Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М11 "Выбор / коррекция подхода
к оценке рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.1 |Принята ли в организации и | обязательный | | | | | | | 0,1154 | |
| |корректируется ли методика оценки | | | | | | | | | |
| |рисков нарушения ИБ/подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.2 |Определены ли в организации | обязательный | | | | | | | 0,1070 | |
| |критерии принятия рисков | | | | | | | | | |
| |нарушения ИБ и уровень | | | | | | | | | |
| |допустимого риска нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.3 |Определяет ли методика оценки | обязательный | | | | | | | 0,0854 | |
| |рисков нарушения ИБ/подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ | | | | | | | | | |
| |организации способ и порядок | | | | | | | | | |
| |качественного или количественного | | | | | | | | | |
| |оценивания риска нарушения ИБ на | | | | | | | | | |
| |основании оценивания: | | | | | | | | | |
| |- степени возможности реализации | | | | | | | | | |
| |угроз ИБ выявленными и (или) | | | | | | | | | |
| |предполагаемыми источниками угроз | | | | | | | | | |
| |ИБ, зафиксированных в моделях | | | | | | | | | |
| |угроз и нарушителей, в результате | | | | | | | | | |
| |их воздействия на объекты среды | | | | | | | | | |
| |информационных активов | | | | | | | | | |
| |организации (типов информационных | | | | | | | | | |
| |активов); | | | | | | | | | |
| |- степени тяжести последствий от | | | | | | | | | |
| |потери свойств ИБ, в частности | | | | | | | | | |
| |свойств доступности, целостности | | | | | | | | | |
| |и конфиденциальности для | | | | | | | | | |
| |рассматриваемых информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.4 |Определяет ли порядок оценки | обязательный | | | | | | | 0,0854 | |
| |рисков нарушения ИБ необходимые | | | | | | | | | |
| |процедуры оценки рисков нарушения | | | | | | | | | |
| |ИБ, а также последовательность их | | | | | | | | | |
| |выполнения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.5 |Проводится ли оценка рисков | обязательный | | | | | | | 0,0676 | |
| |нарушения ИБ для свойств ИБ всех | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов) области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.6 |Создан ли и поддерживается ли в | рекомендуемый |////|/////|/////|/////| | | 0,0688 | |
| |актуальном состоянии единый | |////|/////|/////|/////| | | | |
| |информационный ресурс (база | |////|/////|/////|/////| | | | |
| |данных), содержащий информацию об | |////|/////|/////|/////| | | | |
| |инцидентах ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.7 |Соотносятся ли величины рисков, | обязательный | | | | | | | 0,0766 | |
| |полученные в результате | | | | | | | | | |
| |оценивания рисков нарушения ИБ, с | | | | | | | | | |
| |уровнем допустимого риска, | | | | | | | | | |
| |принятого в организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.8 |Определен ли в документах | обязательный | | | | | | | 0,0766 | |
| |организации перечень недопустимых | | | | | | | | | |
| |рисков нарушения ИБ, | | | | | | | | | |
| |сформированный на основе | | | | | | | | | |
| |сравнения полученных в результате | | | | | | | | | |
| |оценивания рисков нарушения ИБ | | | | | | | | | |
| |величин рисков с уровнем | | | | | | | | | |
| |допустимого риска, принятого в | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.9 |Определены ли в документах | обязательный | | | | | | | 0,0782 | |
| |организации роли, связанные с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ/ | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0782 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ/ | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.11 |Определены ли в документах | обязательный | | | | | | | 0,0782 | |
| |организации роли по оценке рисков | | | | | | | | | |
| |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.12 |Назначены ли ответственные за | обязательный | | | | | | | 0,0826 | |
| |выполнение ролей по оценке рисков | | | | | | | | | |
| |нарушения ИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М11 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".