |
| | инструкциях обязанности персонала | | | | | | | | | |
| | по выполнению требований ИБ? | | | | | | | | | |
|--------------|-----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М1.20 | Приравнивается ли невыполнение | обязательный | | | | | | | 0,0462 | |
| | работниками организации | | | | | | | | | |
| | требований ИБ к невыполнению | | | | | | | | | |
| | должностных обязанностей и | | | | | | | | | |
| | приводит ли как минимум к | | | | | | | | | |
| | дисциплинарной ответственности? | | | | | | | | | |
|-----------------------------------------------------------------------------------------------------------------|------------|
| Итоговая оценка группового показателя М1 | |
--------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".