Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M28 "Оценка деятельности
руководства организации БС РФ по поддержке
функционирования службы ИБ организации БС РФ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T--------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.1 ¦ Сформирована ли руководством служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ (аналог ¦ (назначено ли уполномоченное лицо) для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.1) ¦ реализации, эксплуатации, контроля и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ поддержания на должном уровне СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ утверждены ли цели и задачи ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.2 ¦ Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦ (аналог ¦ руководством полномочия и ресурсы, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.2) ¦ необходимые для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ установленных целей и задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.3 ¦ Имеет ли служба ИБ назначенного из ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ (аналог ¦ числа руководства куратора, который ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.3) ¦ при этом не является куратором службы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информатизации (автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.4 ¦ Наделена ли служба ИБ собственным ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0530 ¦ ¦
¦ (аналог ¦ бюджетом? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ M11.4) ¦ ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.5 ¦ Сформированы ли для организаций, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0615 ¦ ¦
¦ (аналог ¦ имеющих сеть филиалов или региональных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ M11.5) ¦ представительств, подразделения ИБ ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (уполномоченные лица) на местах и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечены ли эти подразделения ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимыми ресурсами и нормативной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ базой? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.6 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ (аналог ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.6) ¦ составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнение всех планов по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.7 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.7) ¦ вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.8 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.8) ¦ изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.9 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦ (аналог ¦ лицо) полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.9) ¦ требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.10 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.10) ¦ работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения ими требований внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в первую очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ максимальные полномочия по доступу к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемым информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.11 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.11) ¦ мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.12 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ (аналог ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.12) ¦ расследовании событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентами ИБ, и выходить в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости с предложениями по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ применению санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществивших НСД и НРД (например, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушивших требования инструкций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководств по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.13 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ (аналог ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.13) ¦ действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности АБС после сбоев и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.14 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ (аналог ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.14) ¦ создании, поддержании, эксплуатации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствовании СОИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M28 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".