Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M1 "Обеспечение
информационной безопасности при назначении и
распределении ролей и обеспечении доверия к персоналу"
-------------------T-----------------------------------------T-------------------T-------------------------------------------T---------------T----------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ +------T------T-------T------T-------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.1 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦ роли ее работников? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.2 ¦ Формируются ли роли, связанные с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0291 ¦ ¦
¦ ¦ выполнением деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ, на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требований разделов 7 и 8 стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СТО БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.3 ¦ Персонифицированы ли роли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0502 ¦ ¦
¦ ¦ организации с установлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственности за их выполнение? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.4 ¦ Зафиксирована ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0461 ¦ ¦
¦ ¦ должностных инструкциях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственность за выполнение ролей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.5 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦ совмещающие функции разработки и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ сопровождения системы/ПО? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.6 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0610 ¦ ¦
¦ ¦ совмещающие функции разработки и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации системы/ПО? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.7 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦ совмещающие функции сопровождения и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.8 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦ совмещающие функции администратора ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ системы и администратора ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.9 ¦ Отсутствуют ли в организации роли, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦ совмещающие функции по выполнению ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ операций в системе и контроля их ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.10 ¦ Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1001 ¦ ¦
¦ ¦ организации и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля деятельности работников, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обладающих совокупностью полномочий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (ролями), позволяющих получить ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроль над защищаемым информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активом организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.11 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦
¦ ¦ процедуры приема на работу, влияющую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на обеспечение ИБ, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - проверку подлинности предоставленных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, заявляемой квалификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ точности и полноты биографических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ фактов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - проверку в части профессиональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ навыков и оценку профессиональной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пригодности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.12 ¦ Предусматривают ли указанные в частном ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0371 ¦ ¦
¦ ¦ показателе M1.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.13 ¦ Определены ли в документах организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦ процедуры регулярной проверки в части ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ профессиональных навыков и оценки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ профессиональной пригодности ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работников? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.14 ¦ Предусматривают ли указанные в частном ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦ показателе M1.13 процедуры ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.15 ¦ Определены ли в документах организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦ процедуры внеплановой проверки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ работников при выявлении фактов их ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ нештатного поведения, участия в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентах ИБ или подозрений в таком ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ поведении или участии? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.16 ¦ Предусматривают ли указанные в частном ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0391 ¦ ¦
¦ ¦ показателе M1.15 процедуры ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документальную фиксацию результатов ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ проводимых проверок? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.17 ¦ Обязаны ли все работники организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0383 ¦ ¦
¦ ¦ давать письменные обязательства о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соблюдении конфиденциальности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ приверженности правилам корпоративной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ этики, включая требования по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ недопущению конфликта интересов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.18 ¦ Регламентируются ли положениями, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0449 ¦ ¦
¦ ¦ включенными в договоры (соглашения) с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внешними организациями и клиентами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования по ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.19 ¦ Определены ли в трудовых контрактах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0582 ¦ ¦
¦ ¦ (соглашениях, договорах) и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ должностных инструкциях обязанности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персонала по выполнению требований ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ M1.20 ¦ Приравнивается ли невыполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0462 ¦ ¦
¦ ¦ работниками организации требований ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ к невыполнению должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обязанностей и приводит ли как минимум ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ к дисциплинарной ответственности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+-----------------------------------------+-------------------+------+------+-------+------+-------+------+---------------+----------------+
¦ Итоговая оценка группового показателя M1 ¦ ¦
L--------------------------------------------------------------------------------------------------------------------------------------------+-----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".