|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.12 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0787 | |
|(аналог М9.12)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |расследовании событий, связанных | | | | | | | | | |
| |с инцидентами ИБ, и выходить в | | | | | | | | | |
| |случае необходимости с | | | | | | | | | |
| |предложениями по применению | | | | | | | | | |
| |санкций в отношении лиц, | | | | | | | | | |
| |осуществивших НСД и НРД | | | | | | | | | |
| |(например, нарушивших требования | | | | | | | | | |
| |инструкций, руководств по | | | | | | | | | |
| |обеспечению ИБ организации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.13 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0587 | |
|(аналог М9.13)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |действиях по восстановлению | | | | | | | | | |
| |работоспособности АБС после сбоев | | | | | | | | | |
| |и аварий? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М26.14 |Наделена ли служба ИБ | обязательный | | | | | | | 0,0787 | |
|(аналог М9.14)|(уполномоченное лицо) | | | | | | | | | |
| |полномочиями участвовать в | | | | | | | | | |
| |создании, поддержании, | | | | | | | | | |
| |эксплуатации и совершенствовании | | | | | | | | | |
| |СОИБ организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М26 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М27 "Оценка деятельности
руководства организации БС РФ по принятию решений
о реализации и эксплуатации СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М27.1 |Оформлены ли документально и | обязательный | | | | | | | 0,2752 | |
|(аналог М14.1)|утверждены ли руководством | | | | | | | | | |
| |решения о реализации и | | | | | | | | | |
| |эксплуатации СОИБ, в частности | | | | | | | | | |
| |решения: | | | | | | | | | |
| |- об анализе и принятии | | | | | | | | | |
| |остаточных рисков нарушения ИБ; | | | | | | | | | |
| |- о планировании этапов внедрения | | | | | | | | | |
| |СОИБ, в частности требований ИБ, | | | | | | | | | |
| |изложенных в 7-м и 8-м разделах | | | | | | | | | |
| |СТО БР ИББС-1.0; | | | | | | | | | |
| |- о распределении ролей в области | | | | | | | | | |
| |обеспечения ИБ организации; | | | | | | | | | |
| |- о принятии со стороны | | | | | | | | | |
| |руководства планов внедрения | | | | | | | | | |
| |защитных мер, направленных на | | | | | | | | | |
| |реализацию требований 7-го и 8-го | | | | | | | | | |
| |разделов СТО БР ИББС-1.0 и | | | | | | | | | |
| |снижение рисков ИБ; | | | | | | | | | |
| |- о выделении ресурсов, | | | | | | | | | |
| |необходимых для реализации и | | | | | | | | | |
| |эксплуатации функционирования | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М27.2 |Утверждены ли руководством все | обязательный | | | | | | | 0,2812 | |
|(аналог М14.2)|планы внедрения СОИБ, в частности | | | | | | | | | |
| |планы реализаций требований 7-го | | | | | | | | | |
| |и 8-го разделов СТО БР ИББС-1.0, | | | | | | | | | |
| |планы обработки рисков нарушения | | | | | | | | | |
| |ИБ и внедрения защитных мер, в | | | | | | | | | |
| |которых документально | | | | | | | | | |
| |зафиксированы: | | | | | | | | | |
| |- последовательность выполнения | | | | | | | | | |
| |мероприятий в рамках указанных | | | | | | | | | |
| |планов; | | | | | | | | | |
| |- сроки начала и окончания | | | | | | | | | |
| |запланированных мероприятий; | | | | | | | | | |
| |- должностные лица | | | | | | | | | |
| |(подразделения), ответственные за | | | | | | | | | |
| |выполнение каждого указанного | | | | | | | | | |
| |мероприятия? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М27.3 |Определен ли документально | обязательный | | | | | | | 0,2096 | |
|(аналог М14.3)|порядок разработки, пересмотра и | | | | | | | | | |
| |контроля исполнения планов по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М27.4 |Оформлены ли документально | обязательный | | | | | | | 0,2340 | |
| аналог М14.4)|решения руководства, связанные с | | | | | | | | | |
| |назначением и распределением | | | | | | | | | |
| |ролей для всех структурных | | | | | | | | | |
| |подразделений в соответствии с | | | | | | | | | |
| |положениями внутренних | | | | | | | | | |
| |документов, регламентирующих | | | | | | | | | |
| |деятельность по обеспечению ИБ | | | | | | | | | |
| |организации? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М27 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М28 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.1 |Определена ли в документах | обязательный | | | | | | | 0,0386 | |
|(аналог М10.1)|организации и корректируется ли | | | | | | | | | |
| |опись структурированных по | | | | | | | | | |
| |классам защищаемых информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов - типов информации)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.2 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М10.6)|организации роли по | | | | | | | | | |
| |определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.3 |Назначены ли в организации | обязательный | | | | | | | 0,0364 | |
|(аналог М10.7)|ответственные за выполнение ролей | | | | | | | | | |
| |по определению/коррекции области | | | | | | | | | |
| |действия СОИБ и по составлению и | | | | | | | | | |
| |пересмотру описи информационных | | | | | | | | | |
| |активов (типов информационных | | | | | | | | | |
| |активов), находящихся в области | | | | | | | | | |
| |действия СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.4 |Принята ли в организации и | обязательный | | | | | | | 0,0386 | |
|(аналог М11.1)|корректируется ли методика оценки | | | | | | | | | |
| |рисков нарушения ИБ / подход к | | | | | | | | | |
| |оценке рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.5 |Определены ли в организации | обязательный | | | | | | | 0,0386 | |
|(аналог М11.2)|критерии принятия рисков | | | | | | | | | |
| |нарушения ИБ и уровень | | | | | | | | | |
| |допустимого риска нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.6 |Определяет ли порядок оценки | обязательный | | | | | | | 0,0345 | |
|(аналог М11.4)|рисков нарушения ИБ необходимые | | | | | | | | | |
| |процедуры оценки рисков нарушения | | | | | | | | | |
| |ИБ, а также последовательность их | | | | | | | | | |
| |выполнения? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.7 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М11.9)|организации роли, связанные с | | | | | | | | | |
| |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ / | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
| (аналог |выполнение ролей, связанных с | | | | | | | | | |
| М11.10) |деятельностью по | | | | | | | | | |
| |определению/коррекции методики | | | | | | | | | |
| |оценки рисков нарушения ИБ / | | | | | | | | | |
| |подхода к оценке риска нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.9 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
| (аналог |организации роли по оценке рисков | | | | | | | | | |
| М11.11) |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0345 | |
| (аналог |выполнение ролей по оценке рисков | | | | | | | | | |
| М11.12) |нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.11 |Утверждены ли руководством | обязательный | | | | | | | 0,0364 | |
|(аналог М12.3)|организации планы обработки | | | | | | | | | |
| |рисков нарушения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.12 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
|(аналог М12.5)|организации роли по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.13 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
|(аналог М12.6)|выполнение ролей по разработке | | | | | | | | | |
| |планов обработки рисков нарушения | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.14 |Разработана ли политика ИБ | обязательный | | | | | | | 0,0408 | |
|(аналог М13.2)|организации? Утверждена ли | | | | | | | | | |
| |политика ИБ руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.15 |Корректируется ли политика ИБ | обязательный | | | | | | | 0,0386 | |
|(аналог М13.3)|организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.16 |Разработаны ли частные политики | обязательный | | | | | | | 0,0408 | |
|(аналог М13.4)|ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.17 |Корректируются ли частные | обязательный | | | | | | | 0,0364 | |
|(аналог М13.5)|политики ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.18 |Определены ли в политике ИБ | обязательный | | | | | | | 0,0386 | |
|(аналог М13.9)|(частных политиках ИБ) | | | | | | | | | |
| |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.19 |Корректируются ли в политике ИБ | обязательный | | | | | | | 0,0364 | |
| (аналог |(частных политиках ИБ) | | | | | | | | | |
| М13.10) |организации: | | | | | | | | | |
| |- цели и задачи обеспечения ИБ; | | | | | | | | | |
| |- основные области обеспечения | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- типы основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- модели угроз и нарушителей; | | | | | | | | | |
| |- совокупность правил, требований | | | | | | | | | |
| |и руководящих принципов в области | | | | | | | | | |
| |ИБ; | | | | | | | | | |
| |- основные требования к | | | | | | | | | |
| |обеспечению ИБ; | | | | | | | | | |
| |- принципы противодействия | | | | | | | | | |
| |угрозам ИБ по отношению к типам | | | | | | | | | |
| |основных защищаемых | | | | | | | | | |
| |информационных активов; | | | | | | | | | |
| |- основные принципы повышения | | | | | | | | | |
| |уровня осознания и | | | | | | | | | |
| |осведомленности в области ИБ; | | | | | | | | | |
| |- принципы реализации и контроля | | | | | | | | | |
| |выполнения требований политики ИБ?| | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.20 |Разрабатываются ли внутренние | обязательный | | | | | | | 0,0408 | |
| (аналог |документы, регламентирующие | | | | | | | | | |
| М13.11) |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.21 |Корректируются ли внутренние | обязательный | | | | | | | 0,0386 | |
| (аналог |документы, регламентирующие | | | | | | | | | |
| М13.12) |деятельность в области | | | | | | | | | |
| |обеспечения ИБ на основе: | | | | | | | | | |
| |- законодательства Российской | | | | | | | | | |
| |Федерации; | | | | | | | | | |
| |- комплекса БР ИББС, в частности | | | | | | | | | |
| |требования 7-го и 8-го разделов | | | | | | | | | |
| |стандарта СТО БР ИББС-1.0; | | | | | | | | | |
| |- нормативных актов и предписаний | | | | | | | | | |
| |регулирующих и надзорных органов; | | | | | | | | | |
| |- договорных требований | | | | | | | | | |
| |организации со сторонними | | | | | | | | | |
| |организациями; | | | | | | | | | |
| |- результатов оценки рисков, | | | | | | | | | |
| |выполненной с соответствующей | | | | | | | | | |
| |уровню разрабатываемого документа | | | | | | | | | |
| |детализацией рассматриваемых | | | | | | | | | |
| |информационных активов (типов | | | | | | | | | |
| |информационных активов)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.22 |Утвержден ли руководством | обязательный | | | | | | | 0,0345 | |
| (аналог |организации порядок | | | | | | | | | |
| М13.16) |взаимодействия (координирования | | | | | | | | | |
| |работы) службы ИБ с работниками, | | | | | | | | | |
| |ответственными за обеспечение ИБ | | | | | | | | | |
| |в структурных подразделениях | | | | | | | | | |
| |организации (в случае наличия в | | | | | | | | | |
| |структурных подразделениях | | | | | | | | | |
| |организации работников, | | | | | | | | | |
| |ответственных за обеспечение ИБ)? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.23 |Определены ли в документах | обязательный | | | | | | | 0,0345 | |
| (аналог |организации процедуры выделения и | | | | | | | | | |
| М13.18) |распределения ролей в области | | | | | | | | | |
| |обеспечения ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.24 |Определены ли в документах | обязательный | | | | | | | 0,0386 | |
| (аналог |организации роли по разработке, | | | | | | | | | |
| М13.20) |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.25 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
| (аналог |выполнение ролей по разработке, | | | | | | | | | |
| М13.21) |поддержке, пересмотру и контролю | | | | | | | | | |
| |исполнения внутренних документов, | | | | | | | | | |
| |регламентирующих деятельность по | | | | | | | | | |
| |обеспечению ИБ организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.26 |Определены ли в документах | обязательный | | | | | | | 0,0364 | |
|(аналог М15.3)|организации роли, связанные с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М28.27 |Назначены ли ответственные за | обязательный | | | | | | | 0,0364 | |
|(аналог М15.4)|выполнение ролей, связанных с | | | | | | | | | |
| |реализацией планов обработки | | | | | | | | | |
| |рисков нарушения ИБ и с | | | | | | | | | |
| |реализацией требуемых защитных | | | | | | | | | |
| |мер? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М28 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М29 "Оценка деятельности руководства
организации БС РФ по поддержке реализации СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.1 |Организована ли документально | обязательный | | | | | | | 0,1442 | |
|(аналог М16.1)|оформленная работа с персоналом | | | | | | | | | |
| |организации в направлении | | | | | | | | | |
| |повышения осведомленности и | | | | | | | | | |
| |обучения в области ИБ, включая | | | | | | | | | |
| |разработку и реализацию планов и | | | | | | | | | |
| |программ обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и | | | | | | | | | |
| |контроля результатов выполнения | | | | | | | | | |
| |указанных планов? Утверждена ли | | | | | | | | | |
| |руководством указанная работа? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.2 |Определены ли в документах | обязательный | | | | | | | 0,1024 | |
|(аналог М16.6)|организации роли по разработке, | | | | | | | | | |
| |реализации планов и программ | | | | | | | | | |
| |обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и по | | | | | | | | | |
| |контролю их результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.3 |Назначены ли ответственные за | обязательный | | | | | | | 0,1024 | |
|(аналог М16.7)|выполнение ролей по разработке, | | | | | | | | | |
| |реализации планов и программ | | | | | | | | | |
| |обучения и повышения | | | | | | | | | |
| |осведомленности в области ИБ и по | | | | | | | | | |
| |контролю их результатов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.4 |Определены ли в документах | обязательный | | | | | | | 0,1404 | |
|(аналог М17.8)|организации роли по обнаружению, | | | | | | | | | |
| |классификации, реагированию, | | | | | | | | | |
| |анализу и расследованию | | | | | | | | | |
| |инцидентов ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.5 |Назначены ли ответственные за | обязательный | | | | | | | 0,1268 | |
|(аналог М17.9)|выполнение ролей по обнаружению, | | | | | | | | | |
| |классификации, реагированию, | | | | | | | | | |
| |анализу и расследованию | | | | | | | | | |
| |инцидентов ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.6 |Определен ли в документах | обязательный | | | | | | | 0,1442 | |
|(аналог М18.3)|организации план обеспечения | | | | | | | | | |
| |непрерывности бизнеса и его | | | | | | | | | |
| |восстановления после возможного | | | | | | | | | |
| |прерывания, содержащий инструкции | | | | | | | | | |
| |и порядок действий работников | | | | | | | | | |
| |организации, в состав которого | | | | | | | | | |
| |включены: | | | | | | | | | |
| |- условия активизации плана; | | | | | | | | | |
| |- порядок действий, которые | | | | | | | | | |
| |должны быть предприняты после | | | | | | | | | |
| |инцидента ИБ (инструкции | | | | | | | | | |
| |персонала); | | | | | | | | | |
| |- процедуры восстановления; | | | | | | | | | |
| |- процедуры тестирования и | | | | | | | | | |
| |проверки плана; | | | | | | | | | |
| |- план обучения и повышения | | | | | | | | | |
| |осведомленности работников | | | | | | | | | |
| |организации; | | | | | | | | | |
| |- обязанности работников | | | | | | | | | |
| |организации с указанием | | | | | | | | | |
| |ответственных за выполнение | | | | | | | | | |
| |каждого из положений плана? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.7 |Определены ли в документах | обязательный | | | | | | | 0,1198 | |
| (аналог |организации роли по разработке | | | | | | | | | |
| М18.13) |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М29.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,1198 | |
| (аналог |выполнение ролей по разработке | | | | | | | | | |
| М18.14) |плана обеспечения непрерывности | | | | | | | | | |
| |бизнеса и его восстановления | | | | | | | | | |
| |после прерывания? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М29 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М30 "Оценка деятельности руководства
организации БС РФ по поддержке проверки СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.1 |Определены ли в документах | обязательный | | | | | | | 0,0921 | |
|(аналог М19.7)|организации роли, связанные с | | | | | | | | | |
| |выполнением процедур мониторинга | | | | | | | | | |
| |СОИБ и контроля защитных мер, а | | | | | | | | | |
| |также с пересмотром указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.2 |Назначены ли ответственные за | обязательный | | | | | | | 0,0921 | |
|(аналог М19.8)|выполнение ролей, связанных с | | | | | | | | | |
| |выполнением процедур мониторинга | | | | | | | | | |
| |СОИБ и контроля защитных мер, а | | | | | | | | | |
| |также с пересмотром указанных | | | | | | | | | |
| |процедур? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.3 |Определена ли в документах | обязательный | | | | | | | 0,0848 | |
|(аналог М20.3)|организации и реализована ли | | | | | | | | | |
| |программа самооценок ИБ, | | | | | | | | | |
| |содержащая информацию, | | | | | | | | | |
| |необходимую для планирования и | | | | | | | | | |
| |организации самооценок ИБ, их | | | | | | | | | |
| |контроля, анализа и | | | | | | | | | |
| |совершенствования, а также | | | | | | | | | |
| |обеспечения их ресурсами, | | | | | | | | | |
| |необходимыми для эффективного и | | | | | | | | | |
| |результативного проведения | | | | | | | | | |
| |указанных самооценок ИБ в | | | | | | | | | |
| |заданные сроки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.4 |Доводятся ли результаты | обязательный | | | | | | | 0,0943 | |
|(аналог М20.7)|самооценок ИБ и соответствующие | | | | | | | | | |
| |отчеты до руководства | | | | | | | | | |
| |организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.5 |Определены ли в документах | обязательный | | | | | | | 0,0734 | |
|(аналог М20.8)|организации роли, связанные с | | | | | | | | | |
| |выполнением программы самооценок | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.6 |Назначены ли ответственные за | обязательный | | | | | | | 0,0734 | |
|(аналог М20.9)|выполнение ролей, связанных с | | | | | | | | | |
| |выполнением программы самооценок | | | | | | | | | |
| |ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.7 |Определена ли в документах | обязательный | | | | | | | 0,0808 | |
|(аналог М21.2)|организации и реализована ли | | | | | | | | | |
| |программа аудитов ИБ, содержащая | | | | | | | | | |
| |информацию, необходимую для | | | | | | | | | |
| |планирования и организации | | | | | | | | | |
| |аудитов ИБ, их контроля, анализа | | | | | | | | | |
| |и совершенствования, а также | | | | | | | | | |
| |обеспечения их ресурсами, | | | | | | | | | |
| |необходимыми для эффективного и | | | | | | | | | |
| |результативного проведения | | | | | | | | | |
| |указанных аудитов ИБ в заданные | | | | | | | | | |
| |сроки? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.8 |Доводятся ли результаты аудитов | обязательный | | | | | | | 0,0969 | |
|(аналог М21.6)|ИБ и соответствующие отчеты до | | | | | | | | | |
| |руководства организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.9 |Определены ли в документах | обязательный | | | | | | | 0,0805 | |
|(аналог М21.8)|организации роли, связанные с | | | | | | | | | |
| |организацией выполнения программ | | | | | | | | | |
| |аудитов и планов отдельных | | | | | | | | | |
| |аудитов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.10 |Назначены ли ответственные за | обязательный | | | | | | | 0,0805 | |
|(аналог М21.9)|выполнение ролей, связанных с | | | | | | | | | |
| |организацией выполнения программ | | | | | | | | | |
| |аудитов и планов отдельных | | | | | | | | | |
| |внешних аудитов? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.11 |Определены ли в документах | обязательный | | | | | | | 0,0756 | |
|(аналог М22.9)|организации роли, связанные с | | | | | | | | | |
| |процедурами анализа | | | | | | | | | |
| |функционирования СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М30.12 |Назначены ли ответственные за | обязательный | | | | | | | 0,0756 | |
| (аналог |выполнение ролей, связанных с | | | | | | | | | |
| М22.10) |процедурами анализа | | | | | | | | | |
| |функционирования СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М30 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М31 "Оценка деятельности руководства
организации БС РФ по анализу СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.1 |Утвержден ли в организации | обязательный | | | | | | | 0,1376 | |
|(аналог М23.1)|перечень документов (данных), | | | | | | | | | |
| |необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.2 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1464 | |
|(аналог М23.2)|необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, отчеты с | | | | | | | | | |
| |результатами: | | | | | | | | | |
| |- мониторинга СОИБ и контроля | | | | | | | | | |
| |защитных мер; | | | | | | | | | |
| |- анализа функционирования СОИБ; | | | | | | | | | |
| |- аудитов ИБ; | | | | | | | | | |
| |- самооценок ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.3 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1318 | |
|(аналог М23.3)|необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |содержащие информацию: | | | | | | | | | |
| |- о способах и методах защиты, | | | | | | | | | |
| |защитных мерах или процедурах их | | | | | | | | | |
| |использования, которые могли бы | | | | | | | | | |
| |использоваться для улучшения | | | | | | | | | |
| |функционирования СОИБ; | | | | | | | | | |
| |- о новых выявленных уязвимостях | | | | | | | | | |
| |и угрозах ИБ; | | | | | | | | | |
| |- о действиях, предпринятых по | | | | | | | | | |
| |итогам предыдущих анализов СОИБ, | | | | | | | | | |
| |осуществленных руководством; | | | | | | | | | |
| |- об изменениях, которые могли бы | | | | | | | | | |
| |повлиять на организацию СОИБ, | | | | | | | | | |
| |например изменения в | | | | | | | | | |
| |законодательстве Российской | | | | | | | | | |
| |Федерации и (или) в положениях | | | | | | | | | |
| |стандартов Банка России; | | | | | | | | | |
| |- о выявленных инцидентах ИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.4 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1154 | |
|(аналог М23.4)|необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требуемой деятельности по | | | | | | | | | |
| |обеспечению ИБ, например | | | | | | | | | |
| |выполнение планов обработки | | | | | | | | | |
| |рисков? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.5 |Входят ли в перечень документов, | обязательный | | | | | | | 0,1228 | |
|(аналог М23.5)|необходимых для формирования | | | | | | | | | |
| |информации, предоставляемой | | | | | | | | | |
| |руководству с целью проведения | | | | | | | | | |
| |анализа СОИБ, документы, | | | | | | | | | |
| |подтверждающие выполнение | | | | | | | | | |
| |требований непрерывности бизнеса | | | | | | | | | |
| |и его восстановления после | | | | | | | | | |
| |прерывания? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.6 |Определен ли в организации и | обязательный | | | | | | | 0,1104 | |
|(аналог М23.6)|утвержден ли руководством план | | | | | | | | | |
| |выполнения деятельности по | | | | | | | | | |
| |контролю и анализу СОИБ, | | | | | | | | | |
| |содержащий, в частности, | | | | | | | | | |
| |положения по проведению совещаний | | | | | | | | | |
| |на уровне руководства, на которых | | | | | | | | | |
| |в том числе производятся поиск и | | | | | | | | | |
| |анализ проблем ИБ, влияющих на | | | | | | | | | |
| |бизнес организации? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.7 |Определены ли в документах | обязательный | | | | | | | 0,1178 | |
|(аналог М23.7)|организации роли, связанные с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М31.8 |Назначены ли ответственные за | обязательный | | | | | | | 0,1178 | |
|(аналог М23.8)|выполнение ролей, связанных с | | | | | | | | | |
| |подготовкой информации, | | | | | | | | | |
| |необходимой для анализа СОИБ | | | | | | | | | |
| |руководством? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М31 | |
-------------------------------------------------------------------------------------------------------------------------------
Групповой показатель М32 "Оценка деятельности руководства
по поддержке совершенствования СОИБ"
-------------------------------------------------------------------------------------------------------------------------------
| Обозначение | Частный показатель ИБ |Обязательность | Оценка частного показателя ИБ |Коэффициент |Вычисленное |
| частного | | выполнения |---------------------------------| значимости | значение |
|показателя ИБ | | | 0 |0,25 | 0,5 |0,75 | 1 | н/о | частного | показателя |
| | | | | | | | | | показателя | ИБ |
| | | | | | | | | | ИБ | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М32.1 |Санкционирует и контролирует ли | обязательный | | | | | | | 0,2560 | |
|(аналог М24.6)|руководство службы ИБ организации | | | | | | | | | |
| |деятельность, связанную с | | | | | | | | | |
| |реализацией тактических улучшений | | | | | | | | | |
| |СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М32.2 |Назначаются ли ответственные за | обязательный | | | | | | | 0,2248 | |
|(аналог М24.8)|реализацию решений по тактическим | | | | | | | | | |
| |улучшениям СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М32.3 |Санкционирует и контролирует ли | обязательный | | | | | | | 0,2816 | |
|(аналог М25.7)|руководство организации | | | | | | | | | |
| |деятельность, связанную с | | | | | | | | | |
| |реализацией стратегических | | | | | | | | | |
| |улучшений СОИБ? | | | | | | | | | |
|--------------|----------------------------------|---------------|----|-----|-----|-----|----|-----|------------|------------|
| М32.4 |Назначаются ли ответственные за | обязательный | | | | | | | 0,2376 | |
| (аналог |реализацию решений по | | | | | | | | | |
| М25.10) |стратегическим улучшениям СОИБ? | | | | | | | | | |
|----------------------------------------------------------------------------------------------------------------|------------|
|Итоговая оценка группового показателя М32 | |
-------------------------------------------------------------------------------------------------------------------------------
Приложение Б
(обязательное)
Форма листов для сбора свидетельств аудита ИБ
---------------------------------------------------------------------------
| Обозначение |Источники свидетельств и| Кем | Подпись |Дата|
| частного | свидетельства аудита ИБ|предоставлены | сотрудника/ | |
|показателя ИБ| (документы, результаты |свидетельства | руководителя | |
| | опроса или наблюдений) | аудита ИБ | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
|-------------|------------------------|--------------|--------------|----|
| | | | | |
---------------------------------------------------------------------------
---------------------------------
(подпись)
---------------------------------
(подпись)
---------------------------------
(подпись)
----------------------------------------------------------------------
Ключевые слова: банковская система Российской Федерации,
информационная безопасность, методика оценки соответствия, показатели
информационной безопасности, текущий уровень информационной
безопасности, система менеджмента информационной безопасности,
осознание информационной безопасности, требования информационной
безопасности.
----------------------------------------------------------------------
|