Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М13 "Определение/коррекция
внутренних документов, регламентирующих деятельность
в области обеспечения ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.1 |Проводится ли разработка и | рекомендуемый |////|/////|/////|/////| | | 0,0406 | |
| |коррекция внутренних документов, | |////|/////|/////|/////| | | | |
| |регламентирующих деятельность в | |////|/////|/////|/////| | | | |
| |области обеспечения ИБ в | |////|/////|/////|/////| | | | |
| |организации, с учетом | |////|/////|/////|/////| | | | |
| |рекомендаций по стандартизации | |////|/////|/////|/////| | | | |
| |Банка России РС БР ИББС-2.0 | |////|/////|/////|/////| | | | |
| |"Обеспечение информационной | |////|/////|/////|/////| | | | |
| |безопасности организаций | |////|/////|/////|/////| | | | |
| |банковской системы Российской | |////|/////|/////|/////| | | | |
| |Федерации. Методические | |////|/////|/////|/////| | | | |
| |рекомендации по документации в | |////|/////|/////|/////| | | | |
| |области обеспечения | |////|/////|/////|/////| | | | |
| |информационной безопасности в | |////|/////|/////|/////| | | | |
| |соответствии с требованиями СТО | |////|/////|/////|/////| | | | |
| |БР ИББС-1.0"? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.2 |Разработана ли политика ИБ | обязательный | | | | | | | 0,0628 | |
| |организации? Утверждена ли | | | | | | | | | |
| |политика ИБ руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.3 |Корректируется ли политика ИБ | обязательный | | | | | | | 0,0557 | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.4 |Разработаны ли частные политики | обязательный | | | | | | | 0,0580 | |
| |ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.5 |Корректируются ли частные | обязательный | | | | | | | 0,0557 | |
| |политики ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.6 |Разработаны ли в организации | обязательный | | | | | | | 0,0510 | |
| |документы, регламентирующие | | | | | | | | | |
| |процедуры выполнения отдельных | | | | | | | | | |
| |видов деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.7 |Корректируются ли в организации | обязательный | | | | | | | 0,0489 | |
| |документы, регламентирующие | | | | | | | | | |
| |процедуры выполнения отдельных | | | | | | | | | |
| |видов деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.8 |Определены ли в организации | обязательный | | | | | | | 0,0407 | |
| |перечень и формы документов, | | | | | | | | | |
| |являющихся свидетельством | | | | | | | | | |
| |выполнения деятельности по | | | | | | | | | |
| |обеспечению ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.9 |Определены ли в политике ИБ | обязательный | | | | | | | 0,0510 | |
| |(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.10 |Корректируются ли в политике ИБ | обязательный | | | | | | | 0,0486 | |
| |(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения ИБ;| | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.11 |Разрабатываются ли внутренние | обязательный | | | | | | | 0,0519 | |
| |документы, регламентирующие | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| | требования 7-го и 8-го | | | | | | | | | |
| |разделов стандарта СТО БР ИББС- | | | | | | | | | |
| |1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.12 |Корректируются ли внутренние | обязательный | | | | | | | 0,0510 | |
| |документы, регламентирующие | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.13 |Содержит ли совокупность | обязательный | | | | | | | 0,0501 | |
| |внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность в | | | | | | | | | |
| |области обеспечения ИБ, | | | | | | | | | |
| |требования по обеспечению ИБ всех | | | | | | | | | |
| |выявленных информационных активов | | | | | | | | | |
| |(типов информационных активов), | | | | | | | | | |
| |находящихся в области действия | | | | | | | | | |
| |СОИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.14 |Не противоречат ли документы, | обязательный | | | | | | | 0,0510 | |
| |регламентирующие процедуры | | | | | | | | | |
| |выполнения отдельных видов | | | | | | | | | |
| |деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ, положениям | | | | | | | | | |
| |политики ИБ и частных политик ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.15 |Детализируют ли документы, | обязательный | | | | | | | 0,0426 | |
| |регламентирующие процедуры | | | | | | | | | |
| |выполнения отдельных видов | | | | | | | | | |
| |деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ, положения | | | | | | | | | |
| |политики ИБ и частных политик ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.16 |Утвержден ли руководством | обязательный | | | | | | | 0,0354 | |
| |организации порядок | | | | | | | | | |
| |взаимодействия (координирования | | | | | | | | | |
| |работы) службы ИБ с работниками, | | | | | | | | | |
| |ответственными за обеспечение ИБ | | | | | | | | | |
| |в структурных подразделениях | | | | | | | | | |
| |организации (в случае наличия в | | | | | | | | | |
| |структурных подразделениях | | | | | | | | | |
| |организации работников, | | | | | | | | | |
| |ответственных за обеспечение ИБ)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.17 |Определены ли в составе | обязательный | | | | | | | 0,0426 | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ, перечень | | | | | | | | | |
| |свидетельств выполнения указанной | | | | | | | | | |
| |деятельности и ответственность | | | | | | | | | |
| |работников организации за | | | | | | | | | |
| |выполнение этой деятельности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.18 |Определены ли в документах | обязательный | | | | | | | 0,0443 | |
| |организации процедуры выделения и | | | | | | | | | |
| |распределения ролей в области | | | | | | | | | |
| |обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.19 |Определен ли в документах | обязательный | | | | | | | 0,0406 | |
| |организации порядок разработки, | | | | | | | | | |
| |поддержки, пересмотра и контроля | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.20 |Определены ли в документах | обязательный | | | | | | | 0,0382 | |
| |организации роли по разработке, | | | | | | | | | |
| |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.21 |Назначены ли ответственные за | обязательный | | | | | | | 0,0393 | |
| |выполнение ролей по разработке, | | | | | | | | | |
| |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М13 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".