Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М25 "Принятие решений
по стратегическим улучшениям СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.1 |Рассматриваются ли при принятии | обязательный | | | | | | | 0,1130 | |
| |решений, связанных со | | | | | | | | | |
| |стратегическими улучшениями СОИБ, | | | | | | | | | |
| |документально оформленные | | | | | | | | | |
| |результаты: | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ; | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- обработки инцидентов ИБ; | | | | | | | | | |
| |- выявления новых информационных | | | | | | | | | |
| |активов организации или их типов; | | | | | | | | | |
| |- выявления новых угроз и | | | | | | | | | |
| |уязвимостей ИБ; | | | | | | | | | |
| |- оценки рисков; | | | | | | | | | |
| |- пересмотра основных рисков ИБ; | | | | | | | | | |
| |- анализа СОИБ со стороны | | | | | | | | | |
| |руководства; | | | | | | | | | |
| |- анализа успешных практик в | | | | | | | | | |
| |области ИБ (собственных или | | | | | | | | | |
| |других организаций)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.2 |Рассматриваются ли при принятии | обязательный | | | | | | | 0,1058 | |
| |решений, связанных со | | | | | | | | | |
| |стратегическими улучшениями СОИБ, | | | | | | | | | |
| |изменения интересов, целей и | | | | | | | | | |
| |задач бизнеса организации, | | | | | | | | | |
| |контрактных обязательств | | | | | | | | | |
| |организации, а также изменения в | | | | | | | | | |
| |законодательстве РФ и нормативных | | | | | | | | | |
| |актах Банка России? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.3 |Оформляются ли документально | обязательный | | | | | | | 0,0984 | |
| |решения по стратегическим | | | | | | | | | |
| |улучшениям СОИБ, содержащие либо | | | | | | | | | |
| |выводы об отсутствии | | | | | | | | | |
| |необходимости стратегических | | | | | | | | | |
| |улучшений СОИБ, либо направления | | | | | | | | | |
| |стратегических улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.4 |Формируются ли направления | обязательный | | | | | | | 0,0984 | |
| |стратегических улучшений СОИБ в | | | | | | | | | |
| |виде корректирующих или | | | | | | | | | |
| |превентивных действий, например: | | | | | | | | | |
| |- уточнение/пересмотр целей и | | | | | | | | | |
| |задач обеспечения ИБ, | | | | | | | | | |
| |определенных в рамках политики ИБ | | | | | | | | | |
| |(частных политик ИБ) организации; | | | | | | | | | |
| |- изменения в области действия | | | | | | | | | |
| |СОИБ; | | | | | | | | | |
| |- уточнение описи типов | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- пересмотр моделей угроз и | | | | | | | | | |
| |нарушителей; | | | | | | | | | |
| |- изменение подходов к оценке | | | | | | | | | |
| |рисков ИБ, критериев принятия | | | | | | | | | |
| |риска ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.5 |Определены ли в документах | обязательный | | | | | | | 0,1016 | |
| |организации планы реализации | | | | | | | | | |
| |стратегических улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.6 |Существуют ли в организации | обязательный | | | | | | | 0,0962 | |
| |документы, в которых фиксируются | | | | | | | | | |
| |результаты выполнения планов | | | | | | | | | |
| |реализации стратегических | | | | | | | | | |
| |улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.7 |Санкционирует и контролирует ли | обязательный | | | | | | | 0,1108 | |
| |руководство организации | | | | | | | | | |
| |деятельность, связанную с | | | | | | | | | |
| |реализацией стратегических | | | | | | | | | |
| |улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.8 |В случае стратегических улучшений | обязательный | | | | | | | 0,1058 | |
| |СОИБ выполняется ли деятельность | | | | | | | | | |
| |по реализации соответствующих | | | | | | | | | |
| |тактических улучшений СОИБ для | | | | | | | | | |
| |всех необходимых процедур | | | | | | | | | |
| |обеспечения ИБ, используемых | | | | | | | | | |
| |защитных мер и соответствующих | | | | | | | | | |
| |внутренних документов, в | | | | | | | | | |
| |частности, выполняются ли: | | | | | | | | | |
| |- выработка планов тактических | | | | | | | | | |
| |улучшений СОИБ; | | | | | | | | | |
| |- уточнение планов обработки | | | | | | | | | |
| |рисков; | | | | | | | | | |
| |- уточнение программы внедрения | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- уточнение процедур | | | | | | | | | |
| |использования защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.9 |Определены ли в документах | обязательный | | | | | | | 0,0822 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры согласования и | | | | | | | | | |
| |информирования заинтересованных | | | | | | | | | |
| |сторон о стратегических | | | | | | | | | |
| |улучшениях СОИБ, в частности об | | | | | | | | | |
| |изменениях, относящихся к | | | | | | | | | |
| |обеспечению ИБ, к ответственности | | | | | | | | | |
| |в области ИБ, к требованиям ИБ? | | | | | | | | | |
| |Фиксируются ли документально | | | | | | | | | |
| |результаты выполнения указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.10 |Назначаются ли ответственные за | обязательный | | | | | | | 0,0878 | |
| |реализацию решений по | | | | | | | | | |
| |стратегическим улучшениям СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М25 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".