¦ M9.16 ¦ Исключена ли при обработке ПДн в ИСПДн ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ фиксация на одном материальном ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителе и персональных данных, и иных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ видов информационных активов, а также ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, цели обработки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых заведомо несовместимы? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.17 ¦ Используется ли при обработке ПДн в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн для каждой категории ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных отдельный ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ материальный носитель? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Примечание: если в ИСПДн ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обрабатываются ПДн только одной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категории, показателю присваивается ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ оценка "н/о". ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.18 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ (список) работников, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработку персональных данных в ИСПДн ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ либо имеющих доступ к персональным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данным? Допускается указание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работников в перечне (списке) на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ролевой основе в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ занимаемой должностью на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ требований раздела 7.2 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ СТО БР ИББС-1.0. Возможно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ существование перечня (списка) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ электронном виде при условии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ предоставления работникам прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ доступа в ИСПДн только на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ распорядительного документа в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ документально зафиксированном в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации порядке. ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.19 ¦ Осуществляется ли доступ работников ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации к персональным данным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ (обработка персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работниками) только для выполнения их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ должностных обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.20 ¦ Проинформированы ли работники ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации, осуществляющие обработку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных в ИСПДн, о факте ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработки ими персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориях обрабатываемых персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных, а также ознакомлены ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работники под роспись со всей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ совокупностью требований по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных в части, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ касающейся их должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.21 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ доступа работников организации или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ иных лиц в помещения, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ведется обработка персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.22 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранения материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, устанавливающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - места хранения материальных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителей персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - требования по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранении их носителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - работников, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ реализацию требований по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - порядок контроля выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ требований по обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных при хранении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ материальных носителей персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.23 ¦ Соблюдаются ли требования, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ установленные "Положением об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ особенностях обработки персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных, осуществляемой без ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ использования средств автоматизации", ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утвержденным Постановлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Правительства РФ от 15 сентября 2008 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ г. N 687, при обработке в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных на бумажных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителях, в частности, при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ использовании в организации БС РФ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ типовых форм документов, характер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ информации в которых предполагает или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ допускает включение в них персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M9///////////////////////////////////////////////////////////////// ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
--------------------------------
<*> Графа не заполняется.
<**> Вычисленное значение показателя ИБ равно оценке
соответствующего частного показателя (столбцы 4 - 9 таблицы).
Групповой показатель M10 "Общие требования
по обеспечению информационной безопасности банковских
технологических процессов, в рамках которых
обрабатываются персональные данные"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M10.1 ¦ Отнесены ли все ИСПДн организации к ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦ специальным в соответствии с пунктом 8 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Порядка проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных систем персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ данных, утвержденного Приказом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федеральной службы по техническому и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ экспортному контролю, Федеральной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ службы безопасности Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федерации и Министерства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных технологий и связи ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Российской Федерации от 13 февраля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 2008 г. N 55/86/20 "Об утверждении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Порядка проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных систем персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ данных"? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M10.2 ¦ Определены ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦ зафиксированы ли документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ критерии классификации ИСПДн, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ порядок проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M10.3 ¦ Проводится ли классификация на основе ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦ категорий обрабатываемых в ИСПДн ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M10.4 ¦ Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦ утверждены ли руководством результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ классификации ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M10.5 ¦ Определен ли для каждого класса ИСПДн ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦ набор требований по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности персональных данных на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ основе требований 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СТО БР ИББС-1.0, а также при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости на основе результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оценки рисков нарушения безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M10 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M11 "Организация и функционирование
службы ИБ организации БС РФ"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.1 ¦ Сформирована ли руководством служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ ¦ (назначено ли уполномоченное лицо) для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации, эксплуатации, контроля и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ поддержания на должном уровне СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ утверждены ли цели и задачи ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.2 ¦ Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦ ¦ руководством полномочия и ресурсы, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимые для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ установленных целей и задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.3 ¦ Имеет ли служба ИБ назначенного из ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ ¦ числа руководства куратора, который ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ при этом не является куратором службы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информатизации (автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.4 ¦ Наделена ли служба ИБ собственным ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0530 ¦ ¦
¦ ¦ бюджетом? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.5 ¦ Сформированы ли для организаций, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0615 ¦ ¦
¦ ¦ имеющих сеть филиалов или региональных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ представительств, подразделения ИБ ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (уполномоченные лица) на местах и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечены ли эти подразделения ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимыми ресурсами и нормативной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ базой? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.6 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнение всех планов по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.7 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦ лицо) полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.8 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.9 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦ ¦ лицо) полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.10 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦ лицо) полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения ими требований внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в первую очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ максимальные полномочия по доступу к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемым информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.11 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦ лицо) полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.12 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ расследовании событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентами ИБ, и выходить в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости с предложениями по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ применению санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществивших НСД и НРД (например, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушивших требования инструкций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководств по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.13 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности АБС после сбоев и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M11.14 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ создании, поддержании, эксплуатации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствовании СОИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M11 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M12 "Определение/коррекция области
действия СОИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.1 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1956 ¦ ¦
¦ ¦ и корректируется ли опись ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ структурированных по классам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов - типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.2 ¦ Проводится ли классификация ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,1614 ¦ ¦
¦ ¦ информационных активов по типам на ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ основании оценок ценности ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов для интересов ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (целей) организации, например, в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствии с тяжестью последствий ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ потери свойств ИБ информационных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ активов? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.3 ¦ Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ активов информацию о принадлежности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ конкретного информационного актива к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выделенным типам информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов (в случае наличия в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.4 ¦ Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦ активов (типов информационных активов) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ перечень их объектов среды, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ покрывающий все уровни информационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инфраструктуры организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определенной в разделе 6 стандарта СТО ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.5 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1276 ¦ ¦
¦ ¦ процедуры анализа и пересмотра области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ (в частности, процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотра при изменении перечня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов организации или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.6 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ роли по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M12.7 ¦ Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ ответственные за выполнение ролей по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определению/коррекции области действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ и по составлению и пересмотру ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ описи информационных активов (типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов), находящихся в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ области действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M12 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M13 "Выбор/коррекция
подхода к оценке рисков нарушения ИБ и проведению оценки
рисков нарушения ИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T-------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.1 ¦ Принята ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1154 ¦ ¦
¦ ¦ корректируется ли методика оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ/подход к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.2 ¦ Определены ли в организации критерии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1070 ¦ ¦
¦ ¦ принятия рисков нарушения ИБ и уровень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ допустимого риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.3 ¦ Определяет ли методика оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0854 ¦ ¦
¦ ¦ нарушения ИБ/подход к оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ организации способ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ порядок качественного или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ количественного оценивания риска ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ на основании оценивания: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - степени возможности реализации угроз ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ выявленными и (или) предполагаемыми ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ источниками угроз ИБ, зафиксированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в моделях угроз и нарушителя, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результате их воздействия на объекты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ среды информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - степени тяжести последствий от ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ потери свойств ИБ, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ свойств доступности, целостности и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ конфиденциальности для рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов (типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.4 ¦ Определяет ли порядок оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0854 ¦ ¦
¦ ¦ нарушения ИБ необходимые процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оценки рисков нарушения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ последовательность их выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.5 ¦ Проводится ли оценка рисков нарушения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0676 ¦ ¦
¦ ¦ ИБ для свойств ИБ всех информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов (типов информационных активов) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ области действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.6 ¦ Создан ли и поддерживается ли в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0688 ¦ ¦
¦ ¦ актуальном состоянии единый ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационный ресурс (база данных), ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащий информацию об инцидентах ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.7 ¦ Соотносятся ли величины рисков, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0766 ¦ ¦
¦ ¦ полученные в результате оценивания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ, с уровнем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ допустимого риска, принятого в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.8 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0766 ¦ ¦
¦ ¦ перечень недопустимых рисков нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, сформированный на основе сравнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ полученных в результате оценивания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ величин рисков с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уровнем допустимого риска, принятого в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.9 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦ роли, связанные с деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определению/коррекции методики оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ/подхода к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.10 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельностью по определению/коррекции ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ методики оценки рисков нарушения ИБ/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подхода к оценке риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.11 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦ роли по оценке рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ M13.12 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0826 ¦ ¦
¦ ¦ выполнение ролей по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+-------------+
¦ Итоговая оценка группового показателя M13 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M14 "Разработка планов обработки
рисков нарушения ИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.1 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ по каждому из недопустимых рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ план, определяющий один ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ из возможных способов обработки риска: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - перенос риска на сторонние ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ страхования указанного риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уход от риска (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отказа от деятельности, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ которой приводит к появлению риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - осознанное принятие риска; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - формирование требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ снижающих риск до допустимого уровня, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и формирование планов по их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.2 ¦ Согласованы ли планы обработки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ нарушения ИБ с руководителем службы ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.3 ¦ Утверждены ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦ планы обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.4 ¦ Содержат ли планы реализации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1702 ¦ ¦
¦ ¦ требований ИБ последовательность и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сроки реализации и внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организационных, технических и иных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.5 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦ роли по разработке планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M14.6 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦ выполнение ролей по разработке планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M14 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M15 "Определение/коррекция
внутренних документов, регламентирующих деятельность
в области обеспечения ИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.1 ¦ Проводятся ли разработка и коррекция ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0406 ¦ ¦
¦ ¦ внутренних документов, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ области обеспечения ИБ в организации, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ с учетом рекомендаций по ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ стандартизации Банка России РС БР ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ИББС-2.0 "Обеспечение информационной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности организаций банковской ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ системы Российской Федерации. ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ Методические рекомендации по ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ документации в области обеспечения ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствии с требованиями СТО БР ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ ИББС-1.0"? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.2 ¦ Разработана ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦ организации? Утверждена ли политика ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.3 ¦ Корректируется ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.4 ¦ Разработаны ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0580 ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.5 ¦ Корректируются ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.6 ¦ Разработаны ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦ документы, регламентирующие процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения отдельных видов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности, связанных с обеспечением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.7 ¦ Корректируются ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0489 ¦ ¦
¦ ¦ документы, регламентирующие процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения отдельных видов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности, связанных с обеспечением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.8 ¦ Определены ли в организации перечень и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0407 ¦ ¦
¦ ¦ формы документов, являющихся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ свидетельством выполнения деятельности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по обеспечению ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.9 ¦ Определены ли в политике ИБ (частных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦ политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.10 ¦ Корректируются ли в политике ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0486 ¦ ¦
¦ ¦ (частных политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.11 ¦ Разрабатываются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0519 ¦ ¦
¦ ¦ документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - договорных требований организации со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
|