¦ ¦ результатов самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.5 ¦ Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0978 ¦ ¦
¦ ¦ для каждой проводимой в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценки ИБ план ее проведения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цель самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - объекты и деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подвергающиеся самооценке ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок и сроки выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мероприятий самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - распределение ролей среди работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, связанных с проведением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.6 ¦ Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1150 ¦ ¦
¦ ¦ самооценок ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.7 ¦ Доводятся ли результаты самооценок ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1262 ¦ ¦
¦ ¦ и соответствующие отчеты до ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководства организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.8 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦ роли, связанные с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M22.9 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнением программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M22 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M23 "Проведение аудита ИБ"
-------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.1 ¦ Проводится ли аудит ИБ организации в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1192 ¦ ¦
¦ ¦ соответствии с требованиями стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Банка России СТО БР ИББС-1.1 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ "Обеспечение информационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ безопасности организаций банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ системы Российской Федерации. Аудит ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информационной безопасности" и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ настоящего стандарта? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.2 ¦ Определена ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0974 ¦ ¦
¦ ¦ и реализуется ли программа аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащая информацию, необходимую для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планирования и организации аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ совершенствования, а также обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведения указанных аудитов ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.3 ¦ Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1112 ¦ ¦
¦ ¦ для каждого проводимого в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ план аудита, определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - цель аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - критерии аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - область аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - дату и продолжительность проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - состав аудиторской группы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - описание деятельности и мероприятий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ по проведению аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - распределение ресурсов при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведении аудита ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.4 ¦ Оформлены ли договоры с аудиторскими ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1246 ¦ ¦
¦ ¦ организациями и определены ли в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ соответствующих документах: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования материалов, получаемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессе проведения аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок взаимодействия с аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организацией в процессе проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок взаимодействия аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ группы и руководства, позволяющий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ представителям аудиторской группы при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости непосредственно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обращаться к руководству; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок организации опроса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работников; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - порядок организации наблюдения за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельностью работников организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ со стороны представителей аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.5 ¦ Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1186 ¦ ¦
¦ ¦ аудитов ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.6 ¦ Доводятся ли результаты аудитов ИБ и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦ соответствующие отчеты до руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.7 ¦ Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0886 ¦ ¦
¦ ¦ порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования материалов, получаемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессе проведения аудитов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ частности, отчетов аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.8 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦ роли, связанные с организацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения программ аудитов и планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ отдельных аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ M23.9 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организацией выполнения программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудитов и планов отдельных внешних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M23 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M24 "Анализ функционирования СОИБ"
-------------------T--------------------------------------------T-----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T--------T------T------T------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.1 ¦ Проводится ли в организации анализ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1274 ¦ ¦
¦ ¦ функционирования СОИБ, использующий в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ том числе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результаты мониторинга СОИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контроля защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - сведения об инцидентах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - результаты проведения аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - данные об угрозах, возможных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушителях и уязвимостях ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - данные об изменениях внутри ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, например, данные об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениях в процессах и технологиях, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализуемых в рамках основного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процессного потока, изменениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ во внутренних документах организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - данные об изменениях вне ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, например, данные об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениях в законодательстве ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Российской Федерации, изменениях в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиях комплекса БР ИББС, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениях в договорных обязательствах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.2 ¦ Проводится ли анализ соответствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦ комплекса внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ в организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям законодательства РФ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям стандартов Банка России, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контрактным требованиям организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.3 ¦ Проводится ли анализ соответствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1002 ¦ ¦
¦ ¦ внутренних документов нижних уровней ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ иерархии, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность по обеспечению ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации, требованиям политик ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.4 ¦ Проводится ли оценка рисков в области ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0946 ¦ ¦
¦ ¦ ИБ организации, включая оценку уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ остаточного и допустимого рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.5 ¦ Проводится ли проверка адекватности ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0946 ¦ ¦
¦ ¦ модели угроз организации существующим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угрозам ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.6 ¦ Проводится ли оценка адекватности ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0930 ¦ ¦
¦ ¦ используемых защитных мер требованиям ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов организации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результатам оценки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.7 ¦ Проводится ли анализ отсутствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0822 ¦ ¦
¦ ¦ разрывов в технологических процессах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ несогласованности в использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.8 ¦ Документируются ли результаты анализа ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦ функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.9 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0998 ¦ ¦
¦ ¦ роли, связанные с процедурами анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ M24.10 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0998 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедурами анализа функционирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+------+--------------+--------------+
¦ Итоговая оценка группового показателя M24 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+---------------
Групповой показатель M25 "Анализ СОИБ со стороны
руководства организации БС РФ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.1 ¦ Утвержден ли в организации перечень ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1376 ¦ ¦
¦ ¦ документов (данных), необходимых для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ формирования информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предоставляемой руководству с целью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проведения анализа СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.2 ¦ Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1464 ¦ ¦
¦ ¦ необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководству с целью проведения анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, отчеты с результатами: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.3 ¦ Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1318 ¦ ¦
¦ ¦ необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководству с целью проведения анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, документы, содержащие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информацию: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о способах и методах защиты, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мерах или процедурах их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использования, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ использоваться для улучшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о новых выявленных уязвимостях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ угрозах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о действиях, предпринятых по итогам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ предыдущих анализов СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществленных руководством; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - об изменениях, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ повлиять на организацию СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ например, изменения в законодательстве ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Российской Федерации и (или) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ положениях стандартов Банка России; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - о выявленных инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.4 ¦ Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1154 ¦ ¦
¦ ¦ необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководству с целью проведения анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнение требуемой деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечению ИБ, например, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ планов обработки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.5 ¦ Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1228 ¦ ¦
¦ ¦ необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководству с целью проведения анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнение требований непрерывности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ бизнеса и его восстановления после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.6 ¦ Определен ли в организации и утвержден ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1104 ¦ ¦
¦ ¦ ли руководством план выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности по контролю и анализу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, содержащий, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ положения по проведению совещаний на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ уровне руководства, на которых в том ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ числе производятся поиск и анализ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ проблем ИБ, влияющих на бизнес ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ ¦ роли, связанные с подготовкой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информации, необходимой для анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M25.8 ¦ Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ ¦ выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ подготовкой информации, необходимой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ для анализа СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M25 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
Групповой показатель M26 "Принятие решений по
тактическим улучшениям СОИБ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.1 ¦ Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ решений, связанных с тактическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениями СОИБ, документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оформленные результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - выявления новых угроз и уязвимостей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа перечня защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ возможных для применения; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - стратегических улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа СОИБ со стороны руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа успешных практик в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ (собственных или других ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.2 ¦ Оформляются ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ по тактическим улучшениям СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащие либо выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости тактических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, либо направления тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.3 ¦ Формируются ли направления тактических ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦ улучшений СОИБ в виде корректирующих и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ превентивных действий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.4 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦ планы реализации тактических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.5 ¦ Существуют ли в организации документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1272 ¦ ¦
¦ ¦ в которых фиксируются результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения планов реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.6 ¦ Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1300 ¦ ¦
¦ ¦ руководство службы ИБ организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность, связанную с реализацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.7 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0934 ¦ ¦
¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ согласования и информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заинтересованных сторон о тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениях СОИБ, в частности, об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ изменениях, относящихся к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, к ответственности в области ИБ, к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ требованиям ИБ? Фиксируются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ M26.8 ¦ Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦ реализацию решений по тактическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+-------+------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M26 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
Групповой показатель M27 "Принятие решений
по стратегическим улучшениям СОИБ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T-------T------T-------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.1 ¦ Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1130 ¦ ¦
¦ ¦ решений, связанных со стратегическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениями СОИБ, документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ оформленные результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - выявления новых информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов организации или их типов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - выявления новых угроз и уязвимостей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - пересмотра основных рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа СОИБ со стороны руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - анализа успешных практик в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ (собственных или других ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.2 ¦ Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦ решений, связанных со стратегическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениями СОИБ, изменения интересов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ целей и задач бизнеса организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ контрактных обязательств организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ а также изменения в законодательстве ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ РФ и нормативных актах Банка России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.3 ¦ Оформляются ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦ по стратегическим улучшениям СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ содержащие либо выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости стратегических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ СОИБ, либо направления стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.4 ¦ Формируются ли направления ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦ стратегических улучшений СОИБ в виде ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ корректирующих или превентивных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ действий, например: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уточнение/пересмотр целей и задач ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечения ИБ, определенных в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политики ИБ (частных политик ИБ) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - изменения в области действия СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уточнение описи типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - пересмотр моделей угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - изменение подходов к оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ, критериев принятия риска ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.5 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1016 ¦ ¦
¦ ¦ планы реализации стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.6 ¦ Существуют ли в организации документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0962 ¦ ¦
¦ ¦ в которых фиксируются результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения планов реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стратегических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.7 ¦ Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1108 ¦ ¦
¦ ¦ руководство организации деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ связанную с реализацией стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.8 ¦ В случае стратегических улучшений СОИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦ выполняется ли деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ реализации соответствующих тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ для всех необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур обеспечения ИБ, используемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер и соответствующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ внутренних документов, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполняются ли: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - выработка планов тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уточнение планов обработки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уточнение программы внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ - уточнение процедур использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.9 ¦ Определены ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0822 ¦ ¦
¦ ¦ и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ согласования и информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ заинтересованных сторон о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ стратегических улучшениях СОИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ частности, об изменениях, относящихся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ к обеспечению ИБ, к ответственности в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ области ИБ, к требованиям ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ Фиксируются ли документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ M27.10 ¦ Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0878 ¦ ¦
¦ ¦ реализацию решений по стратегическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+-------+------+-------+-------+-------------+---------------+
¦ Итоговая оценка группового показателя M27 ¦ ¦
L---------------------------------------------------------------------------------------------------------------------------------------------+----------------
Групповой показатель M28 "Оценка деятельности
руководства организации БС РФ по поддержке
функционирования службы ИБ организации БС РФ"
-------------------T--------------------------------------------T-----------------T---------------------------------------------T-------------T---------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
¦ ¦ ¦ +------T-------T--------T------T------T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.1 ¦ Сформирована ли руководством служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ (аналог ¦ (назначено ли уполномоченное лицо) для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.1) ¦ реализации, эксплуатации, контроля и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ поддержания на должном уровне СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ утверждены ли цели и задачи ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.2 ¦ Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦ (аналог ¦ руководством полномочия и ресурсы, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.2) ¦ необходимые для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ установленных целей и задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.3 ¦ Имеет ли служба ИБ назначенного из ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ (аналог ¦ числа руководства куратора, который ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.3) ¦ при этом не является куратором службы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ информатизации (автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.4 ¦ Наделена ли служба ИБ собственным ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0530 ¦ ¦
¦ (аналог ¦ бюджетом? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ M11.4) ¦ ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.5 ¦ Сформированы ли для организаций, ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ 0,0615 ¦ ¦
¦ (аналог ¦ имеющих сеть филиалов или региональных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ M11.5) ¦ представительств, подразделения ИБ ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ (уполномоченные лица) на местах и ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечены ли эти подразделения ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимыми ресурсами и нормативной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
¦ ¦ базой? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.6 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ (аналог ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.6) ¦ составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнение всех планов по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.7 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.7) ¦ вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.8 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.8) ¦ изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.9 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦ (аналог ¦ лицо) полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.9) ¦ требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.10 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.10) ¦ работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ выполнения ими требований внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ деятельность в области обеспечения ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ в первую очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ максимальные полномочия по доступу к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ защищаемым информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.11 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦ лицо) полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.11) ¦ мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.12 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ (аналог ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.12) ¦ расследовании событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ инцидентами ИБ, и выходить в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ необходимости с предложениями по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ применению санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ осуществивших НСД и НРД (например, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ нарушивших требования инструкций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ руководств по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.13 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ (аналог ¦ лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.13) ¦ действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ работоспособности АБС после сбоев и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------------+--------------------------------------------+-----------------+------+-------+--------+------+------+-------+-------------+---------------+
¦ M28.14 ¦ Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
|