| |создания, авторизации, | | | | | | | | | |
| |уничтожения и изменения платежной | | | | | | | | | |
| |информации, а также проведения | | | | | | | | | |
| |несанкционированных операций по | | | | | | | | | |
| |изменению состояния банковских | | | | | | | | | |
| |счетов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.7 |Контролируются (проверяются) ли и | обязательный | | | | | | | 0,0458 | |
| |удостоверяются ли результаты | | | | | | | | | |
| |технологических операций по | | | | | | | | | |
| |обработке платежной информации | | | | | | | | | |
| |лицами/автоматизированными | | | | | | | | | |
| |процессами? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.8 |Осуществляются ли обработка | рекомендуемый |////|/////|/////|/////| | | 0,0442 | |
| |платежной информации и контроль | |////|/////|/////|/////| | | | |
| |(проверка) результатов обработки | |////|/////|/////|/////| | | | |
| |разными работниками / | |////|/////|/////|/////| | | | |
| |автоматизированными процессами? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.9 |Возложены ли обязанности по | рекомендуемый |////|/////|/////|/////| | | 0,0365 | |
| |администрированию средств защиты | |////|/////|/////|/////| | | | |
| |платежной информации приказами | |////|/////|/////|/////| | | | |
| |или распоряжениями по организации | |////|/////|/////|/////| | | | |
| |на администраторов ИБ с | |////|/////|/////|/////| | | | |
| |отражением этих обязанностей в | |////|/////|/////|/////| | | | |
| |должностных инструкциях? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.10 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса защиту платежной | | | | | | | | | |
| |информации от искажения, | | | | | | | | | |
| |фальсификации, переадресации, | | | | | | | | | |
| |несанкционированного уничтожения, | | | | | | | | | |
| |ложной авторизации электронных | | | | | | | | | |
| |платежных сообщений? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.11 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0384 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса доступ работника | | | | | | | | | |
| |организации только к тем ресурсам | | | | | | | | | |
| |банковского платежного | | | | | | | | | |
| |технологического процесса, | | | | | | | | | |
| |которые необходимы ему для | | | | | | | | | |
| |исполнения должностных | | | | | | | | | |
| |обязанностей или реализации прав, | | | | | | | | | |
| |предусмотренных технологией | | | | | | | | | |
| |обработки платежной информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.12 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0389 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса контроль (мониторинг) | | | | | | | | | |
| |исполнения установленной | | | | | | | | | |
| |технологии подготовки, обработки, | | | | | | | | | |
| |передачи и хранения платежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.13 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0412 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса аутентификацию входящих | | | | | | | | | |
| |электронных платежных сообщений? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.14 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0412 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса двустороннюю | | | | | | | | | |
| |аутентификацию автоматизированных | | | | | | | | | |
| |рабочих мест (рабочих станций и | | | | | | | | | |
| |серверов), участников обмена | | | | | | | | | |
| |электронными платежными | | | | | | | | | |
| |сообщениями? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.15 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса возможность ввода | | | | | | | | | |
| |платежной информации в АБС только | | | | | | | | | |
| |для авторизованных пользователей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.16 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса контроль, направленный | | | | | | | | | |
| |на исключение возможности | | | | | | | | | |
| |совершения злоумышленных действий | | | | | | | | | |
| |(двойной ввод, сверка, | | | | | | | | | |
| |установление ограничений в | | | | | | | | | |
| |зависимости от суммы совершения | | | | | | | | | |
| |операций и т.д.)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.17 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0392 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса восстановление платежной | | | | | | | | | |
| |информации в случае ее | | | | | | | | | |
| |умышленного (случайного) | | | | | | | | | |
| |разрушения (искажения) или выхода | | | | | | | | | |
| |из строя средств вычислительной | | | | | | | | | |
| |техники? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.18 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0436 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса при осуществлении | | | | | | | | | |
| |межбанковских расчетов сверку | | | | | | | | | |
| |выходных электронных платежных | | | | | | | | | |
| |сообщений с соответствующими | | | | | | | | | |
| |входными и обработанными | | | | | | | | | |
| |электронными платежными | | | | | | | | | |
| |сообщениями? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.19 |Предусматривает ли комплекс мер | обязательный | | | | | | | 0,0408 | |
| |по обеспечению ИБ банковского | | | | | | | | | |
| |платежного технологического | | | | | | | | | |
| |процесса доставку электронных | | | | | | | | | |
| |платежных сообщений участникам | | | | | | | | | |
| |обмена? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.20 |Организован ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0364 | |
| |авторизованный ввод платежной | |////|/////|/////|/////| | | | |
| |информации в АБС двумя | |////|/////|/////|/////| | | | |
| |работниками с последующей | |////|/////|/////|/////| | | | |
| |программной сверкой результатов | |////|/////|/////|/////| | | | |
| |ввода на совпадение (принцип | |////|/////|/////|/////| | | | |
| |"двойного управления")? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.21 |Определены ли в документах | обязательный | | | | | | | 0,0337 | |
| |организации и выполняются ли при | | | | | | | | | |
| |проектировании, разработке, | | | | | | | | | |
| |эксплуатации систем | | | | | | | | | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания процедуры, | | | | | | | | | |
| |реализующие механизмы: | | | | | | | | | |
| |- снижения вероятности выполнения | | | | | | | | | |
| |непреднамеренных или случайных | | | | | | | | | |
| |операций или транзакций | | | | | | | | | |
| |авторизованными клиентами; | | | | | | | | | |
| |- доведения информации о возможных| | | | | | | | | |
| |рисках, связанных с выполнением | | | | | | | | | |
| |операций или транзакций до | | | | | | | | | |
| |клиентов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.22 |Обеспечены ли клиенты систем | обязательный | | | | | | | 0,0364 | |
| |дистанционного банковского | | | | | | | | | |
| |обслуживания детальными | | | | | | | | | |
| |инструкциями, описывающими | | | | | | | | | |
| |процедуры выполнения операций или | | | | | | | | | |
| |транзакций? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.23 |Определены ли в документах | обязательный | | | | | | | 0,0368 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры обслуживания средств | | | | | | | | | |
| |вычислительной техники, | | | | | | | | | |
| |используемых в банковском | | | | | | | | | |
| |платежном технологическом | | | | | | | | | |
| |процессе, включая замену их | | | | | | | | | |
| |программных и(или) аппаратных | | | | | | | | | |
| |частей? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.24 |Определена ли в документах | обязательный | | | | | | | 0,0392 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой либо лицом, отвечающим в | | | | | | | | | |
| |организации за обеспечение ИБ, и | | | | | | | | | |
| |выполняется ли процедура | | | | | | | | | |
| |периодического контроля всех | | | | | | | | | |
| |реализованных программно- | | | | | | | | | |
| |техническими средствами функций | | | | | | | | | |
| |(требований) по обеспечению ИБ | | | | | | | | | |
| |платежной информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М7.25 |Определена ли в документах | обязательный | | | | | | | 0,0392 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой либо лицом, отвечающим в | | | | | | | | | |
| |организации за обеспечение ИБ, и | | | | | | | | | |
| |выполняется ли процедура | | | | | | | | | |
| |восстановления всех реализованных | | | | | | | | | |
| |программно-техническими | | | | | | | | | |
| |средствами функций по обеспечению | | | | | | | | | |
| |ИБ платежной информации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М7 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.1 |Проведена ли в организации | рекомендуемый |////|/////|/////|/////| | | 0,0852 | |
| |классификация неплатежной | |////|/////|/////|/////| | | | |
| |информации? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.2 |Проводится ли классификация | рекомендуемый |////|/////|/////|/////| | | 0,0779 | |
| |неплатежной информации в | |////|/////|/////|/////| | | | |
| |соответствии со степенью тяжести | |////|/////|/////|/////| | | | |
| |последствий потери ее свойств ИБ, | |////|/////|/////|/////| | | | |
| |в частности свойств доступности, | |////|/////|/////|/////| | | | |
| |целостности и конфиденциальности? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.3 |Определен ли документально набор | обязательный | | | | | | | 0,0970 | |
| |требований по защите каждого из | | | | | | | | | |
| |типов неплатежных информационных | | | | | | | | | |
| |активов (типов неплатежной | | | | | | | | | |
| |информации), полученных в | | | | | | | | | |
| |результате классификации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.4 |Возложены ли обязанности по | рекомендуемый |////|/////|/////|/////| | | 0,0814 | |
| |администрированию средств защиты | |////|/////|/////|/////| | | | |
| |неплатежной информации приказами | |////|/////|/////|/////| | | | |
| |или распоряжениями по организации | |////|/////|/////|/////| | | | |
| |на администраторов ИБ с | |////|/////|/////|/////| | | | |
| |отражением этих обязанностей в | |////|/////|/////|/////| | | | |
| |должностных инструкциях? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.5 |Определен ли документально | обязательный | | | | | | | 0,0777 | |
| |порядок контроля функционирования | | | | | | | | | |
| |со стороны лиц, отвечающих за ИБ, | | | | | | | | | |
| |для каждой АБС организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.6 |Определены ли в документах | обязательный | | | | | | | 0,0740 | |
| |организации банковские | | | | | | | | | |
| |информационные технологические | | | | | | | | | |
| |процессы, согласованы ли эти | | | | | | | | | |
| |документы со службой ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.7 |Реализованы ли банковские | обязательный | | | | | | | 0,0639 | |
| |информационные технологические | | | | | | | | | |
| |процессы в рамках созданных для | | | | | | | | | |
| |этих целей АБС? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.8 |Изолированы ли серверы, офисные | рекомендуемый |////|/////|/////|/////| | | 0,0758 | |
| |ЭВМ и другое оборудование, не | |////|/////|/////|/////| | | | |
| |входящее в состав АБС, | |////|/////|/////|/////| | | | |
| |реализующих банковские | |////|/////|/////|/////| | | | |
| |информационные технологические | |////|/////|/////|/////| | | | |
| |процессы, от указанных АБС на | |////|/////|/////|/////| | | | |
| |уровне локальных вычислительных | |////|/////|/////|/////| | | | |
| |сетей способом, согласованным со | |////|/////|/////|/////| | | | |
| |службой либо лицом, отвечающим в | |////|/////|/////|/////| | | | |
| |организации за ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.9 |Определены ли документально | обязательный | | | | | | | 0,0646 | |
| |перечни программного обеспечения, | | | | | | | | | |
| |устанавливаемого и (или) | | | | | | | | | |
| |используемого в ЭВМ и АБС и | | | | | | | | | |
| |необходимого для выполнения | | | | | | | | | |
| |конкретных банковских | | | | | | | | | |
| |информационных технологических | | | | | | | | | |
| |процессов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.10 |Соответствует ли состав | обязательный | | | | | | | 0,0646 | |
| |установленного и используемого в | | | | | | | | | |
| |ЭВМ и АБС программного | | | | | | | | | |
| |обеспечения определенному | | | | | | | | | |
| |перечню? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.11 |Контролируется ли выполнение | обязательный | | | | | | | 0,0676 | |
| |требований частных показателей | | | | | | | | | |
| |М8.9, М8.10 с документированием | | | | | | | | | |
| |результатов контроля? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.12 |Регламентирована ли в документах | обязательный | | | | | | | 0,0889 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой ИБ либо лицом, отвечающим | | | | | | | | | |
| |за обеспечение ИБ, и выполняется | | | | | | | | | |
| |ли процедура периодического | | | | | | | | | |
| |контроля всех реализованных | | | | | | | | | |
| |программно-техническими | | | | | | | | | |
| |средствами и организационными | | | | | | | | | |
| |мерами функций (требований) по | | | | | | | | | |
| |обеспечению ИБ неплатежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М8.13 |Регламентирована ли в документах | обязательный | | | | | | | 0,0814 | |
| |организации, согласована ли со | | | | | | | | | |
| |службой ИБ либо лицом, отвечающим | | | | | | | | | |
| |за обеспечение ИБ, и выполняется | | | | | | | | | |
| |ли процедура восстановления всех | | | | | | | | | |
| |реализованных программно- | | | | | | | | | |
| |техническими средствами и | | | | | | | | | |
| |организационными мерами функций | | | | | | | | | |
| |по обеспечению ИБ неплатежной | | | | | | | | | |
| |информации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М8 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М9 "Организация и функционирование
службы ИБ организации БС РФ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.1 |Сформирована ли руководством | обязательный | | | | | | | 0,0816 | |
| |служба ИБ (назначено ли | | | | | | | | | |
| |уполномоченное лицо) для | | | | | | | | | |
| |реализации, эксплуатации, | | | | | | | | | |
| |контроля и поддержания на должном | | | | | | | | | |
| |уровне СОИБ, утверждены ли цели и | | | | | | | | | |
| |задачи ее деятельности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.2 |Имеет ли служба ИБ утвержденные | обязательный | | | | | | | 0,0753 | |
| |руководством полномочия и | | | | | | | | | |
| |ресурсы, необходимые для | | | | | | | | | |
| |выполнения установленных целей и | | | | | | | | | |
| |задач? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.3 |Имеет ли служба ИБ назначенного | обязательный | | | | | | | 0,0750 | |
| |из числа руководства куратора, | | | | | | | | | |
| |который при этом не является | | | | | | | | | |
| |куратором службы информатизации | | | | | | | | | |
| |(автоматизации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.4 |Наделена ли служба ИБ собственным | рекомендуемый |////|/////|/////|/////| | | 0,0530 | |
| |бюджетом? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.5 |Сформированы ли для организаций, | рекомендуемый |////|/////|/////|/////| | | 0,0615 | |
| |имеющих сеть филиалов или | |////|/////|/////|/////| | | | |
| |региональных представительств, | |////|/////|/////|/////| | | | |
| |подразделения ИБ (уполномоченные | |////|/////|/////|/////| | | | |
| |лица) на местах и обеспечены ли | |////|/////|/////|/////| | | | |
| |эти подразделения необходимыми | |////|/////|/////|/////| | | | |
| |ресурсами и нормативной базой? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.6 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0694 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями организовывать | | | | | | | | | |
| |составление и контролировать | | | | | | | | | |
| |выполнение всех планов по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.7 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями разрабатывать и | | | | | | | | | |
| |вносить предложения по изменению | | | | | | | | | |
| |политик ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.8 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями организовывать | | | | | | | | | |
| |изменения существующих и принятие | | | | | | | | | |
| |руководством новых внутренних | | | | | | | | | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность по обеспечению ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.9 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0781 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями определять | | | | | | | | | |
| |требования к мерам обеспечения ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.10 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями контролировать | | | | | | | | | |
| |работников организации в части | | | | | | | | | |
| |выполнения ими требований | | | | | | | | | |
| |внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность в | | | | | | | | | |
| |области обеспечения ИБ, в первую | | | | | | | | | |
| |очередь работников, имеющих | | | | | | | | | |
| |максимальные полномочия по | | | | | | | | | |
| |доступу к защищаемым | | | | | | | | | |
| |информационным активам? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.11 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями осуществлять | | | | | | | | | |
| |мониторинг событий, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.12 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0787 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |расследовании событий, связанных | | | | | | | | | |
| |с инцидентами ИБ, и выходить в | | | | | | | | | |
| |случае необходимости с | | | | | | | | | |
| |предложениями по применению | | | | | | | | | |
| |санкций в отношении лиц, | | | | | | | | | |
| |осуществивших НСД и НРД | | | | | | | | | |
| |(например, нарушивших требования | | | | | | | | | |
| |инструкций, руководств по | | | | | | | | | |
| |обеспечению ИБ организации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.13 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0587 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |действиях по восстановлению | | | | | | | | | |
| |работоспособности АБС после сбоев | | | | | | | | | |
| |и аварий? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М9.14 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0787 | |
| |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |создании, поддержании, | | | | | | | | | |
| |эксплуатации и совершенствовании | | | | | | | | | |
| |СОИБ организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М9 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М10 "Определение /
коррекция области действия СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.1 |Определена ли в документах | обязательный | | | | | | | 0,1956 | |
| |организации и корректируется ли | | | | | | | | | |
| |опись структурированных по | | | | | | | | | |
| |классам защищаемых информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов - типов информации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.2 |Проводится ли классификация | рекомендуемый |////|/////|/////|/////| | | 0,1614 | |
| |информационных активов по типам | |////|/////|/////|/////| | | | |
| |на основании оценок ценности | |////|/////|/////|/////| | | | |
| |информационных активов для | |////|/////|/////|/////| | | | |
| |интересов (целей) организации, | |////|/////|/////|/////| | | | |
| |например, в соответствии с | |////|/////|/////|/////| | | | |
| |тяжестью последствий потери | |////|/////|/////|/////| | | | |
| |свойств ИБ информационных | |////|/////|/////|/////| | | | |
| |активов? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.3 |Содержит ли опись информационных | обязательный | | | | | | | 0,1352 | |
| |активов информацию о | | | | | | | | | |
| |принадлежности конкретного | | | | | | | | | |
| |информационного актива к | | | | | | | | | |
| |выделенным типам информационных | | | | | | | | | |
| |активов (в случае наличия в | | | | | | | | | |
| |организации классификации | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.4 |Содержит ли опись информационных | обязательный | | | | | | | 0,1098 | |
| |активов (типов информационных | | | | | | | | | |
| |активов) перечень их объектов | | | | | | | | | |
| |среды, покрывающий все уровни | | | | | | | | | |
| |информационной инфраструктуры | | | | | | | | | |
| |организации, определенной в | | | | | | | | | |
| |разделе 6 стандарта СТО БР ИББС- | | | | | | | | | |
| |1.0? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.5 |Определены ли в документах | обязательный | | | | | | | 0,1276 | |
| |организации процедуры анализа и | | | | | | | | | |
| |пересмотра области действия СОИБ | | | | | | | | | |
| |(в частности, процедуры | | | | | | | | | |
| |пересмотра при изменении перечня | | | | | | | | | |
| |информационных активов | | | | | | | | | |
| |организации или типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.6 |Определены ли в документах | обязательный | | | | | | | 0,1352 | |
| |организации роли по | | | | | | | | | |
| |определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М10.7 |Назначены ли в организации | обязательный | | | | | | | 0,1352 | |
| |ответственные за выполнение ролей | | | | | | | | | |
| |по определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М10 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М11 "Выбор / коррекция подхода
к оценке рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.1 |Принята ли в организации и | обязательный | | | | | | | 0,1154 | |
| |корректируется ли методика оценки | | | | | | | | | |
| |рисков нарушения ИБ/подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.2 |Определены ли в организации | обязательный | | | | | | | 0,1070 | |
| |критерии принятия рисков | | | | | | | | | |
| |нарушения ИБ и уровень | | | | | | | | | |
| |допустимого риска нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.3 |Определяет ли методика оценки | обязательный | | | | | | | 0,0854 | |
| |рисков нарушения ИБ/подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ | | | | | | | | | |
| |организации способ и порядок | | | | | | | | | |
| |качественного или количественного | | | | | | | | | |
| |оценивания риска нарушения ИБ на | | | | | | | | | |
| |основании оценивания: | | | | | | | | | |
| |- степени возможности реализации | | | | | | | | | |
| |угроз ИБ выявленными и (или) | | | | | | | | | |
| |предполагаемыми источниками угроз | | | | | | | | | |
| |ИБ, зафиксированных в моделях | | | | | | | | | |
| |угроз и нарушителей, в результате | | | | | | | | | |
| |их воздействия на объекты среды | | | | | | | | | |
| |информационных активов | | | | | | | | | |
| |организации (типов информационных | | | | | | | | | |
| |активов); | | | | | | | | | |
| |- степени тяжести последствий от | | | | | | | | | |
| |потери свойств ИБ, в частности | | | | | | | | | |
| |свойств доступности, целостности | | | | | | | | | |
| |и конфиденциальности для | | | | | | | | | |
| |рассматриваемых информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.4 |Определяет ли порядок оценки | обязательный | | | | | | | 0,0854 | |
| |рисков нарушения ИБ необходимые | | | | | | | | | |
| |процедуры оценки рисков нарушения | | | | | | | | | |
| |ИБ, а также последовательность их | | | | | | | | | |
| |выполнения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.5 |Проводится ли оценка рисков | обязательный | | | | | | | 0,0676 | |
| |нарушения ИБ для свойств ИБ всех | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов) области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.6 |Создан ли и поддерживается ли в | рекомендуемый |////|/////|/////|/////| | | 0,0688 | |
| |актуальном состоянии единый | |////|/////|/////|/////| | | | |
| |информационный ресурс (база | |////|/////|/////|/////| | | | |
| |данных), содержащий информацию об | |////|/////|/////|/////| | | | |
| |инцидентах ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.7 |Соотносятся ли величины рисков, | обязательный | | | | | | | 0,0766 | |
| |полученные в результате | | | | | | | | | |
| |оценивания рисков нарушения ИБ, с | | | | | | | | | |
| |уровнем допустимого риска, | | | | | | | | | |
| |принятого в организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.8 |Определен ли в документах | обязательный | | | | | | | 0,0766 | |
| |организации перечень недопустимых | | | | | | | | | |
| |рисков нарушения ИБ, | | | | | | | | | |
| |сформированный на основе | | | | | | | | | |
| |сравнения полученных в результате | | | | | | | | | |
| |оценивания рисков нарушения ИБ | | | | | | | | | |
| |величин рисков с уровнем | | | | | | | | | |
| |допустимого риска, принятого в | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.9 |Определены ли в документах | обязательный | | | | | | | 0,0782 | |
| |организации роли, связанные с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ/ | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0782 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ/ | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.11 |Определены ли в документах | обязательный | | | | | | | 0,0782 | |
| |организации роли по оценке рисков | | | | | | | | | |
| |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М11.12 |Назначены ли ответственные за | обязательный | | | | | | | 0,0826 | |
| |выполнение ролей по оценке рисков | | | | | | | | | |
| |нарушения ИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М11 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М12 "Разработка планов обработки
рисков нарушения ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.1 |Определен ли в документах | обязательный | | | | | | | 0,1814 | |
| |организации по каждому из | | | | | | | | | |
| |недопустимых рисков нарушения ИБ | | | | | | | | | |
| |план, определяющий один из | | | | | | | | | |
| |возможных способов обработки | | | | | | | | | |
| |риска: | | | | | | | | | |
| |- перенос риска на сторонние | | | | | | | | | |
| |организации (например, путем | | | | | | | | | |
| |страхования указанного риска); | | | | | | | | | |
| |- уход от риска (например, путем | | | | | | | | | |
| |отказа от деятельности, | | | | | | | | | |
| |выполнение которой приводит к | | | | | | | | | |
| |появлению риска); | | | | | | | | | |
| |- осознанное принятие риска; | | | | | | | | | |
| |- формирование требований ИБ, | | | | | | | | | |
| |снижающих риск до допустимого | | | | | | | | | |
| |уровня, и формирование планов по | | | | | | | | | |
| |их реализации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.2 |Согласованы ли планы обработки | обязательный | | | | | | | 0,1814 | |
| |рисков нарушения ИБ с | | | | | | | | | |
| |руководителем службы ИБ либо | | | | | | | | | |
| |лицом, отвечающим в организации | | | | | | | | | |
| |за обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.3 |Утверждены ли руководством | обязательный | | | | | | | 0,1814 | |
| |организации планы обработки | | | | | | | | | |
| |рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.4 |Содержат ли планы реализации | обязательный | | | | | | | 0,1702 | |
| |требований ИБ последовательность | | | | | | | | | |
| |и сроки реализации и внедрения | | | | | | | | | |
| |организационных, технических и | | | | | | | | | |
| |иных защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.5 |Определены ли в документах | обязательный | | | | | | | 0,1428 | |
| |организации роли по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М12.6 |Назначены ли ответственные за | обязательный | | | | | | | 0,1428 | |
| |выполнение ролей по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М12 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М13 "Определение/коррекция
внутренних документов, регламентирующих деятельность
в области обеспечения ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.1 |Проводится ли разработка и | рекомендуемый |////|/////|/////|/////| | | 0,0406 | |
| |коррекция внутренних документов, | |////|/////|/////|/////| | | | |
| |регламентирующих деятельность в | |////|/////|/////|/////| | | | |
| |области обеспечения ИБ в | |////|/////|/////|/////| | | | |
| |организации, с учетом | |////|/////|/////|/////| | | | |
| |рекомендаций по стандартизации | |////|/////|/////|/////| | | | |
| |Банка России РС БР ИББС-2.0 | |////|/////|/////|/////| | | | |
| |"Обеспечение информационной | |////|/////|/////|/////| | | | |
| |безопасности организаций | |////|/////|/////|/////| | | | |
| |банковской системы Российской | |////|/////|/////|/////| | | | |
| |Федерации. Методические | |////|/////|/////|/////| | | | |
| |рекомендации по документации в | |////|/////|/////|/////| | | | |
| |области обеспечения | |////|/////|/////|/////| | | | |
| |информационной безопасности в | |////|/////|/////|/////| | | | |
| |соответствии с требованиями СТО | |////|/////|/////|/////| | | | |
| |БР ИББС-1.0"? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.2 |Разработана ли политика ИБ | обязательный | | | | | | | 0,0628 | |
|