Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М22 "Анализ функционирования СОИБ" ------------------------------------------------------------------------------------------------------------------------------- | Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное | | частного | | выполнения |---------------------------------| значимости | значение | |показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя | | | | | | | | | | | показателя | ИБ | | | | | | | | | | | ИБ | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.1 |Проводится ли в организации | обязательный | | | | | | | 0,1274 | | | |анализ функционирования СОИБ, | | | | | | | | | | | |использующий в том числе: | | | | | | | | | | | |- результаты мониторинга СОИБ и | | | | | | | | | | | |контроля защитных мер; | | | | | | | | | | | |- сведения об инцидентах ИБ; | | | | | | | | | | | |- результаты проведения аудитов | | | | | | | | | | | |ИБ, самооценок ИБ; | | | | | | | | | | | |- данные об угрозах, возможных | | | | | | | | | | | |нарушителях и уязвимостях ИБ; | | | | | | | | | | | |- данные об изменениях внутри | | | | | | | | | | | |организации, например данные об | | | | | | | | | | | |изменениях в процессах и | | | | | | | | | | | |технологиях, реализуемых в рамках | | | | | | | | | | | |основного процессного потока, | | | | | | | | | | | |изменениях во внутренних | | | | | | | | | | | |документах организации; | | | | | | | | | | | |- данные об изменениях вне | | | | | | | | | | | |организации, например данные об | | | | | | | | | | | |изменениях в законодательстве | | | | | | | | | | | |Российской Федерации, изменениях | | | | | | | | | | | |в требованиях комплекса БР ИББС, | | | | | | | | | | | |изменениях в договорных | | | | | | | | | | | |обязательствах организации? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.2 |Проводится ли анализ соответствия | обязательный | | | | | | | 0,1058 | | | |комплекса внутренних документов, | | | | | | | | | | | |регламентирующих деятельность по | | | | | | | | | | | |обеспечению ИБ в организации, | | | | | | | | | | | |требованиям законодательства РФ, | | | | | | | | | | | |требованиям стандартов Банка | | | | | | | | | | | |России, контрактным требованиям | | | | | | | | | | | |организации? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.3 |Проводится ли анализ соответствия | обязательный | | | | | | | 0,1002 | | | |внутренних документов нижних | | | | | | | | | | | |уровней иерархии, | | | | | | | | | | | |регламентирующих деятельность по | | | | | | | | | | | |обеспечению ИБ в организации, | | | | | | | | | | | |требованиям политик ИБ | | | | | | | | | | | |организации? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.4 |Проводится ли оценка рисков в | обязательный | | | | | | | 0,0946 | | | |области ИБ организации, включая | | | | | | | | | | | |оценку уровня остаточного и | | | | | | | | | | | |допустимого рисков? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.5 |Проводится ли проверка | обязательный | | | | | | | 0,0946 | | | |адекватности модели угроз | | | | | | | | | | | |организации существующим угрозам | | | | | | | | | | | |ИБ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.6 |Проводится ли оценка адекватности | обязательный | | | | | | | 0,0930 | | | |используемых защитных мер | | | | | | | | | | | |требованиям внутренних документов | | | | | | | | | | | |организации и результатам оценки | | | | | | | | | | | |рисков? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.7 |Проводится ли анализ отсутствия | обязательный | | | | | | | 0,0822 | | | |разрывов в технологических | | | | | | | | | | | |процессах обеспечения ИБ, а также | | | | | | | | | | | |несогласованности в использовании | | | | | | | | | | | |защитных мер? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.8 |Документируются ли результаты | обязательный | | | | | | | 0,1026 | | | |анализа функционирования СОИБ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.9 |Определены ли в документах | обязательный | | | | | | | 0,0998 | | | |организации роли, связанные с | | | | | | | | | | | |процедурами анализа | | | | | | | | | | | |функционирования СОИБ? | | | | | | | | | | |--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------| | М22.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0998 | | | |выполнение ролей, связанных с | | | | | | | | | | | |процедурами анализа | | | | | | | | | | | |функционирования СОИБ? | | | | | | | | | | |----------------------------------------------------------------------------------------------------------------|------------| |Итоговая оценка группового показателя М22 | | ------------------------------------------------------------------------------------------------------------------------------- |
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".