Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M26 "Принятие решений по
тактическим улучшениям СОИБ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.1 ¦ Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ решений, связанных с тактическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениями СОИБ, документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оформленные результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - выявления новых угроз и уязвимостей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа перечня защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ возможных для применения; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - стратегических улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа СОИБ со стороны руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа успешных практик в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ (собственных или других ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.2 ¦ Оформляются ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ по тактическим улучшениям СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащие либо выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости тактических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, либо направления тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.3 ¦ Формируются ли направления тактических ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦ улучшений СОИБ в виде корректирующих и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ превентивных действий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.4 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ планы реализации тактических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.5 ¦ Существуют ли в организации документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1272 ¦ ¦
¦ ¦ в которых фиксируются результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения планов реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.6 ¦ Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1300 ¦ ¦
¦ ¦ руководство службы ИБ организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность, связанную с реализацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0934 ¦ ¦
¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ согласования и информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заинтересованных сторон о тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениях СОИБ, в частности, об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениях, относящихся к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, к ответственности в области ИБ, к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям ИБ? Фиксируются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.8 ¦ Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦ реализацию решений по тактическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M26 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".