| |организации? Утверждена ли | | | | | | | | | |
| |политика ИБ руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.3 |Корректируется ли политика ИБ | обязательный | | | | | | | 0,0557 | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.4 |Разработаны ли частные политики | обязательный | | | | | | | 0,0580 | |
| |ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.5 |Корректируются ли частные | обязательный | | | | | | | 0,0557 | |
| |политики ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.6 |Разработаны ли в организации | обязательный | | | | | | | 0,0510 | |
| |документы, регламентирующие | | | | | | | | | |
| |процедуры выполнения отдельных | | | | | | | | | |
| |видов деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.7 |Корректируются ли в организации | обязательный | | | | | | | 0,0489 | |
| |документы, регламентирующие | | | | | | | | | |
| |процедуры выполнения отдельных | | | | | | | | | |
| |видов деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.8 |Определены ли в организации | обязательный | | | | | | | 0,0407 | |
| |перечень и формы документов, | | | | | | | | | |
| |являющихся свидетельством | | | | | | | | | |
| |выполнения деятельности по | | | | | | | | | |
| |обеспечению ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.9 |Определены ли в политике ИБ | обязательный | | | | | | | 0,0510 | |
| |(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.10 |Корректируются ли в политике ИБ | обязательный | | | | | | | 0,0486 | |
| |(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения ИБ;| | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.11 |Разрабатываются ли внутренние | обязательный | | | | | | | 0,0519 | |
| |документы, регламентирующие | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| | требования 7-го и 8-го | | | | | | | | | |
| |разделов стандарта СТО БР ИББС- | | | | | | | | | |
| |1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.12 |Корректируются ли внутренние | обязательный | | | | | | | 0,0510 | |
| |документы, регламентирующие | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.13 |Содержит ли совокупность | обязательный | | | | | | | 0,0501 | |
| |внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность в | | | | | | | | | |
| |области обеспечения ИБ, | | | | | | | | | |
| |требования по обеспечению ИБ всех | | | | | | | | | |
| |выявленных информационных активов | | | | | | | | | |
| |(типов информационных активов), | | | | | | | | | |
| |находящихся в области действия | | | | | | | | | |
| |СОИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.14 |Не противоречат ли документы, | обязательный | | | | | | | 0,0510 | |
| |регламентирующие процедуры | | | | | | | | | |
| |выполнения отдельных видов | | | | | | | | | |
| |деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ, положениям | | | | | | | | | |
| |политики ИБ и частных политик ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.15 |Детализируют ли документы, | обязательный | | | | | | | 0,0426 | |
| |регламентирующие процедуры | | | | | | | | | |
| |выполнения отдельных видов | | | | | | | | | |
| |деятельности, связанных с | | | | | | | | | |
| |обеспечением ИБ, положения | | | | | | | | | |
| |политики ИБ и частных политик ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.16 |Утвержден ли руководством | обязательный | | | | | | | 0,0354 | |
| |организации порядок | | | | | | | | | |
| |взаимодействия (координирования | | | | | | | | | |
| |работы) службы ИБ с работниками, | | | | | | | | | |
| |ответственными за обеспечение ИБ | | | | | | | | | |
| |в структурных подразделениях | | | | | | | | | |
| |организации (в случае наличия в | | | | | | | | | |
| |структурных подразделениях | | | | | | | | | |
| |организации работников, | | | | | | | | | |
| |ответственных за обеспечение ИБ)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.17 |Определены ли в составе | обязательный | | | | | | | 0,0426 | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность в области | | | | | | | | | |
| |обеспечения ИБ, перечень | | | | | | | | | |
| |свидетельств выполнения указанной | | | | | | | | | |
| |деятельности и ответственность | | | | | | | | | |
| |работников организации за | | | | | | | | | |
| |выполнение этой деятельности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.18 |Определены ли в документах | обязательный | | | | | | | 0,0443 | |
| |организации процедуры выделения и | | | | | | | | | |
| |распределения ролей в области | | | | | | | | | |
| |обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.19 |Определен ли в документах | обязательный | | | | | | | 0,0406 | |
| |организации порядок разработки, | | | | | | | | | |
| |поддержки, пересмотра и контроля | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.20 |Определены ли в документах | обязательный | | | | | | | 0,0382 | |
| |организации роли по разработке, | | | | | | | | | |
| |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М13.21 |Назначены ли ответственные за | обязательный | | | | | | | 0,0393 | |
| |выполнение ролей по разработке, | | | | | | | | | |
| |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М13 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М14 "Принятие руководством организации
БС РФ решений о реализации и эксплуатации СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М14.1 |Оформлены ли документально и | обязательный | | | | | | | 0,2752 | |
| |утверждены ли руководством | | | | | | | | | |
| |решения о реализации и | | | | | | | | | |
| |эксплуатации СОИБ, в частности | | | | | | | | | |
| |решения: | | | | | | | | | |
| |- об анализе и принятии | | | | | | | | | |
| |остаточных рисков нарушения ИБ; | | | | | | | | | |
| |- о планировании этапов внедрения | | | | | | | | | |
| |СОИБ, в частности требований ИБ, | | | | | | | | | |
| |изложенных в 7-м и 8-м разделах | | | | | | | | | |
| |СТО БР ИББС-1.0; | | | | | | | | | |
| |- о распределении ролей в области | | | | | | | | | |
| |обеспечения ИБ организации; | | | | | | | | | |
| |- о принятии со стороны | | | | | | | | | |
| |руководства планов внедрения | | | | | | | | | |
| |защитных мер, направленных на | | | | | | | | | |
| |реализацию требований 7-го и 8-го | | | | | | | | | |
| |разделов СТО БР ИББС-1.0 и | | | | | | | | | |
| |снижение рисков ИБ; | | | | | | | | | |
| |- о выделении ресурсов, | | | | | | | | | |
| |необходимых для реализации и | | | | | | | | | |
| |эксплуатации функционирования | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М14.2 |Утверждены ли руководством все | обязательный | | | | | | | 0,2812 | |
| |планы внедрения СОИБ, в частности | | | | | | | | | |
| |планы реализаций требований 7-го | | | | | | | | | |
| |и 8-го разделов СТО БР ИББС-1.0, | | | | | | | | | |
| |планы обработки рисков нарушения | | | | | | | | | |
| |ИБ и внедрения защитных мер, в | | | | | | | | | |
| |которых документально | | | | | | | | | |
| |зафиксированы: | | | | | | | | | |
| |- последовательность выполнения | | | | | | | | | |
| |мероприятий в рамках указанных | | | | | | | | | |
| |планов; | | | | | | | | | |
| |- сроки начала и окончания | | | | | | | | | |
| |запланированных мероприятий; | | | | | | | | | |
| |- должностные лица | | | | | | | | | |
| |(подразделения), ответственные за | | | | | | | | | |
| |выполнение каждого указанного | | | | | | | | | |
| |мероприятия? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М14.3 |Определен ли документально | обязательный | | | | | | | 0,2096 | |
| |порядок разработки, пересмотра и | | | | | | | | | |
| |контроля исполнения планов по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М14.4 |Оформлены ли документально | обязательный | | | | | | | 0,2340 | |
| |решения руководства, связанные с | | | | | | | | | |
| |назначением и распределением | | | | | | | | | |
| |ролей для всех структурных | | | | | | | | | |
| |подразделений в соответствии с | | | | | | | | | |
| |положениями внутренних | | | | | | | | | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность по обеспечению ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М14 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М15 "Организация реализации планов
внедрения СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М15.1 |Определены ли в документах | обязательный | | | | | | | 0,2540 | |
| |организации и выполняются ли | | | | | | | | | |
| |проектирование/приобретение/ | | | | | | | | | |
| |развертывание, внедрение, | | | | | | | | | |
| |эксплуатация, контроль и | | | | | | | | | |
| |сопровождение эксплуатации | | | | | | | | | |
| |защитных мер (СИБ), | | | | | | | | | |
| |предусмотренных планами | | | | | | | | | |
| |реализации требований ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М15.2 |Реализуются ли при построении | обязательный | | | | | | | 0,2688 | |
| |элементов СИБ (применительно к | | | | | | | | | |
| |конкретной области или сфере | | | | | | | | | |
| |деятельности организации) | | | | | | | | | |
| |защитные меры, применяемые к | | | | | | | | | |
| |объектам среды, в соответствии с | | | | | | | | | |
| |существующими в организации | | | | | | | | | |
| |требованиями обеспечения ИБ, | | | | | | | | | |
| |сформулированными в политике ИБ и | | | | | | | | | |
| |других внутренних документах | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М15.3 |Определены ли в документах | обязательный | | | | | | | 0,2412 | |
| |организации роли, связанные с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М15.4 |Назначены ли ответственные за | обязательный | | | | | | | 0,2360 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М15 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М16 "Разработка
и организация реализации программ по обучению и повышению
осведомленности в области ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.1 |Организована ли документально | обязательный | | | | | | | 0,1898 | |
| |оформленная работа с персоналом | | | | | | | | | |
| |организации в направлении | | | | | | | | | |
| |повышения осведомленности и | | | | | | | | | |
| |обучения в области ИБ, включая | | | | | | | | | |
| |разработку и реализацию планов и | | | | | | | | | |
| |программ обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и | | | | | | | | | |
| |контроля результатов выполнения | | | | | | | | | |
| |указанных планов? Утверждена ли | | | | | | | | | |
| |руководством указанная работа? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.2 |Установлены ли в планах обучения | обязательный | | | | | | | 0,1378 | |
| |и повышения осведомленности | | | | | | | | | |
| |требования к периодичности | | | | | | | | | |
| |обучения и повышения | | | | | | | | | |
| |осведомленности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.3 |Включена ли в программы обучения | обязательный | | | | | | | 0,1536 | |
| |и повышения осведомленности | | | | | | | | | |
| |информация: | | | | | | | | | |
| |- по существующим политикам ИБ; | | | | | | | | | |
| |- по применяемым в организации | | | | | | | | | |
| |защитным мерам; | | | | | | | | | |
| |- по правильному использованию | | | | | | | | | |
| |защитных мер в соответствии с | | | | | | | | | |
| |внутренними документами | | | | | | | | | |
| |организации; | | | | | | | | | |
| |- о значимости и важности | | | | | | | | | |
| |деятельности работников для | | | | | | | | | |
| |обеспечения ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.4 |Определен ли в организации | обязательный | | | | | | | 0,1164 | |
| |перечень документов, являющихся | | | | | | | | | |
| |свидетельством выполнения | | | | | | | | | |
| |программ обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ, в | | | | | | | | | |
| |частности: | | | | | | | | | |
| |- документы (журналы), | | | | | | | | | |
| |подтверждающие прохождение | | | | | | | | | |
| |руководителями и работниками | | | | | | | | | |
| |организации обучения в области ИБ | | | | | | | | | |
| |с указанием уровня образования, | | | | | | | | | |
| |навыков, опыта и квалификации | | | | | | | | | |
| |обучаемых; | | | | | | | | | |
| |- документы, содержащие | | | | | | | | | |
| |результаты проверок обучения | | | | | | | | | |
| |работников организации; | | | | | | | | | |
| |- документы, содержащие | | | | | | | | | |
| |результаты проверок | | | | | | | | | |
| |осведомленности в области ИБ в | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.5 |Организуется ли для работника, | обязательный | | | | | | | 0,1396 | |
| |получившего новую роль, обучение | | | | | | | | | |
| |или инструктаж в области ИБ, | | | | | | | | | |
| |соответствующий полученной роли? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.6 |Определены ли в документах | обязательный | | | | | | | 0,1290 | |
| |организации роли по разработке, | | | | | | | | | |
| |реализации планов и программ | | | | | | | | | |
| |обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и по | | | | | | | | | |
| |контролю их результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М16.7 |Назначены ли ответственные за | обязательный | | | | | | | 0,1338 | |
| |выполнение ролей по разработке, | | | | | | | | | |
| |реализации планов и программ | | | | | | | | | |
| |обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и по | | | | | | | | | |
| |контролю их результатов? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М16 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М17 "Организация обнаружения
и реагирования на инциденты безопасности"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.1 |Существуют ли в организации | обязательный | | | | | | | 0,1372 | |
| |документы, регламентирующие | | | | | | | | | |
| |процедуры обработки инцидентов, | | | | | | | | | |
| |включающие: | | | | | | | | | |
| |- процедуры обнаружения | | | | | | | | | |
| |инцидентов ИБ; | | | | | | | | | |
| |- процедуры информирования об | | | | | | | | | |
| |инцидентах; | | | | | | | | | |
| |- процедуры классификации | | | | | | | | | |
| |инцидентов и оценки ущерба, | | | | | | | | | |
| |нанесенного инцидентом ИБ; | | | | | | | | | |
| |- процедуры реагирования на | | | | | | | | | |
| |инцидент; | | | | | | | | | |
| |- процедуры анализа причин | | | | | | | | | |
| |инцидентов ИБ и оценки | | | | | | | | | |
| |результатов реагирования на | | | | | | | | | |
| |инциденты ИБ (при необходимости | | | | | | | | | |
| |- с участием внешних экспертов в | | | | | | | | | |
| |области ИБ)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.2 |Сформирована и поддерживается ли | рекомендуемый |////|/////|/////|/////| | | 0,1152 | |
| |в актуальном состоянии | |////|/////|/////|/////| | | | |
| |централизованная база инцидентов | |////|/////|/////|/////| | | | |
| |ИБ? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.3 |Определены ли в документах | обязательный | | | | | | | 0,1152 | |
| |организации процедуры по хранению | | | | | | | | | |
| |информации: | | | | | | | | | |
| |- об инцидентах ИБ; | | | | | | | | | |
| |- о практиках анализа инцидентов | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- о результатах реагирования на | | | | | | | | | |
| |инциденты ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.4 |Определены ли в документах | обязательный | | | | | | | 0,1124 | |
| |организации порядок действий | | | | | | | | | |
| |работников организации при | | | | | | | | | |
| |обнаружении нетипичных событий, | | | | | | | | | |
| |связанных с ИБ, и порядок | | | | | | | | | |
| |информирования о данных событиях? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.5 |Осведомлены ли работники | обязательный | | | | | | | 0,1124 | |
| |организации о порядке действий | | | | | | | | | |
| |при обнаружении нетипичных | | | | | | | | | |
| |событий, связанных с ИБ, и | | | | | | | | | |
| |порядке информирования о данных | | | | | | | | | |
| |событиях? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.6 |Учитывают ли процедуры | обязательный | | | | | | | 0,0948 | |
| |расследования инцидентов | | | | | | | | | |
| |действующее законодательство | | | | | | | | | |
| |Российской Федерации, положения | | | | | | | | | |
| |нормативных актов Банка России, а | | | | | | | | | |
| |также внутренних документов | | | | | | | | | |
| |организации в области ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.7 |Принимаются и выполняются ли в | обязательный | | | | | | | 0,1076 | |
| |организации документально | | | | | | | | | |
| |оформленные решения по всем | | | | | | | | | |
| |выявленным инцидентам ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.8 |Определены ли в документах | обязательный | | | | | | | 0,1026 | |
| |организации роли по обнаружению, | | | | | | | | | |
| |классификации, реагированию, | | | | | | | | | |
| |анализу и расследованию | | | | | | | | | |
| |инцидентов ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М17.9 |Назначены ли ответственные за | обязательный | | | | | | | 0,1026 | |
| |выполнение ролей по обнаружению, | | | | | | | | | |
| |классификации, реагированию, | | | | | | | | | |
| |анализу и расследованию | | | | | | | | | |
| |инцидентов ИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М17 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М18 "Организация
обеспечения непрерывности бизнеса и его восстановления
после прерываний"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.1 |Выделены ли в описи защищаемых | обязательный | | | | | | | 0,0876 | |
| |информационных активов | | | | | | | | | |
| |организации активы, существенные | | | | | | | | | |
| |для обеспечения непрерывности | | | | | | | | | |
| |бизнеса организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.2 |Определены ли документально в | обязательный | | | | | | | 0,0888 | |
| |организации требования | | | | | | | | | |
| |обеспечения ИБ, регламентирующие | | | | | | | | | |
| |вопросы обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.3 |Определен ли в документах | обязательный | | | | | | | 0,0907 | |
| |организации план обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после возможного | | | | | | | | | |
| |прерывания, содержащий инструкции | | | | | | | | | |
| |и порядок действий работников | | | | | | | | | |
| |организации, в состав которого | | | | | | | | | |
| |включены: | | | | | | | | | |
| |- условия активизации плана; | | | | | | | | | |
| |- порядок действий, которые | | | | | | | | | |
| |должны быть предприняты после | | | | | | | | | |
| |инцидента ИБ (инструкции | | | | | | | | | |
| |персонала); | | | | | | | | | |
| |- процедуры восстановления; | | | | | | | | | |
| |- процедуры тестирования и | | | | | | | | | |
| |проверки плана; | | | | | | | | | |
| |- план обучения и повышения | | | | | | | | | |
| |осведомленности работников | | | | | | | | | |
| |организации; | | | | | | | | | |
| |- обязанности работников | | | | | | | | | |
| |организации с указанием | | | | | | | | | |
| |ответственных за выполнение | | | | | | | | | |
| |каждого из положений плана? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.4 |Основывается ли разработка планов | обязательный | | | | | | | 0,0673 | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерываний на документально | | | | | | | | | |
| |оформленных результатах оценки | | | | | | | | | |
| |рисков нарушения ИБ организации | | | | | | | | | |
| |применительно к информационным | | | | | | | | | |
| |активам, существенным для | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.5 |Определены ли документально, | обязательный | | | | | | | 0,0801 | |
| |реализованы и эксплуатируются ли | | | | | | | | | |
| |защитные меры обеспечения | | | | | | | | | |
| |непрерывности бизнеса | | | | | | | | | |
| |применительно к информационным | | | | | | | | | |
| |активам, существенным для | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.6 |Основываются ли реализация и | обязательный | | | | | | | 0,0758 | |
| |использование защитных мер | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания на соответствующих | | | | | | | | | |
| |требованиях обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.7 |Согласован ли план обеспечения | обязательный | | | | | | | 0,0593 | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерываний с | | | | | | | | | |
| |существующими в организации | | | | | | | | | |
| |процедурами обработки инцидентов | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.8 |Определено ли в документах | обязательный | | | | | | | 0,0550 | |
| |организации и выполняется ли | | | | | | | | | |
| |периодическое тестирование плана | | | | | | | | | |
| |обеспечения непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.9 |Составлен ли сценарий | обязательный | | | | | | | 0,0587 | |
| |тестирования плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания с | | | | | | | | | |
| |учетом существующей в организации | | | | | | | | | |
| |модели угроз и нарушителей, а | | | | | | | | | |
| |также результатов оценки рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.10 |Проводится ли при необходимости | обязательный | | | | | | | 0,0699 | |
| |корректировка плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания | | | | | | | | | |
| |по результатам тестирования? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.11 |Реализована ли в организации | обязательный | | | | | | | 0,0593 | |
| |программа обучения и повышения | | | | | | | | | |
| |осведомленности работников в | | | | | | | | | |
| |области обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерываний? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.12 |Определены ли в документах | обязательный | | | | | | | 0,0717 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры регулярного пересмотра | | | | | | | | | |
| |и обновления плана обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после прерывания | | | | | | | | | |
| |(для обеспечения уверенности в их | | | | | | | | | |
| |эффективности), учитывающие | | | | | | | | | |
| |изменения в приоритетах, целях и | | | | | | | | | |
| |интересах бизнеса организации; | | | | | | | | | |
| |пересмотр моделей угроз; оценку | | | | | | | | | |
| |рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.13 |Определены ли в документах | обязательный | | | | | | | 0,0679 | |
| |организации роли по разработке | | | | | | | | | |
| |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М18.14 |Назначены ли ответственные за | обязательный | | | | | | | 0,0679 | |
| |выполнение ролей по разработке | | | | | | | | | |
| |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|-----------------------------------------------------------------------------------------------------------------------------|
|Итоговая оценка группового показателя М18 |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М19 "Мониторинг и контроль
защитных мер"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.1 |Определены ли в документах | обязательный | | | | | | | 0,1482 | |
| |организации процедуры мониторинга | | | | | | | | | |
| |СОИБ и контроля защитных мер, | | | | | | | | | |
| |которые охватывают все | | | | | | | | | |
| |реализованные и эксплуатируемые | | | | | | | | | |
| |защитные меры, входящие в СИБ, | | | | | | | | | |
| |проводятся персоналом | | | | | | | | | |
| |организации, ответственным за | | | | | | | | | |
| |обеспечение ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.2 |Фиксируются ли документально | обязательный | | | | | | | 0,1352 | |
| |результаты выполнения процедур | | | | | | | | | |
| |мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.3 |Определены ли в документах | обязательный | | | | | | | 0,1068 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры сбора и хранения | | | | | | | | | |
| |информации о действиях работников | | | | | | | | | |
| |организации, событиях и | | | | | | | | | |
| |параметрах, имеющих отношение к | | | | | | | | | |
| |функционированию защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.4 |Включается ли в базу данных | обязательный | | | | | | | 0,1352 | |
| |инцидентов информация обо всех | | | | | | | | | |
| |инцидентах ИБ, выявленных в | | | | | | | | | |
| |процессе мониторинга СОИБ и | | | | | | | | | |
| |контроля защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.5 |Подвергаются ли процедуры | обязательный | | | | | | | 0,1312 | |
| |мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер регулярным и | | | | | | | | | |
| |документально зафиксированным | | | | | | | | | |
| |пересмотрам в связи с изменениями | | | | | | | | | |
| |в составе и способах | | | | | | | | | |
| |использования защитных мер, | | | | | | | | | |
| |выявлением новых угроз и | | | | | | | | | |
| |уязвимостей ИБ, а также на основе | | | | | | | | | |
| |данных об инцидентах ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.6 |Определен ли в документах | обязательный | | | | | | | 0,1066 | |
| |организации порядок пересмотра | | | | | | | | | |
| |процедур мониторинга СОИБ и | | | | | | | | | |
| |контроля защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.7 |Определены ли в документах | обязательный | | | | | | | 0,1184 | |
| |организации роли, связанные с | | | | | | | | | |
| |выполнением процедур мониторинга | | | | | | | | | |
|