Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".
Групповой показатель М28 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.1 |Определена ли в документах | обязательный | | | | | | | 0,0386 | |
|(аналог М10.1)|организации и корректируется ли | | | | | | | | | |
| |опись структурированных по | | | | | | | | | |
| |классам защищаемых информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов - типов информации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.2 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М10.6)|организации роли по | | | | | | | | | |
| |определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.3 |Назначены ли в организации | обязательный | | | | | | | 0,0364 | |
|(аналог М10.7)|ответственные за выполнение ролей | | | | | | | | | |
| |по определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.4 |Принята ли в организации и | обязательный | | | | | | | 0,0386 | |
|(аналог М11.1)|корректируется ли методика оценки | | | | | | | | | |
| |рисков нарушения ИБ / подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.5 |Определены ли в организации | обязательный | | | | | | | 0,0386 | |
|(аналог М11.2)|критерии принятия рисков | | | | | | | | | |
| |нарушения ИБ и уровень | | | | | | | | | |
| |допустимого риска нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.6 |Определяет ли порядок оценки | обязательный | | | | | | | 0,0345 | |
|(аналог М11.4)|рисков нарушения ИБ необходимые | | | | | | | | | |
| |процедуры оценки рисков нарушения | | | | | | | | | |
| |ИБ, а также последовательность их | | | | | | | | | |
| |выполнения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.7 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М11.9)|организации роли, связанные с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ / | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
| (аналог |выполнение ролей, связанных с | | | | | | | | | |
| М11.10) |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ / | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.9 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
| (аналог |организации роли по оценке рисков | | | | | | | | | |
| М11.11) |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0345 | |
| (аналог |выполнение ролей по оценке рисков | | | | | | | | | |
| М11.12) |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.11 |Утверждены ли руководством | обязательный | | | | | | | 0,0364 | |
|(аналог М12.3)|организации планы обработки | | | | | | | | | |
| |рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.12 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
|(аналог М12.5)|организации роли по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.13 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
|(аналог М12.6)|выполнение ролей по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.14 |Разработана ли политика ИБ | обязательный | | | | | | | 0,0408 | |
|(аналог М13.2)|организации? Утверждена ли | | | | | | | | | |
| |политика ИБ руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.15 |Корректируется ли политика ИБ | обязательный | | | | | | | 0,0386 | |
|(аналог М13.3)|организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.16 |Разработаны ли частные политики | обязательный | | | | | | | 0,0408 | |
|(аналог М13.4)|ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.17 |Корректируются ли частные | обязательный | | | | | | | 0,0364 | |
|(аналог М13.5)|политики ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.18 |Определены ли в политике ИБ | обязательный | | | | | | | 0,0386 | |
|(аналог М13.9)|(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.19 |Корректируются ли в политике ИБ | обязательный | | | | | | | 0,0364 | |
| (аналог |(частных политиках ИБ) | | | | | | | | | |
| М13.10) |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики ИБ?| | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.20 |Разрабатываются ли внутренние | обязательный | | | | | | | 0,0408 | |
| (аналог |документы, регламентирующие | | | | | | | | | |
| М13.11) |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.21 |Корректируются ли внутренние | обязательный | | | | | | | 0,0386 | |
| (аналог |документы, регламентирующие | | | | | | | | | |
| М13.12) |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.22 |Утвержден ли руководством | обязательный | | | | | | | 0,0345 | |
| (аналог |организации порядок | | | | | | | | | |
| М13.16) |взаимодействия (координирования | | | | | | | | | |
| |работы) службы ИБ с работниками, | | | | | | | | | |
| |ответственными за обеспечение ИБ | | | | | | | | | |
| |в структурных подразделениях | | | | | | | | | |
| |организации (в случае наличия в | | | | | | | | | |
| |структурных подразделениях | | | | | | | | | |
| |организации работников, | | | | | | | | | |
| |ответственных за обеспечение ИБ)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.23 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
| (аналог |организации процедуры выделения и | | | | | | | | | |
| М13.18) |распределения ролей в области | | | | | | | | | |
| |обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.24 |Определены ли в документах | обязательный | | | | | | | 0,0386 | |
| (аналог |организации роли по разработке, | | | | | | | | | |
| М13.20) |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.25 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
| (аналог |выполнение ролей по разработке, | | | | | | | | | |
| М13.21) |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.26 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М15.3)|организации роли, связанные с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.27 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
|(аналог М15.4)|выполнение ролей, связанных с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М28 | |
-------------------------------------------------------------------------------------------------------------------------------
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ СТО БР ИББС-1.0".