Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М23 "Анализ СОИБ со стороны
руководства организации БС РФ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.1 |Утвержден ли в организации | обязательный | | | | | | | 0,1376 | |
| |перечень документов (данных), | | | | | | | | | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.2 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1464 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, отчеты с | | | | | | | | | |
| |результатами: | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.3 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1318 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |содержащие информацию: | | | | | | | | | |
| |- о способах и методах защиты, | | | | | | | | | |
| |защитных мерах или процедурах их | | | | | | | | | |
| |использования, которые могли бы | | | | | | | | | |
| |использоваться для улучшения | | | | | | | | | |
| |функционирования СОИБ; | | | | | | | | | |
| |- о новых выявленных уязвимостях | | | | | | | | | |
| |и угрозах ИБ; | | | | | | | | | |
| |- о действиях, предпринятых по | | | | | | | | | |
| |итогам предыдущих анализов СОИБ, | | | | | | | | | |
| |осуществленных руководством; | | | | | | | | | |
| |- об изменениях, которые могли бы | | | | | | | | | |
| |повлиять на организацию СОИБ, | | | | | | | | | |
| |например изменения в | | | | | | | | | |
| |законодательстве Российской | | | | | | | | | |
| |Федерации и (или) в положениях | | | | | | | | | |
| |стандартов Банка России; | | | | | | | | | |
| |- о выявленных инцидентах ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.4 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1154 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требуемой деятельности по | | | | | | | | | |
| |обеспечению ИБ, например | | | | | | | | | |
| |выполнение планов обработки | | | | | | | | | |
| |рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.5 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1228 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требований непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.6 |Определен ли в организации и | обязательный | | | | | | | 0,1104 | |
| |утвержден ли руководством план | | | | | | | | | |
| |выполнения деятельности по | | | | | | | | | |
| |контролю и анализу СОИБ, | | | | | | | | | |
| |содержащий, в частности, | | | | | | | | | |
| |положения по проведению совещаний | | | | | | | | | |
| |на уровне руководства, на которых | | | | | | | | | |
| |в том числе производятся поиск и | | | | | | | | | |
| |анализ проблем ИБ, влияющих на | | | | | | | | | |
| |бизнес организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.7 |Определены ли в документах | обязательный | | | | | | | 0,1178 | |
| |организации роли, связанные с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,1178 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М23 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".