Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М21 "Проведение аудита ИБ" ------------------------------------------------------------------------------------------------------------------------------- | Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное | | частного | | выполнения |---------------------------------| значимости | значение | |показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя | | | | | | | | | | | показателя | ИБ | | | | | | | | | | | ИБ | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.1 |Проводится ли аудит ИБ | обязательный | | | | | | | 0,1192 | | | |организации в соответствии с | | | | | | | | | | | |требованиями стандарта Банка | | | | | | | | | | | |России СТО БР ИББС-1.1 | | | | | | | | | | | |"Обеспечение информационной | | | | | | | | | | | |безопасности организаций | | | | | | | | | | | |банковской системы Российской | | | | | | | | | | | |Федерации. Аудит информационной | | | | | | | | | | | |безопасности" и настоящего | | | | | | | | | | | |стандарта? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.2 |Определена ли в документах | обязательный | | | | | | | 0,0974 | | | |организации и реализуется ли | | | | | | | | | | | |программа аудитов ИБ, содержащая | | | | | | | | | | | |информацию, необходимую для | | | | | | | | | | | |планирования и организации | | | | | | | | | | | |аудитов ИБ, их контроля, анализа | | | | | | | | | | | |и совершенствования, а также | | | | | | | | | | | |обеспечения их ресурсами, | | | | | | | | | | | |необходимыми для эффективного и | | | | | | | | | | | |результативного проведения | | | | | | | | | | | |указанных аудитов ИБ в заданные | | | | | | | | | | | |сроки? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.3 |Оформлен ли в документах | обязательный | | | | | | | 0,1112 | | | |организации для каждого | | | | | | | | | | | |проводимого в организации аудита | | | | | | | | | | | |ИБ план аудита, определяющий: | | | | | | | | | | | |- цель аудита ИБ; | | | | | | | | | | | |- критерии аудита ИБ; | | | | | | | | | | | |- область аудита ИБ; | | | | | | | | | | | |- дату и продолжительность | | | | | | | | | | | |проведения аудита ИБ; | | | | | | | | | | | |- состав аудиторской группы; | | | | | | | | | | | |- описание деятельности и | | | | | | | | | | | |мероприятий по проведению аудита | | | | | | | | | | | |ИБ; | | | | | | | | | | | |- распределение ресурсов при | | | | | | | | | | | |проведении аудита ИБ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.4 |Оформлены ли договоры с | обязательный | | | | | | | 0,1246 | | | |аудиторскими организациями и | | | | | | | | | | | |определены ли в соответствующих | | | | | | | | | | | |документах: | | | | | | | | | | | |- порядок хранения, доступа и | | | | | | | | | | | |использования материалов, | | | | | | | | | | | |получаемых в процессе проведения | | | | | | | | | | | |аудита ИБ; | | | | | | | | | | | |- порядок взаимодействия с | | | | | | | | | | | |аудиторской организацией в | | | | | | | | | | | |процессе проведения аудита ИБ; | | | | | | | | | | | |- порядок взаимодействия | | | | | | | | | | | |аудиторской группы и руководства, | | | | | | | | | | | |позволяющий представителям | | | | | | | | | | | |аудиторской группы при | | | | | | | | | | | |необходимости непосредственно | | | | | | | | | | | |обращаться к руководству; | | | | | | | | | | | |- порядок организации опроса | | | | | | | | | | | |работников; | | | | | | | | | | | |- порядок организации наблюдения | | | | | | | | | | | |за деятельностью работников | | | | | | | | | | | |организации со стороны | | | | | | | | | | | |представителей аудиторской | | | | | | | | | | | |организации? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.5 |Подготавливаются ли по | обязательный | | | | | | | 0,1186 | | | |результатам аудитов ИБ отчеты? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.6 |Доводятся ли результаты аудитов | обязательный | | | | | | | 0,1312 | | | |ИБ и соответствующие отчеты до | | | | | | | | | | | |руководства организации? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.7 |Определен ли в документах | обязательный | | | | | | | 0,0886 | | | |организации порядок хранения, | | | | | | | | | | | |доступа и использования | | | | | | | | | | | |материалов, получаемых в процессе | | | | | | | | | | | |проведения аудитов, в частности | | | | | | | | | | | |отчетов аудитов? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.8 |Определены ли в документах | обязательный | | | | | | | 0,1046 | | | |организации роли, связанные с | | | | | | | | | | | |организацией выполнения программ | | | | | | | | | | | |аудитов и планов отдельных | | | | | | | | | | | |аудитов? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М21.9 |Назначены ли ответственные за | обязательный | | | | | | | 0,1046 | | | |выполнение ролей, связанных с | | | | | | | | | | | |организацией выполнения программ | | | | | | | | | | | |аудитов и планов отдельных | | | | | | | | | | | |внешних аудитов? | | | | | | | | | | |----------------------------------------------------------------------------------------------------------------|------------| |Итоговая оценка группового показателя М21 | | ------------------------------------------------------------------------------------------------------------------------------- |
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".