Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M30 "Оценка деятельности
руководства организации БС РФ по поддержке
планирования СОИБ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T-------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.1 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ и корректируется ли опись ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.1) ¦ структурированных по классам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов - типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.2 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ роли по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.6) ¦ действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.3 ¦ Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ ответственные за выполнение ролей по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.7) ¦ определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.4 ¦ Принята ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ корректируется ли методика оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.1) ¦ рисков нарушения ИБ/подход к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.5 ¦ Определены ли в организации критерии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ принятия рисков нарушения ИБ и уровень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.2) ¦ допустимого риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.6 ¦ Определяет ли порядок оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ нарушения ИБ необходимые процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.4) ¦ оценки рисков нарушения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ последовательность их выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ роли, связанные с деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.9) ¦ определению/коррекции методики оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ/подхода к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.8 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.10) ¦ деятельностью по определению/коррекции ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ методики оценки рисков нарушения ИБ/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подхода к оценке риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.9 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ роли по оценке рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.11) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.10 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ выполнение ролей по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.12) ¦ нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.11 ¦ Утверждены ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ планы обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.3) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.12 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ роли по разработке планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.5) ¦ рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.13 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ выполнение ролей по разработке планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.6) ¦ обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.14 ¦ Разработана ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦ организации? Утверждена ли политика ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.2) ¦ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.15 ¦ Корректируется ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.3) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.16 ¦ Разработаны ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.4) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.17 ¦ Корректируются ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.5) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.18 ¦ Определены ли в политике ИБ (частных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.9) ¦ - цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.19 ¦ Корректируются ли в политике ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ (частных политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.10) ¦ - цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.20 ¦ Разрабатываются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦ документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.11) ¦ деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - договорных требований организации со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.21 ¦ Корректируются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.12) ¦ деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - договорных требований организации со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.22 ¦ Утвержден ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ порядок взаимодействия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.16) ¦ (координирования работы) службы ИБ с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работниками, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ в структурных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подразделениях организации (в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ наличия в структурных подразделениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации работников, ответственных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.23 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦ процедуры выделения и распределения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.18) ¦ ролей в области обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.24 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦ роли по разработке, поддержке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.20) ¦ пересмотру и контролю исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.25 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.21) ¦ поддержке, пересмотру и контролю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ исполнения внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.26 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ роли, связанные с реализацией планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M17.3) ¦ обработки рисков нарушения ИБ и с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализацией требуемых защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M30.27 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M17.4) ¦ реализацией планов обработки рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ и с реализацией требуемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M30 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".