Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M23 "Проведение аудита ИБ"
-------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.1 ¦ Проводится ли аудит ИБ организации в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1192 ¦ ¦
¦ ¦ соответствии с требованиями стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Банка России СТО БР ИББС-1.1 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ "Обеспечение информационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности организаций банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ системы Российской Федерации. Аудит ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности" и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ настоящего стандарта? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.2 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0974 ¦ ¦
¦ ¦ и реализуется ли программа аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащая информацию, необходимую для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планирования и организации аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствования, а также обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведения указанных аудитов ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.3 ¦ Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1112 ¦ ¦
¦ ¦ для каждого проводимого в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ план аудита, определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цель аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - критерии аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - область аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - дату и продолжительность проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - состав аудиторской группы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - описание деятельности и мероприятий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по проведению аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - распределение ресурсов при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведении аудита ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.4 ¦ Оформлены ли договоры с аудиторскими ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1246 ¦ ¦
¦ ¦ организациями и определены ли в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствующих документах: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования материалов, получаемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессе проведения аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок взаимодействия с аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организацией в процессе проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок взаимодействия аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ группы и руководства, позволяющий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ представителям аудиторской группы при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости непосредственно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обращаться к руководству; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок организации опроса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок организации наблюдения за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельностью работников организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ со стороны представителей аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.5 ¦ Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1186 ¦ ¦
¦ ¦ аудитов ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.6 ¦ Доводятся ли результаты аудитов ИБ и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦ соответствующие отчеты до руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.7 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0886 ¦ ¦
¦ ¦ порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования материалов, получаемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессе проведения аудитов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ частности, отчетов аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.8 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦ роли, связанные с организацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения программ аудитов и планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отдельных аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.9 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организацией выполнения программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудитов и планов отдельных внешних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M23 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".