Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M22 "Проведение самооценки ИБ"
-------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.1 ¦ Проводится ли самооценка ИБ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1340 ¦ ¦
¦ ¦ соответствии с настоящим стандартом? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.2 ¦ Организован ли порядок проведения ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,1118 ¦ ¦
¦ ¦ самооценки ИБ в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ рекомендациями по стандартизации Банка ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ России РС БР ИББС-2.1 "Обеспечение ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организаций банковской системы ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ Российской Федерации. Руководство по ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценке соответствия информационной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности организаций банковской ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ системы Российской Федерации ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям СТО БР ИББС-1.0"? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.3 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦ и реализована ли программа самооценок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, содержащая информацию, необходимую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ для планирования и организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценок ИБ, их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствования, а также обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведения указанных самооценок ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.4 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦ организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок формирования, сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ хранения свидетельств самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - периодичность проведения самооценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок хранения и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.5 ¦ Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0978 ¦ ¦
¦ ¦ для каждой проводимой в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценки ИБ план ее проведения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цель самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - объекты и деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подвергающиеся самооценке ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок и сроки выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мероприятий самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - распределение ролей среди работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, связанных с проведением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.6 ¦ Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1150 ¦ ¦
¦ ¦ самооценок ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.7 ¦ Доводятся ли результаты самооценок ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1262 ¦ ¦
¦ ¦ и соответствующие отчеты до ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководства организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.8 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦ роли, связанные с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.9 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнением программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M22 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".