¦ M15.12 ¦ Корректируются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦ документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - договорных требований организации со ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.13 ¦ Содержит ли совокупность внутренних ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0501 ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требования по обеспечению ИБ всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выявленных информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (типов информационных активов), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ находящихся в области действия СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.14 ¦ Не противоречат ли документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦ регламентирующие процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отдельных видов деятельности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ связанных с обеспечением ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ положениям политики ИБ и частных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политик ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.15 ¦ Детализируют ли документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0426 ¦ ¦
¦ ¦ регламентирующие процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отдельных видов деятельности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ связанных с обеспечением ИБ, положения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политики ИБ и частных политик ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.16 ¦ Утвержден ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0354 ¦ ¦
¦ ¦ порядок взаимодействия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (координирования работы) службы ИБ с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работниками, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечение ИБ в структурных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подразделениях организации (в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ наличия в структурных подразделениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации работников, ответственных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.17 ¦ Определены ли в составе документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0426 ¦ ¦
¦ ¦ регламентирующих деятельность в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ области обеспечения ИБ, перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ свидетельств выполнения указанной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности и ответственность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников организации за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ этой деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.18 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0443 ¦ ¦
¦ ¦ процедуры выделения и распределения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ролей в области обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.19 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0406 ¦ ¦
¦ ¦ порядок разработки, поддержки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотра и контроля исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.20 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0382 ¦ ¦
¦ ¦ роли по разработке, поддержке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотру и контролю исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M15.21 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0393 ¦ ¦
¦ ¦ выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ поддержке, пересмотру и контролю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ исполнения внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M15 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M16 "Принятие руководством
организации БС РФ решений о реализации и
эксплуатации СОИБ"
--------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T------T-------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+------+-------+------+-------+--------------+--------------+
¦ M16.1 ¦ Оформлены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2752 ¦ ¦
¦ ¦ утверждены ли руководством решения о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации и эксплуатации СОИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ частности, решения: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - об анализе и принятии остаточных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ рисков нарушения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о планировании этапов внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, в частности, требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изложенных в 7-м и 8-м разделах СТО БР ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о распределении ролей в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения ИБ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о принятии со стороны руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планов внедрения защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ направленных на реализацию требований ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ 7-го и 8-го разделов СТО БР ИББС-1.0 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и снижение рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о выделении ресурсов, необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ для реализации и эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+------+-------+------+-------+--------------+--------------+
¦ M16.2 ¦ Утверждены ли руководством все планы ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2812 ¦ ¦
¦ ¦ внедрения СОИБ, в частности, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации требований 7-го и 8-го ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ разделов СТО БР ИББС-1.0, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки рисков нарушения ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внедрения защитных мер, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документально зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - последовательность выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мероприятий в рамках указанных планов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - сроки начала и окончания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ запланированных мероприятий; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - должностные лица (подразделения), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ответственные за выполнение каждого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ указанного мероприятия? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+------+-------+------+-------+--------------+--------------+
¦ M16.3 ¦ Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2096 ¦ ¦
¦ ¦ разработки, пересмотра и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ исполнения планов по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+------+-------+------+-------+--------------+--------------+
¦ M16.4 ¦ Оформлены ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2340 ¦ ¦
¦ ¦ руководства, связанные с назначением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и распределением ролей для всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ структурных подразделений в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствии с положениями ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-------------------+--------------------------------------------+-----------------+------+-------+------+-------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M16 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M17 "Организация реализации планов
внедрения СОИБ"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M17.1 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2540 ¦ ¦
¦ ¦ и выполняются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проектирование/приобретение/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ развертывание, внедрение, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатация, контроль и сопровождение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатации защитных мер (СИБ), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предусмотренных планами реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требований ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M17.2 ¦ Реализуются ли при построении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2688 ¦ ¦
¦ ¦ элементов СИБ (применительно к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ конкретной области или сфере ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности организации) защитные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ меры, применяемые к объектам среды, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствии с существующими в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации требованиями обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, сформулированными в политике ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ других внутренних документах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M17.3 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2412 ¦ ¦
¦ ¦ роли, связанные с реализацией планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обработки рисков нарушения ИБ и с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализацией требуемых защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M17.4 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2360 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализацией планов обработки рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушения ИБ и с реализацией требуемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M17 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M18 "Разработка и организация
реализации программ по обучению и повышению
осведомленности в области ИБ"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.1 ¦ Организована ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1898 ¦ ¦
¦ ¦ оформленная работа с персоналом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации в направлении повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности и обучения в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, включая разработку и реализацию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планов и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности в области ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля результатов выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ указанных планов? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством указанная работа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.2 ¦ Установлены ли в планах обучения и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1378 ¦ ¦
¦ ¦ повышения осведомленности требования к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ периодичности обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.3 ¦ Включена ли в программы обучения и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1536 ¦ ¦
¦ ¦ повышения осведомленности информация: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - по существующим политикам ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - по применяемым в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитным мерам; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - по правильному использованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренними документами организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о значимости и важности деятельности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников для обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.4 ¦ Определен ли в организации перечень ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦ документов, являющихся свидетельством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения программ обучения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, в частности: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - документы (журналы), подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ прохождение руководителями и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работниками организации обучения в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ области ИБ с указанием уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ образования, навыков, опыта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и квалификации обучаемых; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - документы, содержащие результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проверок обучения работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - документы, содержащие результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проверок осведомленности в области ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.5 ¦ Организуется ли для работника, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1396 ¦ ¦
¦ ¦ получившего новую роль, обучение или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инструктаж в области ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствующий полученной роли? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.6 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1290 ¦ ¦
¦ ¦ роли по разработке, реализации планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ M18.7 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1338 ¦ ¦
¦ ¦ выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации планов и программ обучения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ и по контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+------+-------+-------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M18 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M19 "Организация обнаружения
и реагирования на инциденты безопасности"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +-----T-------T-------T-------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.1 ¦ Существуют ли в организации документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1372 ¦ ¦
¦ ¦ регламентирующие процедуры обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентов, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры обнаружения инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры информирования об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентах; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры классификации инцидентов и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оценки ущерба, нанесенного инцидентом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры реагирования на инцидент; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры анализа причин инцидентов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ и оценки результатов реагирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на инциденты ИБ (при необходимости с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ участием внешних экспертов в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.2 ¦ Сформирована и поддерживается ли в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,1152 ¦ ¦
¦ ¦ актуальном состоянии централизованная ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ база инцидентов ИБ? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.3 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1152 ¦ ¦
¦ ¦ процедуры по хранению информации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - об инцидентах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о практиках анализа инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о результатах реагирования на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инциденты ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.4 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1124 ¦ ¦
¦ ¦ порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации при обнаружении нетипичных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ событий, связанных с ИБ, и порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информирования о данных событиях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.5 ¦ Осведомлены ли работники организации о ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1124 ¦ ¦
¦ ¦ порядке действий при обнаружении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нетипичных событий, связанных с ИБ, и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ порядке информирования о данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ событиях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.6 ¦ Учитывают ли процедуры расследования ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0948 ¦ ¦
¦ ¦ инцидентов действующее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ законодательство Российской Федерации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ положения нормативных актов Банка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ России, а также внутренних документов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации в области ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.7 ¦ Принимаются и выполняются ли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1076 ¦ ¦
¦ ¦ организации документально оформленные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ решения по всем выявленным инцидентам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.8 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦ роли по обнаружению, классификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реагированию, анализу и расследованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ M19.9 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦ выполнение ролей по обнаружению, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ классификации, реагированию, анализу и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ расследованию инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+-------+-------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M19 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M20 "Организация
обеспечения непрерывности бизнеса и его восстановления
после прерываний"
-------------------T---------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +-----T-------T--------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.1 ¦ Выделены ли в описи защищаемых ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0876 ¦ ¦
¦ ¦ информационных активов организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активы, существенные для обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.2 ¦ Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0888 ¦ ¦
¦ ¦ организации требования обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующие вопросы обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.3 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0907 ¦ ¦
¦ ¦ план обеспечения непрерывности бизнеса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и его восстановления после возможного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ прерывания, содержащий инструкции и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, в состав которого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ включены: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - условия активизации плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок действий, которые должны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ быть предприняты после инцидента ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (инструкции персонала); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры восстановления; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - процедуры тестирования и проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - план обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осведомленности работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - обязанности работников организации с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ указанием ответственных за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ каждого из положений плана? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.4 ¦ Основывается ли разработка планов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0673 ¦ ¦
¦ ¦ обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ его восстановления после прерываний на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документально оформленных результатах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оценки рисков нарушения ИБ организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ применительно к информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активам, существенным для обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.5 ¦ Определены ли документально, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0801 ¦ ¦
¦ ¦ реализованы и эксплуатируются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитные меры обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса применительно к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационным активам, существенным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ для обеспечения непрерывности бизнеса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и его восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.6 ¦ Основываются ли реализация и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0758 ¦ ¦
¦ ¦ использование защитных мер обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствующих требованиях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.7 ¦ Согласован ли план обеспечения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0593 ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерываний с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ существующими в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедурами обработки инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.8 ¦ Определено ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0550 ¦ ¦
¦ ¦ и выполняется ли периодическое ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ тестирование плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.9 ¦ Составлен ли сценарий тестирования ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ ¦ плана обеспечения непрерывности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ бизнеса и его восстановления после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ прерывания с учетом существующей в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации модели угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушителей, а также результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оценки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.10 ¦ Проводится ли при необходимости ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0699 ¦ ¦
¦ ¦ корректировка плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результатам тестирования? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.11 ¦ Реализована ли в организации программа ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0593 ¦ ¦
¦ ¦ обучения и повышения осведомленности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников в области обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерываний? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.12 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0717 ¦ ¦
¦ ¦ и выполняются ли процедуры регулярного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотра и обновления плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ его восстановления после прерывания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ (для обеспечения уверенности в их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективности), учитывающие изменения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в приоритетах, целях и интересах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ бизнеса организации; пересмотр моделей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угроз; оценку рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.13 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0679 ¦ ¦
¦ ¦ роли по разработке плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ M20.14 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0679 ¦ ¦
¦ ¦ выполнение ролей по разработке плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ его восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+-----------------+-----+-------+--------+------+------+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M20 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M21 "Мониторинг и контроль
защитных мер"
-------------------T---------------------------------------------T----------------T--------------------------------------------T---------------T-------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T--------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.1 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1482 ¦ ¦
¦ ¦ процедуры мониторинга СОИБ и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер (включая контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ параметров конфигурации и настроек ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ средств и механизмов защиты), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ охватывают все реализованные и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эксплуатируемые защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ входящие в СИБ, и проводятся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ персоналом организации, ответственным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.2 ¦ Фиксируются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ результаты выполнения процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.3 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1068 ¦ ¦
¦ ¦ и выполняются ли процедуры сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ хранения информации о действиях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников организации, событиях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ параметрах, имеющих отношение к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционированию защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.4 ¦ Включается ли в базу данных инцидентов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ информация обо всех инцидентах ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выявленных в процессе мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и контроля защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.5 ¦ Подвергаются ли процедуры мониторинга ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦ СОИБ и контроля защитных мер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регулярным и документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ зафиксированным пересмотрам в связи с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениями в составе и способах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования защитных мер, выявлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ новых угроз и уязвимостей ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ на основе данных об инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.6 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1066 ¦ ¦
¦ ¦ порядок пересмотра процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦ роли, связанные с выполнением процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер, а также с пересмотром указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ M21.8 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнением процедур мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ и контроля защитных мер, а также с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ пересмотром указанных процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+---------------------------------------------+----------------+------+-------+--------+------+------+------+---------------+-------------+
¦ Итоговая оценка группового показателя M21 ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M22 "Проведение самооценки ИБ"
-------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.1 ¦ Проводится ли самооценка ИБ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1340 ¦ ¦
¦ ¦ соответствии с настоящим стандартом? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.2 ¦ Организован ли порядок проведения ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,1118 ¦ ¦
¦ ¦ самооценки ИБ в соответствии с ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ рекомендациями по стандартизации Банка ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ России РС БР ИББС-2.1 "Обеспечение ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ организаций банковской системы ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ Российской Федерации. Руководство по ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценке соответствия информационной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности организаций банковской ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ системы Российской Федерации ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям СТО БР ИББС-1.0"? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.3 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦ и реализована ли программа самооценок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, содержащая информацию, необходимую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ для планирования и организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценок ИБ, их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствования, а также обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведения указанных самооценок ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.4 ¦ Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦ организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок формирования, сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ хранения свидетельств самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - периодичность проведения самооценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок хранения и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результатов самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
|