НАЙТИ ДОКУМЕНТ
"Стандарт Банка России "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" СТО БР ИББС-1.2-2009" (принят и введен в действие Распоряжением ЦБ РФ от 07.05.2009 N Р-496)
Архив 2009 год
<< Назад |
<<< Главная страница
Стр. 13
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.1 ¦Сформирована ли руководством ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ (аналог М9.1)¦служба ИБ (назначено ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уполномоченное лицо) для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации, эксплуатации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля и поддержания на должном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уровне СОИБ, утверждены ли цели и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦задачи ее деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.2 ¦Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦(аналог М9.2) ¦руководством полномочия и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ресурсы, необходимые для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения установленных целей и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.3 ¦Имеет ли служба ИБ назначенного ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ (аналог М9.3)¦из числа руководства куратора, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦который при этом не является ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦куратором службы информатизации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.4 ¦Наделена ли служба ИБ собственным ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0530 ¦ ¦
¦ (аналог М9.4)¦бюджетом? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.5 ¦Сформированы ли для организаций, ¦ рекомендуемый ¦////¦/////¦/////¦/////¦ ¦ ¦ 0,0615 ¦ ¦
¦ (аналог М9.5)¦имеющих сеть филиалов или ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦региональных представительств, ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦подразделения ИБ (уполномоченные ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦лица) на местах и обеспечены ли ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦эти подразделения необходимыми ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
¦ ¦ресурсами и нормативной базой? ¦ ¦////¦/////¦/////¦/////¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.6 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ (аналог М9.6)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение всех планов по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.7 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог М9.7)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.8 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог М9.8)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.9 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦(аналог М9.9) ¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.10 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦(аналог М9.10)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения ими требований ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области обеспечения ИБ, в первую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦максимальные полномочия по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦доступу к защищаемым ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.11 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦(аналог М9.11)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.12 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦(аналог М9.12)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦расследовании событий, связанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦с инцидентами ИБ, и выходить в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦случае необходимости с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предложениями по применению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществивших НСД и НРД ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(например, нарушивших требования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инструкций, руководств по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.13 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦(аналог М9.13)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работоспособности АБС после сбоев ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М26.14 ¦Наделена ли служба ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦(аналог М9.14)¦(уполномоченное лицо) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦создании, поддержании, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации и совершенствовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М26 ¦ ¦
¦----------------------------------------------------------------------------------------------------------------+-------------
Групповой показатель М27 "Оценка деятельности
руководства организации БС РФ по принятию решений
о реализации и эксплуатации СОИБ"
---------------+----------------------------------+---------------+---------------------------------+------------+------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----+-----T-----+-----T----+-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М27.1 ¦Оформлены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2752 ¦ ¦
¦(аналог М14.1)¦утверждены ли руководством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦решения о реализации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации СОИБ, в частности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦решения: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об анализе и принятии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦остаточных рисков нарушения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о планировании этапов внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, в частности требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изложенных в 7-м и 8-м разделах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о распределении ролей в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о принятии со стороны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководства планов внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер, направленных на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализацию требований 7-го и 8-го ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разделов СТО БР ИББС-1.0 и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦снижение рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о выделении ресурсов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимых для реализации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации функционирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М27.2 ¦Утверждены ли руководством все ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2812 ¦ ¦
¦(аналог М14.2)¦планы внедрения СОИБ, в частности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планы реализаций требований 7-го ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и 8-го разделов СТО БР ИББС-1.0, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планы обработки рисков нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ и внедрения защитных мер, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которых документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- последовательность выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мероприятий в рамках указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- сроки начала и окончания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦запланированных мероприятий; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- должностные лица ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(подразделения), ответственные за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение каждого указанного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мероприятия? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М27.3 ¦Определен ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2096 ¦ ¦
¦(аналог М14.3)¦порядок разработки, пересмотра и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля исполнения планов по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М27.4 ¦Оформлены ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2340 ¦ ¦
¦ аналог М14.4)¦решения руководства, связанные с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦назначением и распределением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ролей для всех структурных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подразделений в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положениями внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦Итоговая оценка группового показателя М27 ¦ ¦
¦----------------------------------------------------------------------------------------------------------------+-------------
Групповой показатель М28 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
---------------+----------------------------------+---------------+---------------------------------+------------+------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного показателя ИБ ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения +----+-----T-----+-----T----+-----+ значимости ¦ значение ¦
¦показателя ИБ ¦ ¦ ¦ 0 ¦0,25 ¦ 0,5 ¦0,75 ¦ 1 ¦ н/о ¦ частного ¦ показателя ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.1 ¦Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦(аналог М10.1)¦организации и корректируется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦опись структурированных по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦классам защищаемых информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов - типов информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.2 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М10.6)¦организации роли по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.3 ¦Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М10.7)¦ответственные за выполнение ролей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.4 ¦Принята ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦(аналог М11.1)¦корректируется ли методика оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ / подход к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценке рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.5 ¦Определены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦(аналог М11.2)¦критерии принятия рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ и уровень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦допустимого риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.6 ¦Определяет ли порядок оценки ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦(аналог М11.4)¦рисков нарушения ИБ необходимые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры оценки рисков нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, а также последовательность их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.7 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М11.9)¦организации роли, связанные с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции методики ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков нарушения ИБ / ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подхода к оценке риска нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ М11.10) ¦деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции методики ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков нарушения ИБ / ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подхода к оценке риска нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.9 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦организации роли по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ М11.11) ¦нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.10 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦выполнение ролей по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ М11.12) ¦нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.11 ¦Утверждены ли руководством ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М12.3)¦организации планы обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.12 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦(аналог М12.5)¦организации роли по разработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов обработки рисков нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.13 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М12.6)¦выполнение ролей по разработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов обработки рисков нарушения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.14 ¦Разработана ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦(аналог М13.2)¦организации? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политика ИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.15 ¦Корректируется ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦(аналог М13.3)¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.16 ¦Разработаны ли частные политики ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦(аналог М13.4)¦ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.17 ¦Корректируются ли частные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦(аналог М13.5)¦политики ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--------------+----------------------------------+---------------+----+-----+-----+-----+----+-----+------------+------------+
¦ М28.18 ¦Определены ли в политике ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦(аналог М13.9)¦(частных политиках ИБ) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные области обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- совокупность правил, требований ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и руководящих принципов в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
| Стр.1 | Стр.2 | Стр.3 | Стр.4 | Стр.5 | Стр.6 | Стр.7 | Стр.8 | Стр.9 | Стр.10 | Стр.11 | Стр.12 | Стр.13 | Стр.14 | Стр.15 |
<< Назад |
<<< Главная страница
карта новых документов |