Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M31 "Оценка деятельности
руководства организации БС РФ по поддержке
реализации СОИБ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T-------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.1 ¦ Организована ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1442 ¦ ¦
¦ (аналог ¦ оформленная работа с персоналом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.1) ¦ организации в направлении повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности и обучения в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, включая разработку и реализацию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планов и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности в области ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля результатов выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ указанных планов? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством указанная работа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.2 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1024 ¦ ¦
¦ (аналог ¦ роли по разработке, реализации планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.6) ¦ и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.3 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1024 ¦ ¦
¦ (аналог ¦ выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.7) ¦ реализации планов и программ обучения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ и по контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.4 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1404 ¦ ¦
¦ (аналог ¦ роли по обнаружению, классификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M19.8) ¦ реагированию, анализу и расследованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.5 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1268 ¦ ¦
¦ (аналог ¦ выполнение ролей по обнаружению, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M19.9) ¦ классификации, реагированию, анализу и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ расследованию инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.6 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1442 ¦ ¦
¦ (аналог ¦ план обеспечения непрерывности бизнеса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.3) ¦ и его восстановления после возможного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ прерывания, содержащий инструкции и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, в состав которого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ включены: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - условия активизации плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок действий, которые должны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ быть предприняты после инцидента ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (инструкции персонала); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры восстановления; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры тестирования и проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - план обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - обязанности работников организации с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ указанием ответственных за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ каждого из положений плана? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1198 ¦ ¦
¦ (аналог ¦ роли по разработке плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.13) ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M31.8 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1198 ¦ ¦
¦ (аналог ¦ выполнение ролей по разработке плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.14) ¦ обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ его восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M31 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".