Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М18 "Организация
обеспечения непрерывности бизнеса и его восстановления
после прерываний"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.1 |Выделены ли в описи защищаемых | обязательный | | | | | | | 0,0876 | |
| |информационных активов | | | | | | | | | |
| |организации активы, существенные | | | | | | | | | |
| |для обеспечения непрерывности | | | | | | | | | |
| |бизнеса организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.2 |Определены ли документально в | обязательный | | | | | | | 0,0888 | |
| |организации требования | | | | | | | | | |
| |обеспечения ИБ, регламентирующие | | | | | | | | | |
| |вопросы обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.3 |Определен ли в документах | обязательный | | | | | | | 0,0907 | |
| |организации план обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после возможного | | | | | | | | | |
| |прерывания, содержащий инструкции | | | | | | | | | |
| |и порядок действий работников | | | | | | | | | |
| |организации, в состав которого | | | | | | | | | |
| |включены: | | | | | | | | | |
| |- условия активизации плана; | | | | | | | | | |
| |- порядок действий, которые | | | | | | | | | |
| |должны быть предприняты после | | | | | | | | | |
| |инцидента ИБ (инструкции | | | | | | | | | |
| |персонала); | | | | | | | | | |
| |- процедуры восстановления; | | | | | | | | | |
| |- процедуры тестирования и | | | | | | | | | |
| |проверки плана; | | | | | | | | | |
| |- план обучения и повышения | | | | | | | | | |
| |осведомленности работников | | | | | | | | | |
| |организации; | | | | | | | | | |
| |- обязанности работников | | | | | | | | | |
| |организации с указанием | | | | | | | | | |
| |ответственных за выполнение | | | | | | | | | |
| |каждого из положений плана? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.4 |Основывается ли разработка планов | обязательный | | | | | | | 0,0673 | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерываний на документально | | | | | | | | | |
| |оформленных результатах оценки | | | | | | | | | |
| |рисков нарушения ИБ организации | | | | | | | | | |
| |применительно к информационным | | | | | | | | | |
| |активам, существенным для | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.5 |Определены ли документально, | обязательный | | | | | | | 0,0801 | |
| |реализованы и эксплуатируются ли | | | | | | | | | |
| |защитные меры обеспечения | | | | | | | | | |
| |непрерывности бизнеса | | | | | | | | | |
| |применительно к информационным | | | | | | | | | |
| |активам, существенным для | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.6 |Основываются ли реализация и | обязательный | | | | | | | 0,0758 | |
| |использование защитных мер | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания на соответствующих | | | | | | | | | |
| |требованиях обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.7 |Согласован ли план обеспечения | обязательный | | | | | | | 0,0593 | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерываний с | | | | | | | | | |
| |существующими в организации | | | | | | | | | |
| |процедурами обработки инцидентов | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.8 |Определено ли в документах | обязательный | | | | | | | 0,0550 | |
| |организации и выполняется ли | | | | | | | | | |
| |периодическое тестирование плана | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.9 |Составлен ли сценарий | обязательный | | | | | | | 0,0587 | |
| |тестирования плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания с | | | | | | | | | |
| |учетом существующей в организации | | | | | | | | | |
| |модели угроз и нарушителей, а | | | | | | | | | |
| |также результатов оценки рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.10 |Проводится ли при необходимости | обязательный | | | | | | | 0,0699 | |
| |корректировка плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания | | | | | | | | | |
| |по результатам тестирования? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.11 |Реализована ли в организации | обязательный | | | | | | | 0,0593 | |
| |программа обучения и повышения | | | | | | | | | |
| |осведомленности работников в | | | | | | | | | |
| |области обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерываний? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.12 |Определены ли в документах | обязательный | | | | | | | 0,0717 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры регулярного пересмотра | | | | | | | | | |
| |и обновления плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания | | | | | | | | | |
| |(для обеспечения уверенности в их | | | | | | | | | |
| |эффективности), учитывающие | | | | | | | | | |
| |изменения в приоритетах, целях и | | | | | | | | | |
| |интересах бизнеса организации; | | | | | | | | | |
| |пересмотр моделей угроз; оценку | | | | | | | | | |
| |рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.13 |Определены ли в документах | обязательный | | | | | | | 0,0679 | |
| |организации роли по разработке | | | | | | | | | |
| |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.14 |Назначены ли ответственные за | обязательный | | | | | | | 0,0679 | |
| |выполнение ролей по разработке | | | | | | | | | |
| |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|-----------------------------------------------------------------------------------------------------------------------------|
|Итоговая оценка группового показателя М18 |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".