Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M21 "Мониторинг и контроль
защитных мер"
-------------------T---------------------------------------------T----------------T--------------------------------------------T---------------T-------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T--------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.1 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1482 ¦ ¦
¦ ¦ процедуры мониторинга СОИБ и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер (включая контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ параметров конфигурации и настроек ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средств и механизмов защиты), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ охватывают все реализованные и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатируемые защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ входящие в СИБ, и проводятся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персоналом организации, ответственным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.2 ¦ Фиксируются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ результаты выполнения процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.3 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1068 ¦ ¦
¦ ¦ и выполняются ли процедуры сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ хранения информации о действиях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников организации, событиях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ параметрах, имеющих отношение к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционированию защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.4 ¦ Включается ли в базу данных инцидентов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ информация обо всех инцидентах ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выявленных в процессе мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и контроля защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.5 ¦ Подвергаются ли процедуры мониторинга ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦ СОИБ и контроля защитных мер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулярным и документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ зафиксированным пересмотрам в связи с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениями в составе и способах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования защитных мер, выявлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ новых угроз и уязвимостей ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе данных об инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.6 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1066 ¦ ¦
¦ ¦ порядок пересмотра процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦ роли, связанные с выполнением процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер, а также с пересмотром указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.8 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнением процедур мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и контроля защитных мер, а также с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотром указанных процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ Итоговая оценка группового показателя M21 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+--------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".