Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M14 "Разработка планов обработки
рисков нарушения ИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.1 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ по каждому из недопустимых рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ план, определяющий один ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ из возможных способов обработки риска: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - перенос риска на сторонние ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ страхования указанного риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уход от риска (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отказа от деятельности, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которой приводит к появлению риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - осознанное принятие риска; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - формирование требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ снижающих риск до допустимого уровня, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и формирование планов по их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.2 ¦ Согласованы ли планы обработки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ нарушения ИБ с руководителем службы ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.3 ¦ Утверждены ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ планы обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.4 ¦ Содержат ли планы реализации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1702 ¦ ¦
¦ ¦ требований ИБ последовательность и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сроки реализации и внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационных, технических и иных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.5 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦ роли по разработке планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.6 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦ выполнение ролей по разработке планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M14 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".