| |выполнением процедур мониторинга | | | | | | | | | |
| |СОИБ и контроля защитных мер, а | | | | | | | | | |
| |также с пересмотром указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М19.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,1184 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |выполнением процедур мониторинга | | | | | | | | | |
| |СОИБ и контроля защитных мер, а | | | | | | | | | |
| |также с пересмотром указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М19 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М20 "Проведение самооценки ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.1 |Проводится ли самооценка ИБ в | обязательный | | | | | | | 0,1340 | |
| |соответствии с настоящим | | | | | | | | | |
| |стандартом? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.2 |Организован ли порядок проведения | рекомендуемый |////|/////|/////|/////| | | 0,1118 | |
| |самооценки ИБ в соответствии с | |////|/////|/////|/////| | | | |
| |рекомендациями по стандартизации | |////|/////|/////|/////| | | | |
| |Банка России РС БР ИББС-2.1 | |////|/////|/////|/////| | | | |
| |"Обеспечение информационной | |////|/////|/////|/////| | | | |
| |безопасности организаций | |////|/////|/////|/////| | | | |
| |банковской системы Российской | |////|/////|/////|/////| | | | |
| |Федерации. Руководство по | |////|/////|/////|/////| | | | |
| |самооценке соответствия | |////|/////|/////|/////| | | | |
| |информационной безопасности | |////|/////|/////|/////| | | | |
| |организаций банковской системы | |////|/////|/////|/////| | | | |
| |Российской Федерации требованиям | |////|/////|/////|/////| | | | |
| |СТО БР ИББС-1.0"? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.3 |Определена ли в документах | обязательный | | | | | | | 0,1026 | |
| |организации и реализована ли | | | | | | | | | |
| |программа самооценок ИБ, | | | | | | | | | |
| |содержащая информацию, | | | | | | | | | |
| |необходимую для планирования и | | | | | | | | | |
| |организации самооценок ИБ, их | | | | | | | | | |
| |контроля, анализа и | | | | | | | | | |
| |совершенствования, а также | | | | | | | | | |
| |обеспечения их ресурсами, | | | | | | | | | |
| |необходимыми для эффективного и | | | | | | | | | |
| |результативного проведения | | | | | | | | | |
| |указанных самооценок ИБ в | | | | | | | | | |
| |заданные сроки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.4 |Определены ли в документах | обязательный | | | | | | | 0,1098 | |
| |организации: | | | | | | | | | |
| |- порядок формирования, сбора и | | | | | | | | | |
| |хранения свидетельств самооценки | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- периодичность проведения | | | | | | | | | |
| |самооценки ИБ; | | | | | | | | | |
| |- порядок хранения и | | | | | | | | | |
| |использования результатов | | | | | | | | | |
| |самооценки ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.5 |Оформлен ли в документах | обязательный | | | | | | | 0,0978 | |
| |организации для каждой проводимой | | | | | | | | | |
| |в организации самооценки ИБ план | | | | | | | | | |
| |ее проведения, определяющий: | | | | | | | | | |
| |- цель самооценки ИБ; | | | | | | | | | |
| |- объекты и деятельность, | | | | | | | | | |
| |подвергающиеся самооценке ИБ; | | | | | | | | | |
| |- порядок и сроки выполнения | | | | | | | | | |
| |мероприятий самооценки ИБ; | | | | | | | | | |
| |- распределение ролей среди | | | | | | | | | |
| |работников организации, связанных | | | | | | | | | |
| |с проведением самооценки ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.6 |Подготавливаются ли по | обязательный | | | | | | | 0,1150 | |
| |результатам самооценок ИБ отчеты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.7 |Доводятся ли результаты | обязательный | | | | | | | 0,1262 | |
| |самооценок ИБ и соответствующие | | | | | | | | | |
| |отчеты до руководства | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.8 |Определены ли в документах | обязательный | | | | | | | 0,1014 | |
| |организации роли, связанные с | | | | | | | | | |
| |выполнением программы самооценок | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М20.9 |Назначены ли ответственные за | обязательный | | | | | | | 0,1014 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |выполнением программы самооценок | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М20 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М21 "Проведение аудита ИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.1 |Проводится ли аудит ИБ | обязательный | | | | | | | 0,1192 | |
| |организации в соответствии с | | | | | | | | | |
| |требованиями стандарта Банка | | | | | | | | | |
| |России СТО БР ИББС-1.1 | | | | | | | | | |
| |"Обеспечение информационной | | | | | | | | | |
| |безопасности организаций | | | | | | | | | |
| |банковской системы Российской | | | | | | | | | |
| |Федерации. Аудит информационной | | | | | | | | | |
| |безопасности" и настоящего | | | | | | | | | |
| |стандарта? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.2 |Определена ли в документах | обязательный | | | | | | | 0,0974 | |
| |организации и реализуется ли | | | | | | | | | |
| |программа аудитов ИБ, содержащая | | | | | | | | | |
| |информацию, необходимую для | | | | | | | | | |
| |планирования и организации | | | | | | | | | |
| |аудитов ИБ, их контроля, анализа | | | | | | | | | |
| |и совершенствования, а также | | | | | | | | | |
| |обеспечения их ресурсами, | | | | | | | | | |
| |необходимыми для эффективного и | | | | | | | | | |
| |результативного проведения | | | | | | | | | |
| |указанных аудитов ИБ в заданные | | | | | | | | | |
| |сроки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.3 |Оформлен ли в документах | обязательный | | | | | | | 0,1112 | |
| |организации для каждого | | | | | | | | | |
| |проводимого в организации аудита | | | | | | | | | |
| |ИБ план аудита, определяющий: | | | | | | | | | |
| |- цель аудита ИБ; | | | | | | | | | |
| |- критерии аудита ИБ; | | | | | | | | | |
| |- область аудита ИБ; | | | | | | | | | |
| |- дату и продолжительность | | | | | | | | | |
| |проведения аудита ИБ; | | | | | | | | | |
| |- состав аудиторской группы; | | | | | | | | | |
| |- описание деятельности и | | | | | | | | | |
| |мероприятий по проведению аудита | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- распределение ресурсов при | | | | | | | | | |
| |проведении аудита ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.4 |Оформлены ли договоры с | обязательный | | | | | | | 0,1246 | |
| |аудиторскими организациями и | | | | | | | | | |
| |определены ли в соответствующих | | | | | | | | | |
| |документах: | | | | | | | | | |
| |- порядок хранения, доступа и | | | | | | | | | |
| |использования материалов, | | | | | | | | | |
| |получаемых в процессе проведения | | | | | | | | | |
| |аудита ИБ; | | | | | | | | | |
| |- порядок взаимодействия с | | | | | | | | | |
| |аудиторской организацией в | | | | | | | | | |
| |процессе проведения аудита ИБ; | | | | | | | | | |
| |- порядок взаимодействия | | | | | | | | | |
| |аудиторской группы и руководства, | | | | | | | | | |
| |позволяющий представителям | | | | | | | | | |
| |аудиторской группы при | | | | | | | | | |
| |необходимости непосредственно | | | | | | | | | |
| |обращаться к руководству; | | | | | | | | | |
| |- порядок организации опроса | | | | | | | | | |
| |работников; | | | | | | | | | |
| |- порядок организации наблюдения | | | | | | | | | |
| |за деятельностью работников | | | | | | | | | |
| |организации со стороны | | | | | | | | | |
| |представителей аудиторской | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.5 |Подготавливаются ли по | обязательный | | | | | | | 0,1186 | |
| |результатам аудитов ИБ отчеты? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.6 |Доводятся ли результаты аудитов | обязательный | | | | | | | 0,1312 | |
| |ИБ и соответствующие отчеты до | | | | | | | | | |
| |руководства организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.7 |Определен ли в документах | обязательный | | | | | | | 0,0886 | |
| |организации порядок хранения, | | | | | | | | | |
| |доступа и использования | | | | | | | | | |
| |материалов, получаемых в процессе | | | | | | | | | |
| |проведения аудитов, в частности | | | | | | | | | |
| |отчетов аудитов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.8 |Определены ли в документах | обязательный | | | | | | | 0,1046 | |
| |организации роли, связанные с | | | | | | | | | |
| |организацией выполнения программ | | | | | | | | | |
| |аудитов и планов отдельных | | | | | | | | | |
| |аудитов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М21.9 |Назначены ли ответственные за | обязательный | | | | | | | 0,1046 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |организацией выполнения программ | | | | | | | | | |
| |аудитов и планов отдельных | | | | | | | | | |
| |внешних аудитов? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М21 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М22 "Анализ функционирования СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.1 |Проводится ли в организации | обязательный | | | | | | | 0,1274 | |
| |анализ функционирования СОИБ, | | | | | | | | | |
| |использующий в том числе: | | | | | | | | | |
| |- результаты мониторинга СОИБ и | | | | | | | | | |
| |контроля защитных мер; | | | | | | | | | |
| |- сведения об инцидентах ИБ; | | | | | | | | | |
| |- результаты проведения аудитов | | | | | | | | | |
| |ИБ, самооценок ИБ; | | | | | | | | | |
| |- данные об угрозах, возможных | | | | | | | | | |
| |нарушителях и уязвимостях ИБ; | | | | | | | | | |
| |- данные об изменениях внутри | | | | | | | | | |
| |организации, например данные об | | | | | | | | | |
| |изменениях в процессах и | | | | | | | | | |
| |технологиях, реализуемых в рамках | | | | | | | | | |
| |основного процессного потока, | | | | | | | | | |
| |изменениях во внутренних | | | | | | | | | |
| |документах организации; | | | | | | | | | |
| |- данные об изменениях вне | | | | | | | | | |
| |организации, например данные об | | | | | | | | | |
| |изменениях в законодательстве | | | | | | | | | |
| |Российской Федерации, изменениях | | | | | | | | | |
| |в требованиях комплекса БР ИББС, | | | | | | | | | |
| |изменениях в договорных | | | | | | | | | |
| |обязательствах организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.2 |Проводится ли анализ соответствия | обязательный | | | | | | | 0,1058 | |
| |комплекса внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ в организации, | | | | | | | | | |
| |требованиям законодательства РФ, | | | | | | | | | |
| |требованиям стандартов Банка | | | | | | | | | |
| |России, контрактным требованиям | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.3 |Проводится ли анализ соответствия | обязательный | | | | | | | 0,1002 | |
| |внутренних документов нижних | | | | | | | | | |
| |уровней иерархии, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ в организации, | | | | | | | | | |
| |требованиям политик ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.4 |Проводится ли оценка рисков в | обязательный | | | | | | | 0,0946 | |
| |области ИБ организации, включая | | | | | | | | | |
| |оценку уровня остаточного и | | | | | | | | | |
| |допустимого рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.5 |Проводится ли проверка | обязательный | | | | | | | 0,0946 | |
| |адекватности модели угроз | | | | | | | | | |
| |организации существующим угрозам | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.6 |Проводится ли оценка адекватности | обязательный | | | | | | | 0,0930 | |
| |используемых защитных мер | | | | | | | | | |
| |требованиям внутренних документов | | | | | | | | | |
| |организации и результатам оценки | | | | | | | | | |
| |рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.7 |Проводится ли анализ отсутствия | обязательный | | | | | | | 0,0822 | |
| |разрывов в технологических | | | | | | | | | |
| |процессах обеспечения ИБ, а также | | | | | | | | | |
| |несогласованности в использовании | | | | | | | | | |
| |защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.8 |Документируются ли результаты | обязательный | | | | | | | 0,1026 | |
| |анализа функционирования СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.9 |Определены ли в документах | обязательный | | | | | | | 0,0998 | |
| |организации роли, связанные с | | | | | | | | | |
| |процедурами анализа | | | | | | | | | |
| |функционирования СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М22.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0998 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |процедурами анализа | | | | | | | | | |
| |функционирования СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М22 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М23 "Анализ СОИБ со стороны
руководства организации БС РФ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.1 |Утвержден ли в организации | обязательный | | | | | | | 0,1376 | |
| |перечень документов (данных), | | | | | | | | | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.2 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1464 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, отчеты с | | | | | | | | | |
| |результатами: | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.3 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1318 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |содержащие информацию: | | | | | | | | | |
| |- о способах и методах защиты, | | | | | | | | | |
| |защитных мерах или процедурах их | | | | | | | | | |
| |использования, которые могли бы | | | | | | | | | |
| |использоваться для улучшения | | | | | | | | | |
| |функционирования СОИБ; | | | | | | | | | |
| |- о новых выявленных уязвимостях | | | | | | | | | |
| |и угрозах ИБ; | | | | | | | | | |
| |- о действиях, предпринятых по | | | | | | | | | |
| |итогам предыдущих анализов СОИБ, | | | | | | | | | |
| |осуществленных руководством; | | | | | | | | | |
| |- об изменениях, которые могли бы | | | | | | | | | |
| |повлиять на организацию СОИБ, | | | | | | | | | |
| |например изменения в | | | | | | | | | |
| |законодательстве Российской | | | | | | | | | |
| |Федерации и (или) в положениях | | | | | | | | | |
| |стандартов Банка России; | | | | | | | | | |
| |- о выявленных инцидентах ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.4 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1154 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требуемой деятельности по | | | | | | | | | |
| |обеспечению ИБ, например | | | | | | | | | |
| |выполнение планов обработки | | | | | | | | | |
| |рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.5 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1228 | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требований непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.6 |Определен ли в организации и | обязательный | | | | | | | 0,1104 | |
| |утвержден ли руководством план | | | | | | | | | |
| |выполнения деятельности по | | | | | | | | | |
| |контролю и анализу СОИБ, | | | | | | | | | |
| |содержащий, в частности, | | | | | | | | | |
| |положения по проведению совещаний | | | | | | | | | |
| |на уровне руководства, на которых | | | | | | | | | |
| |в том числе производятся поиск и | | | | | | | | | |
| |анализ проблем ИБ, влияющих на | | | | | | | | | |
| |бизнес организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.7 |Определены ли в документах | обязательный | | | | | | | 0,1178 | |
| |организации роли, связанные с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М23.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,1178 | |
| |выполнение ролей, связанных с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М23 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М24 "Принятие решений
по тактическим улучшениям СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.1 |Рассматриваются ли при принятии | обязательный | | | | | | | 0,1354 | |
| |решений, связанных с тактическими | | | | | | | | | |
| |улучшениями СОИБ, документально | | | | | | | | | |
| |оформленные результаты: | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ; | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- обработки инцидентов ИБ; | | | | | | | | | |
| |- выявления новых угроз и | | | | | | | | | |
| |уязвимостей ИБ; | | | | | | | | | |
| |- оценки рисков; | | | | | | | | | |
| |- анализа перечня защитных мер, | | | | | | | | | |
| |возможных для применения; | | | | | | | | | |
| |- стратегических улучшений СОИБ; | | | | | | | | | |
| |- анализа СОИБ со стороны | | | | | | | | | |
| |руководства; | | | | | | | | | |
| |- анализа успешных практик в | | | | | | | | | |
| |области ИБ (собственных или | | | | | | | | | |
| |других организаций)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.2 |Оформляются ли документально | обязательный | | | | | | | 0,1354 | |
| |решения по тактическим улучшениям | | | | | | | | | |
| |СОИБ, содержащие либо выводы об | | | | | | | | | |
| |отсутствии необходимости | | | | | | | | | |
| |тактических улучшений СОИБ, либо | | | | | | | | | |
| |направления тактических улучшений | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.3 |Формируются ли направления | обязательный | | | | | | | 0,1216 | |
| |тактических улучшений СОИБ в виде | | | | | | | | | |
| |корректирующих и превентивных | | | | | | | | | |
| |действий? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.4 |Определены ли в документах | обязательный | | | | | | | 0,1354 | |
| |организации планы реализации | | | | | | | | | |
| |тактических улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.5 |Существуют ли в организации | обязательный | | | | | | | 0,1272 | |
| |документы, в которых фиксируются | | | | | | | | | |
| |результаты выполнения планов | | | | | | | | | |
| |реализации тактических улучшений | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.6 |Санкционирует и контролирует ли | обязательный | | | | | | | 0,1300 | |
| |руководство службы ИБ организации | | | | | | | | | |
| |деятельность, связанную с | | | | | | | | | |
| |реализацией тактических улучшений | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.7 |Определены ли в документах | обязательный | | | | | | | 0,0934 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры согласования и | | | | | | | | | |
| |информирования заинтересованных | | | | | | | | | |
| |сторон о тактических улучшениях | | | | | | | | | |
| |СОИБ, в частности об изменениях, | | | | | | | | | |
| |относящихся к обеспечению ИБ, к | | | | | | | | | |
| |ответственности в области ИБ, к | | | | | | | | | |
| |требованиям ИБ? Фиксируются ли | | | | | | | | | |
| |результаты выполнения указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М24.8 |Назначаются ли ответственные за | обязательный | | | | | | | 0,1216 | |
| |реализацию решений по тактическим | | | | | | | | | |
| |улучшениям СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М24 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М25 "Принятие решений
по стратегическим улучшениям СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.1 |Рассматриваются ли при принятии | обязательный | | | | | | | 0,1130 | |
| |решений, связанных со | | | | | | | | | |
| |стратегическими улучшениями СОИБ, | | | | | | | | | |
| |документально оформленные | | | | | | | | | |
| |результаты: | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ; | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- обработки инцидентов ИБ; | | | | | | | | | |
| |- выявления новых информационных | | | | | | | | | |
| |активов организации или их типов; | | | | | | | | | |
| |- выявления новых угроз и | | | | | | | | | |
| |уязвимостей ИБ; | | | | | | | | | |
| |- оценки рисков; | | | | | | | | | |
| |- пересмотра основных рисков ИБ; | | | | | | | | | |
| |- анализа СОИБ со стороны | | | | | | | | | |
| |руководства; | | | | | | | | | |
| |- анализа успешных практик в | | | | | | | | | |
| |области ИБ (собственных или | | | | | | | | | |
| |других организаций)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.2 |Рассматриваются ли при принятии | обязательный | | | | | | | 0,1058 | |
| |решений, связанных со | | | | | | | | | |
| |стратегическими улучшениями СОИБ, | | | | | | | | | |
| |изменения интересов, целей и | | | | | | | | | |
| |задач бизнеса организации, | | | | | | | | | |
| |контрактных обязательств | | | | | | | | | |
| |организации, а также изменения в | | | | | | | | | |
| |законодательстве РФ и нормативных | | | | | | | | | |
| |актах Банка России? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.3 |Оформляются ли документально | обязательный | | | | | | | 0,0984 | |
| |решения по стратегическим | | | | | | | | | |
| |улучшениям СОИБ, содержащие либо | | | | | | | | | |
| |выводы об отсутствии | | | | | | | | | |
| |необходимости стратегических | | | | | | | | | |
| |улучшений СОИБ, либо направления | | | | | | | | | |
| |стратегических улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.4 |Формируются ли направления | обязательный | | | | | | | 0,0984 | |
| |стратегических улучшений СОИБ в | | | | | | | | | |
| |виде корректирующих или | | | | | | | | | |
| |превентивных действий, например: | | | | | | | | | |
| |- уточнение/пересмотр целей и | | | | | | | | | |
| |задач обеспечения ИБ, | | | | | | | | | |
| |определенных в рамках политики ИБ | | | | | | | | | |
| |(частных политик ИБ) организации; | | | | | | | | | |
| |- изменения в области действия | | | | | | | | | |
| |СОИБ; | | | | | | | | | |
| |- уточнение описи типов | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- пересмотр моделей угроз и | | | | | | | | | |
| |нарушителей; | | | | | | | | | |
| |- изменение подходов к оценке | | | | | | | | | |
| |рисков ИБ, критериев принятия | | | | | | | | | |
| |риска ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.5 |Определены ли в документах | обязательный | | | | | | | 0,1016 | |
| |организации планы реализации | | | | | | | | | |
| |стратегических улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.6 |Существуют ли в организации | обязательный | | | | | | | 0,0962 | |
| |документы, в которых фиксируются | | | | | | | | | |
| |результаты выполнения планов | | | | | | | | | |
| |реализации стратегических | | | | | | | | | |
| |улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.7 |Санкционирует и контролирует ли | обязательный | | | | | | | 0,1108 | |
| |руководство организации | | | | | | | | | |
| |деятельность, связанную с | | | | | | | | | |
| |реализацией стратегических | | | | | | | | | |
| |улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.8 |В случае стратегических улучшений | обязательный | | | | | | | 0,1058 | |
| |СОИБ выполняется ли деятельность | | | | | | | | | |
| |по реализации соответствующих | | | | | | | | | |
| |тактических улучшений СОИБ для | | | | | | | | | |
| |всех необходимых процедур | | | | | | | | | |
| |обеспечения ИБ, используемых | | | | | | | | | |
| |защитных мер и соответствующих | | | | | | | | | |
| |внутренних документов, в | | | | | | | | | |
| |частности, выполняются ли: | | | | | | | | | |
| |- выработка планов тактических | | | | | | | | | |
| |улучшений СОИБ; | | | | | | | | | |
| |- уточнение планов обработки | | | | | | | | | |
| |рисков; | | | | | | | | | |
| |- уточнение программы внедрения | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- уточнение процедур | | | | | | | | | |
| |использования защитных мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.9 |Определены ли в документах | обязательный | | | | | | | 0,0822 | |
| |организации и выполняются ли | | | | | | | | | |
| |процедуры согласования и | | | | | | | | | |
| |информирования заинтересованных | | | | | | | | | |
| |сторон о стратегических | | | | | | | | | |
| |улучшениях СОИБ, в частности об | | | | | | | | | |
| |изменениях, относящихся к | | | | | | | | | |
| |обеспечению ИБ, к ответственности | | | | | | | | | |
| |в области ИБ, к требованиям ИБ? | | | | | | | | | |
| |Фиксируются ли документально | | | | | | | | | |
| |результаты выполнения указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М25.10 |Назначаются ли ответственные за | обязательный | | | | | | | 0,0878 | |
| |реализацию решений по | | | | | | | | | |
| |стратегическим улучшениям СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М25 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М26 "Оценка деятельности руководства
организации БС РФ по поддержке функционирования службы ИБ
организации БС РФ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.1 |Сформирована ли руководством | обязательный | | | | | | | 0,0816 | |
| (аналог М9.1)|служба ИБ (назначено ли | | | | | | | | | |
| |уполномоченное лицо) для | | | | | | | | | |
| |реализации, эксплуатации, | | | | | | | | | |
| |контроля и поддержания на должном | | | | | | | | | |
| |уровне СОИБ, утверждены ли цели и | | | | | | | | | |
| |задачи ее деятельности? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.2 |Имеет ли служба ИБ утвержденные | обязательный | | | | | | | 0,0753 | |
|(аналог М9.2) |руководством полномочия и | | | | | | | | | |
| |ресурсы, необходимые для | | | | | | | | | |
| |выполнения установленных целей и | | | | | | | | | |
| |задач? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.3 |Имеет ли служба ИБ назначенного | обязательный | | | | | | | 0,0750 | |
| (аналог М9.3)|из числа руководства куратора, | | | | | | | | | |
| |который при этом не является | | | | | | | | | |
| |куратором службы информатизации | | | | | | | | | |
| |(автоматизации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.4 |Наделена ли служба ИБ собственным | рекомендуемый |////|/////|/////|/////| | | 0,0530 | |
| (аналог М9.4)|бюджетом? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.5 |Сформированы ли для организаций, | рекомендуемый |////|/////|/////|/////| | | 0,0615 | |
| (аналог М9.5)|имеющих сеть филиалов или | |////|/////|/////|/////| | | | |
| |региональных представительств, | |////|/////|/////|/////| | | | |
| |подразделения ИБ (уполномоченные | |////|/////|/////|/////| | | | |
| |лица) на местах и обеспечены ли | |////|/////|/////|/////| | | | |
| |эти подразделения необходимыми | |////|/////|/////|/////| | | | |
| |ресурсами и нормативной базой? | |////|/////|/////|/////| | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.6 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0694 | |
| (аналог М9.6)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями организовывать | | | | | | | | | |
| |составление и контролировать | | | | | | | | | |
| |выполнение всех планов по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.7 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| (аналог М9.7)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями разрабатывать и | | | | | | | | | |
| |вносить предложения по изменению | | | | | | | | | |
| |политик ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.8 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
| (аналог М9.8)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями организовывать | | | | | | | | | |
| |изменения существующих и принятие | | | | | | | | | |
| |руководством новых внутренних | | | | | | | | | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность по обеспечению ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.9 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0781 | |
|(аналог М9.9) |(уполномоченное лицо) | | | | | | | | | |
| |полномочиями определять | | | | | | | | | |
| |требования к мерам обеспечения ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.10 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
|(аналог М9.10)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями контролировать | | | | | | | | | |
| |работников организации в части | | | | | | | | | |
| |выполнения ими требований | | | | | | | | | |
| |внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность в | | | | | | | | | |
| |области обеспечения ИБ, в первую | | | | | | | | | |
| |очередь работников, имеющих | | | | | | | | | |
| |максимальные полномочия по | | | | | | | | | |
| |доступу к защищаемым | | | | | | | | | |
| |информационным активам? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.11 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0725 | |
|(аналог М9.11)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями осуществлять | | | | | | | | | |
| |мониторинг событий, связанных с | | | | | | | | | |
| |обеспечением ИБ? | | | | | | | | | |
|